Root Befehle ohne sudo auf Debian, wie?

Ich habe für eine Software auf einigen Debian Maschinen einen separaten User angelegt und diesen auch eigentlich auch in die Root-Gruppe aufgenommen. Nun habe ich das Problem, dass wenn ich Root-Befehle ohne vorab sudo einzugeben ausführen will, ich die Fehlermeldung "13: Permission Denied" bekomme. Ich konnte herausfinden, dass diese Fehlermeldung Aussagt, dass es weiterhin Probleme mit den Root-Rechten für diesen User geben muss?

Folgende Schritte habe ich umgesetzt:

Diese Parameter in die sudoers-Datei eingefügt:

# User privilege specification

root ALL=(ALL:ALL) ALL

Testuser ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command

%sudo ALL=(ALL:ALL) ALL

Testuser ALL=(ALL) NOPASSWD: ALL

Mit dem folgenden Befehl habe ich den User eigentlich auch in die Root-Gruppe aufgenommen:

root@Testhost1:~# gpasswd -a Testuser sudo

Adding user Testuser to group sudo

Bitte seid gnädig, ich bin noch relativ unerfahren mit Linux-Administrierung. :)

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

11.10.2021, 21:13

sudoers ist ja eien Konfiguration für sudo. D.h. der User muß natürlich trotzdem mit sudo die Rechte ändern, um ausführen zu können.

Die Frage ist ja eher, warum man einem User Root Rechte gewähren möchte, vor allem ohne Einschränkungen, so wie es aussieht?

linus34

Fragesteller

11.10.2021, 21:22

Grob heruntergebrochen, ich habe eine Serveranwendung die sich mit SSH-Keys ohne Authentifizierung auf die Clients verbinden kann und auch die Möglichkeit haben soll elementare Änderungen an die Clients vornehmen zu können, Stichwort Automatisierung. Der "normale" SSH-Login für diesen Testuser ist deaktiviert weshalb es mir wie ein vernünftiger Mittelweg vorkam, statt dem Root-User dafür zu benutzen.

Daher möchte ich die Möglichkeit haben Root-Befehle mit diesen User ausführen, ohne das sudo vorab schreiben zu müssen, also im Grunde als wenn der Testuser der Root-User selbst wäre.

julihan41

11.10.2021, 21:29

@linus34

Dann erstelle eine Schnittstelle, sodass nur die benötigen Befehle ausgeführt werden können und kein komplettes Root ohne Passwort 🙈

linus34

Fragesteller

11.10.2021, 21:33

@julihan41

Sagt dir zufällig Ansible etwas? Ich habe aus gutem Grund geschrieben, dass der User alles können soll. Mir wäre es neu, dass man das auf einige Befehle herunterbrechen kann was ich brauche. ^^

KarlRanseierIII

11.10.2021, 21:43

@linus34

Okay, Du willst also die Nutzung von root bei der SSH-Verbindung vermeiden udn stattdessen einen User nehmen, der trotzdem alle Privilegien hat.

Soweit nachvollziehbar.

Ich verstehe nicht, worin das Problem besteht ein sudo ausführen zu müssen.

Du weißt, daß Du auch ein sudo -i ausführen kannst?

Insbesondere kannst Du dies auch direkt vom sshd ausführen lassen.

Damit nicht genug, Du kannst für den gleichen SSH-User, z.B. root auch mehrere Schlüssel hinterlegen udn festlegen, daß bei Verwendung eine sbestimmten Schlüssels ein bestimmtes Kommando ausgeführt wird, egal was der sich verbindende Client möchte.

Weiter gedacht: Lege für die Kombination aus Nutzer+Schlüssel fest, daß ein bestimmtes Skript ausgeführut wird. Dieses wiederum kann als Gatekeeper fungieren und quasi explizit nur bestimmte Aktionen zulassen.

Lies vielleicht mal das hier:

https://www.thomas-krenn.com/de/wiki/Ausf%C3%BChrbare_SSH-Kommandos_per_authorized_keys_einschr%C3%A4nken

Und überlege, ob DU nicht eher in diese Richtugn gehen willst.

linus34

Fragesteller

11.10.2021, 22:20

@KarlRanseierIII

Dazu kann ich gerade nicht viel sagen aber ich werde mir deine Denkanstöße ansehen, besten Dank. :)

julihan41

11.10.2021, 22:34

@linus34

Aber bei Ansible sollte das eigentlich anders funktionieren. Also ich kenne mich mit Ansible nicht aus, aber es würde mich irritieren, wenn das Framework dafür keinen sinnvollen Weg hat...

linus34

Fragesteller

14.10.2021, 20:51

@julihan41

Ich habe mittlerweile eine Lösung gefunden. Ansible bietet in der Tat einen Weg, es gibt einen Parameter der mir nicht bekannt war.

julihan41

14.10.2021, 21:26

@linus34

Das freut mich sehr. Damit ist die Sicherheit deutlich erhöht.

bmke2012

11.10.2021, 21:19

Wenn ein "user" der Gruppe "root" hinzugefügt wird, hat er noch lange keine umfassenden root-Rechte. Mitglieder der Gruppe root (bin ich als user auch) darf Systemmeldungen empfangen und diverse Verzeichnisse besuchen, die root vorbehalten sind. Das war es dann auch schon.

Um Befehle mit root-Rechten auszuführen, muss man diese root-Rechte erwerben und das geht nur mit 'sudo' oder 'su root' oder 'su -'.

... und dass das so ist, hat seine Gründe!

julihan41

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Linux, Debian

11.10.2021, 21:18

Sudo ermöglichen ohne Passwort ist eine richtig_dumme_Idee. Das ist ein wichtiges Sicherheitsfeature und sollte nicht umgangen werden.

Der Fehler liegt wahrscheinlich darin, dass du Testuser zwei mal in der Datei hast.

Ich bleibe aber bei keiner Empfehlung: lass die Passwort Abfrage bestehen. Hindert einem auch daran, unüberlegt Befehle mit root Rechten zu spamen wie

sudo rm -rf /

linus34

Fragesteller

11.10.2021, 21:29

Habe den zweiten Parameter, also "Testuser ALL=(ALL) NOPASSWD: ALL" erst zuletzt eingefügt, davor hat es auch nicht funktioniert.

Ich verstehe dein Argument absolut aber ein Login mit diesem User ist nur mit einem gültigem SSH-Key möglich, die anderen Wege habe ich deaktiviert.

Ich selbst werde den User auch nicht benutzen sondern eine Software die halt umfassende Rechte braucht auf den Hosts. Korrigiere mich gerne aber ich denke damit ist die Gefahr ziemlich gut entschärft.

Ähnliche Fragen

Debian 11 frage?

Ich habe das Problem das ich sudo nicjt benutzen kann "User was not found in the sudoers file " oder sowas in der Art aufjedenfall habb ich alle möglichen Sachen versucht um meinen Namen in die sudoers Datei zu setzen könnt ihr bitte helfen

...zur Frage

Ohne sudo/root systemctl?

Ich will "systemctl" + $ + "apache2" ($ = Start,stop,restart) ohne sudo/root ausführen, für Script...

NUR die drei nicht systemctl in general.

Linux,raspi/debian

Thx im voraus.

...zur Frage

kann nichts installieren in Linux?

Hi@all ich habe eben gerade auf einem anderem Laptop von mir Linux/debian 10.0 installiert ich bin auch erst seit 3 Monaten Linux User und hab mir mal verschiedene Linux varianten angeschaut. Nun steh ich grad vor einem ganz anderen Problem. wieso habe ich keine Root rechte ich möchte zb etwas installieren und erhalte folgenden Text ist nicht in der sudoers Datei/dieser Vorfall wird gemeldet.

Hmm :S

...zur Frage

Wie aktiviere ich ROOT Rechte auf Debian auf Linux Deploy?

Hallo ich habe auf mein Samsung Handy Debian auf Linux Deploy installiert.

Soweit funktioniert alles, außer, dass ich mit user android kein root bin. Vermutlich gibt es keinen Nutzer root. Ich brauche aber root rechte. Z.B wenn ich sudo su eingebe, dann sagt Debian, dass ich keine Root Rechte habe.

Kann ich das irgendwie beheben?

LG Jan.

...zur Frage

Linux kann keine sudo-Befehle ausführen?

Ich habe wohl etwas dummes gemacht und kann seither sudo nicht mehr verwenden... Ich bekomme diese Fehlermeldung:

Ich habe nachgeschaut: Der Owner von /usr/bin/sudo ist der User „pi“. Doch die UID von pi ist 1000.

Ich bin sehr froh über jede Hilfe!

...zur Frage

kann kein snapd installieren?

root:~# sudo snap install hello-world
error: system does not fully support snapd: cannot mount squashfs image using
    "squashfs": mount: /tmp/sanity-mountpoint-362302586: mount failed:
    Operation not permitted.

Wo liegt das problem?

Debian: 10.7.1

Snap:

snap  2.37.4-1+deb10u3
snapd  2.37.4-1+deb10u3
series 16
debian 10
kernel 5.4.140-1-pve

...zur Frage

über filezilla bei debian server mit root verbinden?

schönen guten tag, ich möchte mich gerne per filezilla mit meinen debian server verbinden was auch mit user(profil) super funktiioniert aber sobald ich als benutzername root eingebe und zu 100% das richtige passwort verwende funktioniert es nicht und ich weiß auch nicht mehr weiter was ich machen soll. hab schon alles probiert. falls ihr mehr informationen braucht gebt bescheid.

liebe grüße

...zur Frage

Debian 10, einem User alle Rechte wegnehmen?

Guten Tag,

Gibt es eine Möglichkeit, einem User alle Rechte (bis auf su) wegzunehmen? Also keine Befehle mehr ausführen (ausser su) und keine Dateien lesen / schreiben / ausführen?

Ein Login via SSH sollte jedoch mit dem User noch möglich sein.

...zur Frage

Linux Berechtigungen richtig einstellen (Debain)?

Hallo, ich habe aktuell ein FiveM Server Projekt (irrelevant für die frage, aber besser fürs Verständnis). Dafür habe ich mir einen VPS mit Debian 10 geholt. Auf dem Server laufen ein Teamspeakserver, ein Fivem Server(FXServer) und ein Discord Bot. Bisher habe ich alles immer als root editiert und gestartet, was für die Grundeinrichtung angenehm war. Jetzt möchte ich das System voll absichern und auch weiteren Leuten Serverzugriff geben.

Am liebsten würde ich das mit Gruppen Lösen. Dass ich einfach neue user erstellen kann, diese dann einer Gruppe zuweise damit diese rechte haben.

Die Serverdaten liegen unter:

/root/nextroleplay/server

/server-data

/discord-bot

Ich hätte gerne zwei Gruppen: dev und admin

admin soll vollen zugriff auf: .../server haben (also auch ausführen(rwx))

dev nur auf .../server/server-data/ressources (nur lesen, schreiben (rw))

Der Besitzer der Dateien soll entweder root bleiben oder ein anderer Benutzer, die anderen Gruppen/Benutzer sollen lediglich lese und schreib rechte haben.

...zur Frage

Debian -> "Chrome kann nicht als Root ausgeführt werden"

Hallo, ich hab jetzt mal Debian installiert, wollte Google Chrome installieren, jedoch kommt beim Starten folgende Fehlermeldung:

Google Chrome kann nicht als Root ausgeführt werden.

Starten Sie Google Chrome als gewöhnlicher Nutzer. Um Chrome als "Root" auszuführen, müssen Sie ein alternatives --user-data-dir zum Speichern von Profilinformationen angeben.

Ich möchte Chrome nicht als normaler Nutzer starten jedes Mal. Weiß jemand, wo ich --user-data-dir finde, oder wie ich ein alternatives user-data-dir zum Speichern von Profilinformationen angebe?

MfG

...zur Frage

Kali Linux sudo, root, ls?

Hallo,

wenn ich in Kali Linux im Terminal Emulator ins root Verzeichnis (?) wechseln möchte (cd /root) kommt eine Fehlermeldung "access denied" also habe ich über sudo su ins root gewechselt, steht auch dann bei pwd da aber wenn ich mir den Inhalt(?) ausgeben lassen möchte über ls komme ich in die nächste Zeile ohne dass alle Ordner aufgezählt werden, es passiert nichts.

Wie mach ich es dass ich von Anfang an SuperUser bin und nicht über sudo su wechseln muss und wie kann ich den Inhalt(?) vom root als SU einsehen mit ls wenn nichts angezeigt wird?

...zur Frage

Filezilla auf Debian GNU/Linux 11?

Hallo meine Frage ist wie ich filezilla auf meine root der er installieren es hat keine gui und ich benutze Termius

Und keine command mit Sudo es geht nicht !!!

...zur Frage

Java 17 installieren?

Ich wollte gerade Java 17 auf meinem Debian 10 root Server installieren.

Nun bekomme ich aber diese Fehlermeldung.

Was muss ich jetzt tun.

...zur Frage

Debian 10 User rechte geben um über WinSCP zu arbeiten?

Guten Tag,

ich habe um meinen Root Server besser zu sichern, den Root Login deaktiviert. Das ist bei Putty auch kein Problem. Ich melde mich mit dem anderen Benutzer an, und wechsel dann zum root.
Nun möchte ich aber über WinSCP Dateien hochladen und bearbeiten, aber der Einlogg Benutzer hat dazu keine Rechte, wie kann ich dieses Problem beheben, brauch der Anmeldungs Benutzer die Rechte um da in WinSCP Dateien löschen, bearbeiten und hochladen zu können oder kann man in WinSCP den Benutzer wechseln, ohne sich neu anzumelden? Oder gibt es andere Lösungs Möglichkeiten? Bitte dann auch den Command mit dazu schreiben, falls einer für die Lösung gebraucht wird.

Ich verwende Debian 10.

MFG,
No0bMLG

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen