Sudo – Ich will ROOT!

„sudo“ gibt jedem lokalem User, mit oder ohne passwort, fein abstimmbare ROOT-Rechte.


Die momentan aktuelle Version ist: „1.6.8p5, released on November 28, 2004“.

Homepage: http://www.courtesan.com/sudo/

Installieren:
Bei BSD:
# cd /usr/ports/security/sudo
/usr/ports/security/sudo # make install && make clean

Als SuSe RPM (für Warmduscher):
# rpm -i sudo-1.6.8p5.i586.rpm

Händisch (die beste Methode):
/usr/local/src # wget http://www.courtesan.com/sudo/dist/sudo-1.6.8p5.tar.gz
/usr/local/src # tar xzf sudo-1.6.8p5.tar.gz
/usr/local/src # cd sudo-1.6.8p5
/usr/local/src/sudo-1.6.8p5 # ./configure –with-mailto=externe@mailadresse
/usr/local/src/sudo-1.6.8p5 # make && make install && make clean

Soviel zum Installieren, nun das konfigurieren.
Die „sodoers“ befindet sich bei mir in /usr/local/etc. Ich schreibe nur eine
minimale sudoers mit zwei Usern die volle ROOT-Rechte, ohne Passworteingabe haben.
In einem sicheren System hat als einzigstes ROOT ein Passwort. Und ROOT Zugriff
sollte es nur via sudo oder Konsole geben können. Auch sollte es keine Gruppenaccounts
(Accounts für mehr als eine Person) geben.
# vi /usr/local/etc/sudoers


User_Alias FULL=username1,username2
FULL ALL=(ALL) NOPASSWD: ALL
root ALL=(ALL) NOPASSWD: ALL

Hier jetzt die ganze Konfig/Macht von sudo zu beschreiben sprengt den Rahmen.
Damit kann man ganze Bücher füllen.

Wenn man nun auf in der Shell:
$ sudo su –
eingibt bekommt man, sofern der loginname in der sudoers drinsteht, ohne weitere
Umschweife eine ROOT-Shell
Sollte der User nicht in der Sudoers stehen bekommt der Admin, unter der
Mailadresse die beim „./configure“ angegeben wurde, eine Notify-Mail. Man sollte
diese Mailadresse sicherheitshalber immer beim configure festlegen und sie sollte
extern sein.