Forum Debian Users Gang

Archie · 2019-10-28 20:32:07

Mam stworzone 2 konta (Debian10) :
root haslo1
Archi haslo2

I mianowice przy próbie instalacji nowych programow na koncie Archie pojawia się
"Username is not in the sudoers file. This incident will be reported" i jestem zmuszowny zalogować się jako root i dopiero wtedy wykonać polecenie

rozwiazaniem jest edycja /etc/sudoers.orginal
User privilege specification
root ALL=(ALL:ALL) ALL
Archi ALL=(ALL:ALL) ALL

Ale teraz powstaje pytanie to po co mi w takim razie konto roota jeśli od tej pory użyrkownik Archi może robić wszystko to co root?
Czy od tej pory powinienem stworzyć jeszcze jedno konto (użytkownika bez uprawnien roota) do zwyklych komend ?

Jakie jest najlepsze rozwiązanie z puktu widzenia bezpieczeństwa systemu?
Czy

p.s.
Przed instalacja systemu wyczytałem iż porzebujemy konta root i zwykłego użtkownika do obsługi komend nie wymagających uprawnień root

Świat_Linuksa · 2019-10-28 20:47:22

@Archie

Dzięk sudo nabywasz uprawnienia administratora ale tylko na daną sesje w terminalu oraz na określony czas a nie na stałe .

Nie jestem specjalistą od spraw bezpieczeństwa ale takie rozwiązanie jest bezpieczne o ile program lub skrypt który uruchamiasz z podwyższonymi uprawnieniami jest zaufany

ilin · 2019-10-28 21:08:54

Archie napisał(-a):
Mam stworzone 2 konta (Debian10) :
root haslo1
Archi haslo2

I mianowice przy próbie instalacji nowych programow na koncie Archie pojawia się
"Username is not in the sudoers file. This incident will be reported" i jestem zmuszowny zalogować się jako root i dopiero wtedy wykonać polecenie

rozwiazaniem jest edycja /etc/sudoers.orginal
User privilege specification
root ALL=(ALL:ALL) ALL
Archi ALL=(ALL:ALL) ALL

Ale teraz powstaje pytanie to po co mi w takim razie konto roota jeśli od tej pory użyrkownik Archi może robić wszystko to co root?
Czy od tej pory powinienem stworzyć jeszcze jedno konto (użytkownika bez uprawnien roota) do zwyklych komend ?

Jakie jest najlepsze rozwiązanie z puktu widzenia bezpieczeństwa systemu?
Czy

p.s.
Przed instalacja systemu wyczytałem iż porzebujemy konta root i zwykłego użtkownika do obsługi komend nie wymagających uprawnień root

Czyś ty chłopie z byka spadł.
Właśnie ze zwykłego uzytkownika zrobiłeś sobie roota.
Po co w takim razie root ?

Wyważasz otwarte drzwi.

sudo słuzy do nadawania zwykłemu użytkownikowi praw do scisle okreslonych czynności wymagających normalnie uprawnien roota.

Po za tym nie ma w debianie takiego pliku jak

Kod:

/etc/sudoers.orginal

Archie · 2019-10-28 21:18:19

ilin napisał(-a):
Archie napisał(-a):
Mam stworzone 2 konta (Debian10) :
root haslo1
Archi haslo2

I mianowice przy próbie instalacji nowych programow na koncie Archie pojawia się
"Username is not in the sudoers file. This incident will be reported" i jestem zmuszowny zalogować się jako root i dopiero wtedy wykonać polecenie

rozwiazaniem jest edycja /etc/sudoers.orginal
User privilege specification
root ALL=(ALL:ALL) ALL
Archi ALL=(ALL:ALL) ALL

Ale teraz powstaje pytanie to po co mi w takim razie konto roota jeśli od tej pory użyrkownik Archi może robić wszystko to co root?
Czy od tej pory powinienem stworzyć jeszcze jedno konto (użytkownika bez uprawnien roota) do zwyklych komend ?

Jakie jest najlepsze rozwiązanie z puktu widzenia bezpieczeństwa systemu?
Czy

p.s.
Przed instalacja systemu wyczytałem iż porzebujemy konta root i zwykłego użtkownika do obsługi komend nie wymagających uprawnień root
Czyś ty chłopie z byka spadł.
Właśnie ze zwykłego uzytkownika zrobiłeś sobie roota.
Po co w takim razie root ?

Wyważasz otwarte drzwi.

sudo słuzy do nadawania zwykłemu użytkownikowi praw do scisle okreslonych czynności wymagających normalnie uprawnien roota.

Po za tym nie ma w debianie takiego pliku jak
Kod:
/etc/sudoers.orginal

Niby to dodanie do sudoers group jest rozwiazaniem problemu z którym się właśnie spotykam mianowice przy próbie instalacji nowych programow na koncie Archie po wprowadzeniu hasła pojawia się
"Username is not in the sudoers file. This incident will be reported" i jestem zmuszowny zalogować się jako root i dopiero wtedy wykonać polecenie

https://stackoverflow.com/questions/47806576/userna … l-be-reported

jacekz · 2019-10-28 21:29:14

podaj wyniki (z roota):
groups Archi
i pełną odpowiedź na visudo

arecki · 2019-10-28 21:30:27

No bo wpisujesz nie do tego pliku.
Ten "orginal" powstał pewnie przy okazji jakiejś aktualizacji.
Wpisuj do /etc/sudoers

Archie · 2019-10-28 21:58:40

jacekz napisał(-a):
podaj wyniki (z roota):
groups Archi
i pełną odpowiedź na visudo

Archi : Archi cdrom floppy audio dip video plugdev netdev bluetooth lpadmin

bash: visudo: command not found

@arecki Posiadam śwoeży system deb10buster x64. Przy instalacji tworzyłem konto root i Archi

Ostatnio edytowany przez Archie (2019-10-28 22:00:08)

jacekz · 2019-10-28 22:02:20

1) nie dodałeś siebie do grupy sudo
2) z roota?

hi · 2019-10-28 22:07:30

arecki napisał(-a):
Ten "orginal" powstał pewnie przy okazji jakiejś aktualizacji.

wątpliwa sprawa skąd to się tam wzięło i co tam robi :)

Pliki konfiguracyjne stworzone przez dpkg mogą mieć następujące sufiksy:
.dpkg-old — kopia pliku z dysku twardego, tworzona gdy użytkownik zdecyduje się nadpisać swój plik konfiguracyjny plikiem z
pakietu
.dpkg-dist — kopia pliku z pakietu, tworzona gdy użytkownik zdecyduje się pozostawić swój plik konfiguracyjny
.dpkg-new — kopia pliku z pakietu, tworzona gdy użytkownik zdecyduje się uruchomić powłokę w celu zbadania sytuacji

Ostatnio edytowany przez hi (2019-10-28 22:13:37)

Archie · 2019-10-28 22:16:06

jacekz napisał(-a):
1) nie dodałeś siebie do grupy sudo
2) z roota?

1 nie
2 nie

Posiadam taki plik
/etc/sudoers

Nic nie edytowałem jeszcze
Kolega @ilin wyżej sugerował żeby nie dodawać usera do uprawnień roota

jacekz · 2019-10-28 22:18:16

On raczej sugerował by nie robić tego na opisany w poście 1 sposób...
Zrób to poprawnie to nie będzie kłopotów.

Kod:

# usermod -G sudo Archi

Ostatnio edytowany przez jacekz (2019-10-28 22:19:37)

Archie · 2019-10-28 22:29:56

jacekz napisał(-a):
On raczej sugerował by nie robić tego na opisany w poście 1 sposób...
Zrób to poprawnie to nie będzie kłopotów.
Kod:
# usermod -G sudo Archi

dzieki
według tego https://unix.stackexchange.com/questions/476416/add … -sudoers-file
zpiszą że to prawie to samo tyle że twoja komenda to -G anie -aG

Pytanie jaki to w praktyce daje efekt żeby właściwie mieć 2 konta z uprawnieniami superusera ?
Czy w praktyce przelogowujecie się na konto roota z usera żeby coś zainstalować?
Nie mogę tego rozwiązania za bardzo zrozumieć

jacekz · 2019-10-28 22:34:03

Stosujesz sudo w celu wykonania polecenia z uprawnieniami administratora.
Oczywiście jesteś proszony o podanie swojego hasła (użytkownika).
To zwykły i przyjęty sposób na chwilowe podniesienie uprawnień.

Ostatnio edytowany przez jacekz (2019-10-28 22:34:23)

Archie · 2019-10-28 22:39:56

jacekz napisał(-a):
Stosujesz sudo w celu wykonania polecenia z uprawnieniami administratora.
Oczywiście jesteś proszony o podanie swojego hasła (użytkownika).
To zwykły i przyjęty sposób na chwilowe podniesienie uprawnień.

Ok ale jak tu jest różnica jeśli wykonam polecenie z konta Archi z uprawnieniami roota (po wykonaniu polecenia"usermod -G sudo Archi"), a zaloguje sie na konto root i dopiero wtedy powiedzmy zainstaluje jakiś program ?
p.s.
Wcześnie wydawało mi się że takie konto user ma powiedzmy połowe jakiś specjalnych uprawnien roota

Ostatnio edytowany przez Archie (2019-10-28 22:41:52)

jacekz · 2019-10-28 22:45:49

Koledzy zapewne za chwilę mnie poprawią, ale różnica jest właśnie taka jak
opisałeś to w pytaniu:
- jak pomiędzy uruchomieniem polecenia z odpowiednimi uprawnieniami a pracą na koncie administratora.

są różne przyzwyczajenia, możesz pewne zadania wykonywać przez konsole/terminal wykonując

Kod:

su -

ad ps
nie ma

Ostatnio edytowany przez jacekz (2019-10-28 22:46:54)

Archie · 2019-10-28 22:55:26

jacekz napisał(-a):
Koledzy zapewne za chwilę mnie poprawią, ale różnica jest właśnie taka jak
opisałeś to w pytaniu:
- jak pomiędzy uruchomieniem polecenia z odpowiednimi uprawnieniami a pracą na koncie administratora.

są różne przyzwyczajenia, możesz pewne zadania wykonywać przez konsole/terminal wykonując
Kod:
su -
ad ps
nie ma

Czyli dając uzytkownikowi uprawnienia roota różnica jest taka że wprowadzoną komende sudo potwierdzamy jednorazowo ?
W takim przypadku to używając konta usera każdą komende wymagajaca sudo musimy potwierdzac hałem usera hmm..

I dlaczego wogóle po instalacji systemu trzeba nadawać uprawnienia roota userowi ponieważ wyskakuje błąd ""Username is not in the sudoers file. This incident will be reported" ?

Ostatnio edytowany przez Archie (2019-10-28 22:59:22)

jacekz · 2019-10-28 23:03:42

Archie napisał(-a):
Czyli dając uzytkownikowi uprawnienia roota różnica jest taka że wprowadzoną komende sudo potwierdzamy jednorazowo ?
W takim przypadku to używając konta usera każdą komende wymagajaca sudo musimy potwierdzac hałem usera hmm..

I dlaczego wogóle po instalacji systemu trzeba nadawać uprawnienia roota userowi ponieważ wyskakuje błąd ""Username is not in the sudoers file. This incident will be reported" ?

O widzę, że kolega lubi komplikować sprawy:
zakończmy:
1) Zawsze pracujesz na koncie zwykłego użytkownika,
2) Chcąc wykonać polecenie z wyższymi uprawnieniami poprzedzasz je sudo,
3) Jeśli użytkownik nie jest w grupie sudo to powyższe kończy się właśnie takim komunikatem...

Archie · 2019-10-28 23:08:46

jacekz napisał(-a):
Archie napisał(-a):
*Czyli dając uzytkownikowi uprawnienia roota różnica jest taka że wprowadzoną komende sudo potwierdzamy jednorazowo ?
W takim przypadku to używając konta usera każdą komende wymagajaca sudo musimy potwierdzac hałem usera hmm..

I dlaczego wogóle po instalacji systemu trzeba nadawać uprawnienia roota userowi ponieważ wyskakuje błąd ""Username is not in the sudoers file. This incident will be reported" ?
O widzę, że kolega lubi komplikować sprawy:
zakończmy:
1) Zawsze pracujesz na koncie zwykłego użytkownika,
2) Chcąc wykonać polecenie z wyższymi uprawnieniami poprzedzasz je sudo,
3) Jeśli użytkownik nie jest w grupie sudo to powyższe kończy się właśnie takim komunikatem...

ok dzieki za odpowiedzi , ale tutaj troche przesadzasz zadaje konkretne pytanie * a ty mówisz że komplikuje
Nie, po prostu jestem ciekaw dlaczego, bez zrozumienia to po prostu przepisywanie komend które ktoś podaje

jacekz napisał(-a):
On raczej sugerował by nie robić tego na opisany w poście 1 sposób...
Zrób to poprawnie to nie będzie kłopotów.
Kod:
# usermod -G sudo Archi

Czy komenda nie powinna być: usermod -aG sudo <username> ???
https://vitux.com/how-to-manage-user-accounts-in-debian-10/
https://dev.to/robertopreste/adding-users-to-the-sudo-group-2914

Ostatnio edytowany przez Archie (2019-10-28 23:36:33)

hi · 2019-10-28 23:47:28

Debian to porządny system:

Kod:

nikt@debian:~$ apt-cache policy sudo
sudo:
  Zainstalowana: (brak)
  Kandydująca:   1.8.28p1-1
  Tabela wersji:
     1.8.28p1-1 500
        500 https://deb.debian.org/debian unstable/main amd64 Packages

Daj mi choćby jeden sensowny powód użytkowania sudo na jednoosobowej maszynie desktopowej (wnioskuję, że o takiej tu mowa) a utnę sobie paleca :)

btw.

Kod:

su -l root

przelogowanie

Kod:

su -l user

Ostatnio edytowany przez hi (2019-10-29 00:00:14)

Archie · 2019-10-29 00:20:11

Nawiązując do wpisu
https://devconnected.com/how-to-add-a-user-to-sudoe … an-10-buster/

Jaka jest różnica pomiędzy I – dodanie istniejącego użytkownika do sudo group , II – dodanie istniejącego użytkownika do sudoers file ?
Która opcja jest bezpieczniejsza do użycia w praktyce ?

hi · 2019-10-29 00:24:51

sudo to bezpośrednie zagrożenie dla systemu a nie umiejętnie skonfigurowane go kładzie system od razu :)

https://www.cvedetails.com/product/200/Todd-Miller- … vendor_id=118

btw. z tego miesiąca:
https://securityboulevard.com/2019/10/sudo-vulnerab … e-2019-14287/

łap przykład konfiga :

Kod:

Defaults        env_reset, timestamp_timeout=0
Defaults        mail_badpass
Defaults        logfile="/var/log/sudo.log"
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

root    ALL=(ALL:ALL) ALL
nikt ALL= /usr/local/bin/vpn-stop, /usr/local/bin/vpn-start
nikt ALL= NOPASSWD: /sbin/reboot, /sbin/shutdown

czytanka:
https://dug.net.pl/tekst/63/przewodnik_po_sudo/

Ostatnio edytowany przez hi (2019-10-29 01:30:57)

ilin · 2019-10-29 07:03:52

Z pierwszego postu wynika ze jest to maszyna z jednym użytkownikiem.
Jaki jest więc sens molestować to sudo.

Chcesz instalować programy przelogowujesz się przez

Kod:

su -

na roota i instalujesz.
Po zainstalowaniu wylogowywujesz sie poprzez

Kod:

 exit

bądź

Kod:

Ctrl + d

Do czego innego ci to sudo potrzebne?
Gdyby istniał kolejny użytkownik np X i nie znał hasła roota a chciałbyś mu pozwolić instalować programy wówczas za pomocą sudo nadajesz mu uprawnienia do tego.

Dla mnie to jakiś windowsowy sposób myślenia.

arecki · 2019-10-29 07:53:19

hi napisał(-a):
sudo to bezpośrednie zagrożenie dla systemu a nie umiejętnie skonfigurowane go kładzie system od razu :)

Chyba się przejęzyczyłeś, ale z ciekawości zapytam: Jaka konfiguracja sudo kładzie system od razu?

ilin · 2019-10-29 08:32:35

arecki napisał(-a):
hi napisał(-a):
sudo to bezpośrednie zagrożenie dla systemu a nie umiejętnie skonfigurowane go kładzie system od razu :)
Chyba się przejęzyczyłeś, ale z ciekawości zapytam: Jaka konfiguracja sudo kładzie system od razu?

Kod:

user ALL= NOPASSWD:ALL

Kod:

sudo rm -Rf /

:)

arecki · 2019-10-29 09:17:32

Nie no takie coś, to nieumiejętna obsługa.
Ja jestem ciekaw, jaka to konfiguracja kładzie od razu system, czyli zapisuję konfigurację i pyk, system leży :)

Forum Debian Users Gang

Ogłoszenie

#1 2019-10-28 20:32:07

Archie - Użytkownik

Uprawnienia roota i zwykłego usera

#2 2019-10-28 20:47:22

Świat_Linuksa - Użytkownik

Re: Uprawnienia roota i zwykłego usera

#3 2019-10-28 21:08:54

ilin - Palacz

Re: Uprawnienia roota i zwykłego usera

Archie napisał(-a):

Kod:

#4 2019-10-28 21:18:19

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

ilin napisał(-a):

Archie napisał(-a):

Kod:

#5 2019-10-28 21:29:14

jacekz - Użytkownik

Re: Uprawnienia roota i zwykłego usera

#6 2019-10-28 21:30:27

arecki - Użytkownik

Re: Uprawnienia roota i zwykłego usera

#7 2019-10-28 21:58:40

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

jacekz napisał(-a):

#8 2019-10-28 22:02:20

jacekz - Użytkownik

Re: Uprawnienia roota i zwykłego usera

#9 2019-10-28 22:07:30

hi - Zbanowany

Re: Uprawnienia roota i zwykłego usera

arecki napisał(-a):

#10 2019-10-28 22:16:06

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

jacekz napisał(-a):

#11 2019-10-28 22:18:16

jacekz - Użytkownik

Re: Uprawnienia roota i zwykłego usera

Kod:

#12 2019-10-28 22:29:56

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

jacekz napisał(-a):

Kod:

#13 2019-10-28 22:34:03

jacekz - Użytkownik

Re: Uprawnienia roota i zwykłego usera

#14 2019-10-28 22:39:56

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

jacekz napisał(-a):

#15 2019-10-28 22:45:49

jacekz - Użytkownik

Re: Uprawnienia roota i zwykłego usera

Kod:

#16 2019-10-28 22:55:26

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

jacekz napisał(-a):

Kod:

#17 2019-10-28 23:03:42

jacekz - Użytkownik

Re: Uprawnienia roota i zwykłego usera

Archie napisał(-a):

#18 2019-10-28 23:08:46

Archie - Użytkownik

Re: Uprawnienia roota i zwykłego usera

jacekz napisał(-a):

Archie napisał(-a):

jacekz napisał(-a):

Kod:

#19 2019-10-28 23:47:28

hi - Zbanowany

Re: Uprawnienia roota i zwykłego usera

Kod: