Aus Raspberry Pi Geek 02/2014

Programme mit Root-Rechten ausführen (Seite 3)

donald ALL=/usr/bin/*, !/usr/bin/vim

Alternativ können Sie auch festlegen, dass bestimmte Kommandos nur mit den Rechten anderer Nutzer ausgeführt werden, indem Sie die sogenannte Runas-Option setzen. Um etwa zu genehmigen, dass der User Donald Dateien in /var/www/ editiert, die www-data gehören, könnten Sie der /etc/sudoers folgende Zeile hinzufügen:

donald ALL=(www-data) /usr/bin/vim /var/www/*

Donald darf anschließend mit sudo -u www-data vim /var/www/datei die Dateien in /var/www/ bearbeiten. Wie Sie sehen, erlaubt Sudo also auch Parameter hinter den Befehlen.

Ein weiteres Risiko kann ein zu langer Timeout darstellen. Nachdem Sie sudo ausgeführt und Ihr Passwort eingegeben haben, dürfen Sie standardmäßig noch 15 Minuten lang weitere Befehle mit Sudo absetzen, ohne erneut Ihr Passwort eingeben zu müssen. Die damit einhergehende Gefahr liegt auf der Hand. Sie begegnen ihr, indem Sie die Standardeinstellungen in der /etc/sudoers überschreiben. Die Zeile Defaults timestamp_timeout=1 sorgt dafür, dass man schon nach einer Minute statt erst nach einer Viertelstunde eine weitere Sudo-Anweisung per Passwort authentifizieren muss. Setzen Sie den Wert auf null, verlangt Sudo bei jedem Aufruf die Angabe des Passworts.

Fazit

Solange Sie allein mit Ihrem RasPi arbeiten, brauchen Sie sich um Themen wie Sudo nicht viele Gedanken zu machen. Das ändert sich erst, sobald zusätzliche Nutzer hinzukommen und Sie administrative Aufgaben delegieren oder erlauben. Mit Sudo haben Sie ein Werkzeug in der Hand, mit dem Sie Rechte und Privilegien gezielt vergeben können.

Zu den größten Vorteilen von Sudo zählt, dass Sie das Root-Passwort nicht herausrücken müssen und das System den Einsatz des Kommandos gut protokolliert. Damit können Sie jederzeit nachvollziehen, welcher Benutzer welche Programme mit sudo gestartet hat.

Bei allem Nutzen sollten Sie aber die Risiken nie aus den Augen verlieren: Wird ein privilegiertes Benutzerkonto gehackt oder wandelt ein Anwender plötzlich auf abwegigen Pfaden, kann der Schaden beträchtlich ausfallen, wenn Sie bei der Privilegienvergabe zu großzügig waren.

Dieser Artikel stellt nur einen ersten Einstieg in Sudo dar, der vieles unberücksichtigt lässt – etwa Platzhalter oder reguläre Ausdrücke in der /etc/sudoers. Möchten Sie sich diesbezüglich schlauer machen, empfiehlt sich die Lektüre der Manpages zu sudoers, sudo und visudo

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 5 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
RASPBERRY PI GEEK KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Raspberry Pi Geek bei Google Play Readly Logo
Nach oben