sudo - Rechte eines Benutzers anzeigen

Dieses Thema im Forum "Anwendungen" wurde erstellt von cfertsch, 27.02.2008.

  1. #1 cfertsch, 27.02.2008
    Zuletzt bearbeitet: 01.03.2008
    cfertsch

    cfertsch Jungspund

    Dabei seit:
    24.06.2003
    Beiträge:
    10
    Zustimmungen:
    0
    Besten Dank

    Gruß

    Christian
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 supersucker, 27.02.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Code:
    grep dein_user /etc/sudoers
     
  4. #3 cfertsch, 27.02.2008
    cfertsch

    cfertsch Jungspund

    Dabei seit:
    24.06.2003
    Beiträge:
    10
    Zustimmungen:
    0
    %gruppenname1

    %gruppenname2

    %gruppenname3
     
  5. Rvg

    Rvg Doppel-As

    Dabei seit:
    11.07.2004
    Beiträge:
    141
    Zustimmungen:
    0
    sudo -l

    siehe auch sudo(8)
     
  6. #5 cfertsch, 29.02.2008
    cfertsch

    cfertsch Jungspund

    Dabei seit:
    24.06.2003
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo Rvg,

    vielleicht habe ich mich unklar ausgedrückt, aber das ich "sudo -l " kenne
    geht schon aus dem Posting hervor.

    Folgendendes Szenario: ich bin root, und habe eine große sudoers
    Datei. Jetzt möchte ich wissen, welche Befehle darf der Benutzer "egon"
    ausführen.

    Gruß
    Christian
     
  7. #6 thierce, 29.02.2008
    thierce

    thierce Jungspund

    Dabei seit:
    26.12.2007
    Beiträge:
    12
    Zustimmungen:
    0
    Öhm... kommt doch drauf an was in der /etc/sudoers drinsteht bzw in welchen Gruppen der ist?
     
  8. #7 Jabo, 29.02.2008
    Zuletzt bearbeitet: 29.02.2008
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    was war denn an supersuckers Vorschlag nicht gut, einfach "grep" mit dem Usernamen auf die sudoers-Datei abzufeuern?
     
  9. #8 gropiuskalle, 29.02.2008
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Das klappt so nicht:

    Code:
    hoppers:~ # grep kalle /etc/sudoers
    kalle    ALL=(ALL) ALL
    Code:
    kalle@hoppers:~> sudo -l
    User kalle may run the following commands on this host:
        (ALL) ALL
        (root) NOPASSWD: /bin/mount -o loop* -t iso9660* /home/*/.kisotmp/*
        (root) NOPASSWD: /bin/umount /home/*/.kisotmp/*
        (ALL) ALL
     
  10. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    erstaunlich.

    Bei mir zeigt das als root mit grep genau das, was ich als User mit sudo -l kriege...
     
  11. #10 gropiuskalle, 29.02.2008
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Öhm... wieso das denn? grep grept doch lediglich die Zeilen, in der das angegebene Wort zu finden ist, bei mir sieht die komplette mount/umount-Freigabe in der sudoers für kalle so aus:

    Code:
    ALL ALL=NOPASSWD:/bin/mount -o loop* -t iso9660* /home/*/.kisotmp/* ,/bin/umount /home/*/.kisotmp/*
    kalle    ALL=(ALL) ALL
    ...ansonsten steht nirgends ein kalle.
     
  12. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    du hast da ein "ALL" und ein "kalle". Bei "kalle" steht kurz und bündig " ALL=(ALL) ALL".

    Genau das hat grep doch ausgegeben.....

    Bei mir steht das anders:
    Code:
    # grep jens /etc/sudoers
    jens    ALL = (root) NOPASSWD:  /bin/dd, /root/mail_restart.sh, /home/jens/bin/mail_restart, (root)  NOPASSWD: /root/x_chown.sh, (root) NOPASSWD: /opt/kde3/bin/kiso
    
    und das sagt sudo -l:
    Code:
    ~> sudo -l
    User jens may run the following commands on this host:
        (ALL) ALL
        (root) NOPASSWD: /bin/dd
        (root) NOPASSWD: /root/mail_restart.sh
        (root) NOPASSWD: /home/jens/bin/mail_restart
        (root) NOPASSWD: /root/x_chown.sh
        (root) NOPASSWD: /opt/kde3/bin/kiso
        (root) NOPASSWD: /bin/mount -o loop* -t iso9660* /home/*/.kisotmp/*
        (root) NOPASSWD: /bin/umount /home/*/.kisotmp/*
    
    Das ist genau das, was mir als "jens" erlaubt ist plus natürlich das, was für "ALL" erlaubt ist...
     
  13. #12 cfertsch, 29.02.2008
    Zuletzt bearbeitet: 29.02.2008
    cfertsch

    cfertsch Jungspund

    Dabei seit:
    24.06.2003
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo,

    warum das mit dem grep keine Lösung ist?

    1. Weil in der sudoers keine Benutzernamen stehen.
    2. Wenn die Befehle über mehrere Zeilen gehen reicht ein einfaches
    grep nicht mehr.

    @jens: Das sudo -l hast Du als Benutzer ausgeführt, und nicht als root.
    Das NOPASSWD: ist in der Praxis nicht üblich, das wenn ich als root auf den jens
    switche und sudo -l mache muss ich das Passwort wissen

    Gruß
    Christian
     
  14. #13 Jabo, 29.02.2008
    Zuletzt bearbeitet: 29.02.2008
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Ganz genau, ja. Du wolltest aber wissen, wie du als root siehst, was für einen User in der sudoers erlaubt ist, so zumindest war die Frage.

    Den Satz verstehe ich nicht ganz, das NOPASSWD ist für mich der Hauptgrund, sudoers überhaupt zu benutzen. Ich will einfach bestimmte Befehle erlauben und die eingeben können.

    In meiner Liste siehst du auch Shellscripte. Wenn ich nicht möchte, daß ein User einen root-Befehl komplett nutzen kann, sondern nur in einem bestimmten Kontext, dann schreibe ich ein Script, das seinerseits root-Rechte braucht und den Befehl genau so anwendet - nur so und nicht anders. Und *das* erlaube ich ihm dann ohne Paßwort in der sudoers. Für mich ist sowas überhaupt der Sinn der Sache, sonst kann ich auch su machen und das als root ausführen, wenn ich das Paßwort eh brauche. Oder sudo <Befehl> mit root-Paßwort.

    Und doch, da stehen Usernamen drin. Gerade in meinem Beispiel zumindest.

    Wenn keine drin stehen, hast du über sudoers niemandem was erlaubt und deine Frage ist obsolet... oder ich hab sie generell falsch verstanden.

    Du könntest in den gängigen Verzeichnissen (/bin, /sbin, /usr/bin ...) mal alles auflisten, das root:root gehört und kein x für "others" hat. Die darf er nicht, alle anderen darf er.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 cfertsch, 01.03.2008
    Zuletzt bearbeitet: 01.03.2008
    cfertsch

    cfertsch Jungspund

    Dabei seit:
    24.06.2003
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo Jabo,

    sorry aber ich muss Dir nochmal auf die Sprünge helfen.

    sudo und su ist nicht das selbe

    Es macht auf jeden Fall sinn ein Kennwort eingeben zu müssen.
    Stell Dir mal ein vergessenes offenes Terminal vor. Übrigens geht
    es bei unserer "sudoers" Datei um ca. 3000 Benutzer und 300 Gruppen
    auf ca. 300 Servern.

    Und falls Du es noch nicht bemerkt hast, musst Du wenn Du als
    Benutzer "jens" sudo machst nicht das root Kennwort eingeben,
    das wäre ja Blödsinn, sondern Dein Benutzerkennwort, und das solltest
    Du ja wissen.

    So und jetzt sollte auch klar sein, wen ich root bin und auf den Benutzer switche
    das ich bei einem "sudo -l" das Kennwort des Benutzers nicht weiss


    Vielleicht hast Du trotzdem noch eine Idee, wir ich mir als "root"
    mit einem einfachen Befehl die Rechte eines Benutzers anzeigen kann.

    Übrigens auf Shellskripte, Befehle wie "vi" , "more" oder less ist es
    extrem gefährlich sudo Rechte zu geben

    Und bei der Anzahl von Benutzer stimmst Du mir bestimmt zu das es auf Gruppenebene
    besser zu administrieren ist.

    Aktuell muss ich mir also die Arbeit machen nachzusehen in welchen Gruppen ein Benutzer
    ist um dann in der sudoers nachzusehen welche Befehle er auf welchem System ausführen darf.
    Du weisst das man in der sudoers auch Gruppen eintragen kann?
    Du weisst das man eine sudoers für alle System pflegen kann und diese dann verteielen kann.

    Viele Grüße
    Christian
     
  17. #15 Jabo, 01.03.2008
    Zuletzt bearbeitet: 01.03.2008
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Das ist mir schon klar, wir haben uns da wohl mißverstanden.

    Das hängt halt extrem von der Umgebung ab, die die du hier (übrigens gerade zum ersten mal im Thread) beschreibst, legt grundsätzlich strenge Regeln nahe.

    Ich meinte, daß ich das Eingeben des Kennwortes für einen bestimmten Befehl tatsächlich einsparen wollte, da ist es dann egal, welches fällig wäre. Und zum Paßwort schau mal mein Beispiel unten. Ich brauche ohne NOPASSWD definitv das root-Paßwort in dem Fall. Mit der sudoers könnte ich das jemandem erlauben, ohne ihm das Paßwort sagen zu müssen. *Das* fände ich nämlich gefährlich.

    Bei mir geht es aber auch nicht um so viele Leute, das ist klar. So eine Situation haben wir auch auf unseren Kundenservern nicht, weil die nicht direkt daran arbeiten bzw. überhaupt Unix-/ Linux-Terminals haben.

    na sicher ist das klar, ich hab sudo -l als Vergleichsausgabe gepostet, nicht als Lösung, aber ich dachte das hätte ich auch gesagt?

    Also, das "mailrestart"-Dings z.B. macht in einem Rutsch einen Neustart von Postfix und Fetchmail, das hat einen bestimmten Grund, warum ich das als User auf *diesem* Rechner können möchte. Die Init-Scripte direkt starten oder stoppen oder den Daemons irgend welche Parameter übergeben kann ich deshalb noch lange nicht.

    Und wenn ich das NOPASSWD da raus nehme, brauche ich definitv das root-Paßwort und nicht meins, sonst passiert das:
    Code:
    ~> mailrestart
    Password:
    Sorry, try again.
    
    Unbedingt!

    Aber das kannst du doch auch verskripten. "groups" auf den User und die Antwort in ein Array, damit dann sudoers durch baggern. Ob du nun nach nem User grepst oder nach der Gruppe, ist grep doch eigentlich egal...

    Ja sicher. s.o., dann greppe halt nach der Gruppe.... und frage die für den User vorher ab.

    Ja, es ist ja eine Datei. Die kann man durch die Gegend kopieren, das überrascht mich nicht sooo sehr :)

    [Edit]
    Du sagst, fällt mir gerade ein, daß du das als root feststellen möchtest. Was spricht dagegen:
    Code:
    #sudo -u Benutzername sudo -l
    
    Als root mußt du ja bei sudo -u Benutzername nicht dessen Kennwort wissen. Bei mir führt das zu exakt der selben Ausgabe wie sudo -l als der User.
     
Thema: sudo - Rechte eines Benutzers anzeigen
Besucher kamen mit folgenden Suchen
  1. liste der sudo rechte anzeigen

    ,
  2. linux sudo berechtiungen

    ,
  3. sudo berechtigungen user linux anzeigen

    ,
  4. sudo anzeigen
Die Seite wird geladen...

sudo - Rechte eines Benutzers anzeigen - Ähnliche Themen

  1. su - sudo rückgänig gehen

    su - sudo rückgänig gehen: Hallo, ich habe ein Spiel wo man kein root sein sollte. Wie kann ich mich als root wieder abmelden? Exit beendet den Task. Wenn man sich mit su...
  2. Premierminister von Singapur veröffentlicht Sudoku-Lösungsprogramm

    Premierminister von Singapur veröffentlicht Sudoku-Lösungsprogramm: Der amtierende Premierminister von Singapur Lee Hsien Loong hat, nachdem er beiläufig ein von ihm geschriebenes Sudoku-Lösungsprogramm erwähnt...
  3. Dateien im Verzeichnis /var/lib/sudo/[user]/ zu was

    Dateien im Verzeichnis /var/lib/sudo/[user]/ zu was: Hallo zusammen, ich bin auf das o.g. Verzeichnis gestossen und musste feststellen, dass in diesem Verzeichnis ca. 2300 Element enthalten sind und...
  4. sudo Problem

    sudo Problem: Hi Ich möchte per Nagios und einem Perl Script /var/log/messages nach bestimmten Einträgen durchsuchen...soweit so gut. Da der nagios User...
  5. Mounten ohne sudo/root/fstab

    Mounten ohne sudo/root/fstab: Hallo, vl übersehe ich nur was ganz offensichtliches oder so ... Nunja gibt es eine Möglichkeit einem normalen Nutzer das mounten von (meist...