donald ALL=/usr/bin/*, !/usr/bin/vim
Alternativ können Sie auch festlegen, dass bestimmte Kommandos nur mit den Rechten anderer Nutzer ausgeführt werden, indem Sie die sogenannte Runas-Option setzen. Um etwa zu genehmigen, dass der User Donald Dateien in /var/www/ editiert, die www-data gehören, könnten Sie der /etc/sudoers folgende Zeile hinzufügen:
donald ALL=(www-data) /usr/bin/vim /var/www/*
Donald darf anschließend mit sudo -u www-data vim /var/www/datei die Dateien in /var/www/ bearbeiten. Wie Sie sehen, erlaubt Sudo also auch Parameter hinter den Befehlen.
Ein weiteres Risiko kann ein zu langer Timeout darstellen. Nachdem Sie sudo ausgeführt und Ihr Passwort eingegeben haben, dürfen Sie standardmäßig noch 15 Minuten lang weitere Befehle mit Sudo absetzen, ohne erneut Ihr Passwort eingeben zu müssen. Die damit einhergehende Gefahr liegt auf der Hand. Sie begegnen ihr, indem Sie die Standardeinstellungen in der /etc/sudoers überschreiben. Die Zeile Defaults timestamp_timeout=1 sorgt dafür, dass man schon nach einer Minute statt erst nach einer Viertelstunde eine weitere Sudo-Anweisung per Passwort authentifizieren muss. Setzen Sie den Wert auf null, verlangt Sudo bei jedem Aufruf die Angabe des Passworts.
Fazit
Solange Sie allein mit Ihrem RasPi arbeiten, brauchen Sie sich um Themen wie Sudo nicht viele Gedanken zu machen. Das ändert sich erst, sobald zusätzliche Nutzer hinzukommen und Sie administrative Aufgaben delegieren oder erlauben. Mit Sudo haben Sie ein Werkzeug in der Hand, mit dem Sie Rechte und Privilegien gezielt vergeben können.
Zu den größten Vorteilen von Sudo zählt, dass Sie das Root-Passwort nicht herausrücken müssen und das System den Einsatz des Kommandos gut protokolliert. Damit können Sie jederzeit nachvollziehen, welcher Benutzer welche Programme mit sudo gestartet hat.
Bei allem Nutzen sollten Sie aber die Risiken nie aus den Augen verlieren: Wird ein privilegiertes Benutzerkonto gehackt oder wandelt ein Anwender plötzlich auf abwegigen Pfaden, kann der Schaden beträchtlich ausfallen, wenn Sie bei der Privilegienvergabe zu großzügig waren.
Dieser Artikel stellt nur einen ersten Einstieg in Sudo dar, der vieles unberücksichtigt lässt – etwa Platzhalter oder reguläre Ausdrücke in der /etc/sudoers. Möchten Sie sich diesbezüglich schlauer machen, empfiehlt sich die Lektüre der Manpages zu sudoers, sudo und visudo.





