• Vastliggende pagina
  • Info
  • Bijlages
Verschillen tussen versies 20 en 21
Versie 20 sinds 2011-01-14 12:44:00
Grootte: 9498
Auteur: rachidbm
Commentaar: wiki protocol
Versie 21 sinds 2012-09-09 17:30:40
Grootte: 10004
Auteur: testcees
Commentaar: aantal updates van https://help.ubuntu.com/community/RootSudo overgenomen
Verwijderingen worden op deze manier gemarkeerd. Toevoegingen worden op deze manier gemarkeerd.
Regel 1: Regel 1:
## page was renamed from community/sudo
Regel 3: Regel 2:
  <<GeschiktVoor("ubuntu, kubuntu, xubuntu, server","8.04 LTS 9.04 9.10 10.04 LTS")>>
. <<GeschiktVoor("ubuntu, kubuntu, xubuntu, server","12.04 LTS")>>
Regel 5: Regel 6:
In Linux (en Unix in het algemeen) is er altijd een supergebruiker met de naam '''root''', vergelijkbaar met Administrator bij een Windows systeem. Deze supergebruiker heeft alle (bestandssysteem) rechten en kan alles. De supergebruiker gebruiken voor het dagelijkse werk kan mede daarom gevaarlijk zijn. Door een typefout in een commando kan het hele systeem vernietigd worden! Beperk daarom zoveel mogelijk het gebruik van meer rechten dan nodig. In sommige gevallen moeten dit de rechten zijn van de supergebruiker, root, maar in de meeste gevallen voldoen de rechten van een gewone gebruiker. In Linux (en Unix in het algemeen) is er altijd een !SuperGebruiker met de naam '''Root''', vergelijkbaar met Administrator bij een Windows systeem. Deze supergebruiker heeft alle (bestandssysteem) rechten en kan alles. De !SuperGebruiker gebruiken voor het dagelijkse werk kan mede daarom gevaarlijk zijn. Door een typefout in een commando kan het hele systeem vernietigd worden! Beperk het gebruik daarom, zoveel als mogelijk,tot het uitvoeren van een specifieke taak. Voor sommige dingen zijn de rechten van de !SuperGebruiker, Root, nodig maar normaal voldoen de rechten van een gewone gebruiker.
Regel 7: Regel 8:
'''In Ubuntu is standaard de root toegang geblokkeerd en is er geen root wachtwoord'''. Dit betekent dat u '''niet''' kan aanmelden als supergebruiker root of de opdracht {{{su}}} kan gebruiken om supergebruiker te worden. Maar de supergebruiker, root, bestaat wel en het is mogelijk om programma's te draaien met root rechten. Hiervoor wordt '''sudo''' gebruikt, hiermee kunnen (gemachtigde) gebruikers bepaalde programma's als gebruiker '''root''' draaien zonder het root wachtwoord te kennen. Door de Ubuntu installatieprocedure wordt de '''eerste gebruiker''' gemachtigd om '''sudo''' te gebruiken. '''In Ubuntu is standaard de Root toegang geblokkeerd en is er ''geen'' Root wachtwoord'''. Dit betekent dat u '''niet''' kan aanmelden als !SuperGebruiker Root of de opdracht {{{su}}} kan gebruiken om supergebruiker te worden. Maar de !SuperGebruiker, Root, bestaat wel en het is mogelijk om programma's uit tevoeren met Root rechten. Hiervoor wordt '''sudo''' gebruikt. Met sudo kunnen (gemachtigde) gebruikers bepaalde programma's als !SuperGebruiker Root draaien zonder het root wachtwoord te kennen. Door de Ubuntu installatieprocedure wordt de standaard de '''eerste gebruiker''' gemachtigd om sudo te gebruiken.
Regel 9: Regel 10:
Door in het terminalscherm '''sudo''' te gebruiken '''vóór''' een opdracht wordt deze opdracht uitgevoerd als gebruiker '''root''' en de bijbehorende rechten.

Voor grafische programma's die root rechten vereisen, gebruikt u de grafische variant van sudo.

Sudo za
l u naar een wachtwoord vragen, geef dan het '''gebruikers wachtwoord''' en niet het root wachtwoord.
Door in een terminalvenster '''sudo''' te gebruiken '''vóór''' een opdracht wordt deze opdracht uitgevoerd als !SuperGebruiker Root en de bijbehorende rechten.Voor grafische programma's die root rechten vereisen, gebruikt u de grafische variant van sudo (''gksudo'', ''kdesudo''). Als sudo naar een wachtwoord vraagt, geef dan het normale '''gebruikerswachtwoord''' en ''niet'' het Root wachtwoord.
Regel 20: Regel 17:
 * Het is niet nodig dat gebruikers een extra root wachtwoord onthouden (en kunnen dit dus ook niet vergeten!).  * Het is niet nodig dat gebruikers een extra root wachtwoord onthouden, die mogelijk weer wordt vergeten (of wordt opgeschreven met het risico op uitlekken).
Regel 24: Regel 21:
 * De mogelijkheid om beheerrechten te gebruiken kan, voor korte of langere tijd, eenvoudig aan andere gebruikers worden toegekend zonder dat een wachtwoord voor de '''root''' gebruiker gedeeld moet worden.  * De mogelijkheid om beheerrechten te gebruiken kan, voor korte of langere tijd, eenvoudig aan andere gebruikers worden toegekend zonder dat een wachtwoord voor de Root gebruiker gedeeld moet worden.
Regel 86: Regel 83:
Om een andere gebruiker ook het recht te geven '''sudo''' te gebruiken moet deze lid zijn van de gebruikers'''groep''' '''admin'''. Om een andere gebruiker ook het recht te geven '''sudo''' te gebruiken moet deze lid zijn van een speciale gebruikers'''groep'''.
Regel 88: Regel 85:
Gebruik '''Systeem''' → '''Beheer''' → '''Gebruikers en groepen'''. Kies '''Ontgrendelen''' (en type het wachtwoord in). Kies '''Eigenschappen''' en dan het tabblad '''Gebruikersrechten'''. Plaats een vinkje bij "'''Mag het systeem beheren'''". ## Gebruik '''Systeem''' → '''Beheer''' → '''Gebruikers en groepen'''. Kies '''Ontgrendelen''' (en type het wachtwoord in). Kies '''Eigenschappen''' en dan het tabblad '''## Gebruikersrechten'''. Plaats een vinkje bij "'''Mag het systeem beheren'''".
In een terminalvenster kan dit (vanaf Precise Pangolin, 12.04 LTS) gedaan worden met een opdracht (vervang "naam" door de gebruikersnaam).
Regel 90: Regel 88:
In een terminalvenster kan dit gedaan worden met een opdracht (vervang "naam" door de gebruikersnaam). {{{
sudo adduser naam sudo
}}}
In oudere versies (voor 12.04) van Ubuntu was dit
Regel 95: Regel 96:
De groep ''admin'' wordt afgeraden en is vanaf Ubuntu 12.04 niet meer standaard aanwezig.
Regel 97: Regel 99:
'''Gebruik dit NIET om root te worden.''' '''Gebruik dit NIET om Root te worden.'''
Regel 107: Regel 109:
Het wachtwoord dat wordt gevraagd is het '''eigen''' wachtwoord, '''niet''' van amanda. Het wachtwoord dat wordt gevraagd is het '''eigen''' wachtwoord, '''''niet''''' van amanda.
Regel 115: Regel 117:
Regel 119: Regel 120:
Regel 123: Regel 123:
Regel 126: Regel 127:
Regel 133: Regel 133:
sudo usermod -p '!' root sudo passwd -dl root
Regel 135: Regel 135:
## sudo passwd -dl root deletes the password and locks the account. It's the equivalent of sudo usermod -p '!' root.
Regel 150: Regel 151:
 * Dit is een vrije vertaling van de wiki pagina [[https://help.ubuntu.com/community/RootSudo|RootSudo]] (Engelstalig)
Regel 152: Regel 152:
 * [[http://linux.die.net/man/8/sudo|sudo]] man page (Engelstalig)
 * [[http://linux.die.net/man/5/sudoers|sudoers file]] man page (Engelstalig)

Engelstalig:

 * Dit is een vrije vertaling van de wiki pagina [[https://help.ubuntu.com/community/RootSudo|RootSudo]]
 * [[http://manpages.ubuntu.com/manpages/lucid/en/man8/sudo.8.html|sudo]] man page
 * [[http://manpages.ubuntu.com/manpages/lucid/en/man5/sudoers.5.html|sudoers file]] man page
 * [[http://ubuntuforums.org/showthread.php?t=716201|Ubuntu Forums policy]] on enabling the Root account

Inleiding

In Linux (en Unix in het algemeen) is er altijd een SuperGebruiker met de naam Root, vergelijkbaar met Administrator bij een Windows systeem. Deze supergebruiker heeft alle (bestandssysteem) rechten en kan alles. De SuperGebruiker gebruiken voor het dagelijkse werk kan mede daarom gevaarlijk zijn. Door een typefout in een commando kan het hele systeem vernietigd worden! Beperk het gebruik daarom, zoveel als mogelijk,tot het uitvoeren van een specifieke taak. Voor sommige dingen zijn de rechten van de SuperGebruiker, Root, nodig maar normaal voldoen de rechten van een gewone gebruiker.

In Ubuntu is standaard de Root toegang geblokkeerd en is er geen Root wachtwoord. Dit betekent dat u niet kan aanmelden als SuperGebruiker Root of de opdracht su kan gebruiken om supergebruiker te worden. Maar de SuperGebruiker, Root, bestaat wel en het is mogelijk om programma's uit tevoeren met Root rechten. Hiervoor wordt sudo gebruikt. Met sudo kunnen (gemachtigde) gebruikers bepaalde programma's als SuperGebruiker Root draaien zonder het root wachtwoord te kennen. Door de Ubuntu installatieprocedure wordt de standaard de eerste gebruiker gemachtigd om sudo te gebruiken.

Door in een terminalvenster sudo te gebruiken vóór een opdracht wordt deze opdracht uitgevoerd als SuperGebruiker Root en de bijbehorende rechten.Voor grafische programma's die root rechten vereisen, gebruikt u de grafische variant van sudo (gksudo, kdesudo). Als sudo naar een wachtwoord vraagt, geef dan het normale gebruikerswachtwoord en niet het Root wachtwoord.

Info (!) Bij het typen van het wachtwoord wordt NIETS getoond op het scherm.

Voor- en nadelen

Voordelen van het gebruik van sudo

  • Het Ubuntu installatieprogramma vraagt niet om een apart root wachtwoord.
  • Het is niet nodig dat gebruikers een extra root wachtwoord onthouden, die mogelijk weer wordt vergeten (of wordt opgeschreven met het risico op uitlekken).
  • Voorkomt dat een gebruiker zomaar root gaat gebruiken om "alles te kunnen". Door sudo wordt om een wachtwoord gevraagd bij belangrijke wijzigingen aan het systeem om de gebruiker bewust te maken dat dit een ingrijpende wijziging kan zijn.
  • De sudo opdracht maakt een log van alle gebruikte opdrachten (in /var/log/auth.log).

  • Een "indringer" weet dat er een gebruiker met de naam root aanwezig is en kan proberen het wachtwoord te raden. Dit is echter zinloos omdat de root gebruiker geen toegang heeft.
  • De mogelijkheid om beheerrechten te gebruiken kan, voor korte of langere tijd, eenvoudig aan andere gebruikers worden toegekend zonder dat een wachtwoord voor de Root gebruiker gedeeld moet worden.
  • De mogelijkheden voor sudo kunnen nauwkeurig worden geconfigureerd.
  • Na korte tijd (15 minuten) verloopt het recht op gebruik van sudo. Er wordt dan opnieuw om het wachtwoord gevraagd. Als per ongeluk het beeldscherm onvergrendeld wordt verlaten kan iemand anders na korte tijd geen gebruik meer van sudo maken.

Nadelen van het gebruik van sudo

Hoewel het gebruik van sudo, zeker voor een desktopcomputer, veel voordelen heeft zijn er ook een paar nadelen:

  • Het omleiden van de uitvoer van terminalopdrachten werkt met sudo anders. Bijvoorbeeld sudo ls > /root/bestand werkt niet. In plaats daarvan kan ls | sudo tee -a /root/bestand worden gebruikt om de uitvoer aan het bestand toe te voegen of ls | sudo tee /root/bestand om het bestand te vervangen met de uitvoer.

  • Omdat voor iedere opdracht de tekst sudo moet worden getyped en iedere 15 minuten opnieuw om het wachtwoord wordt gevraagd is het voor zwaar gebruik minder handig.

Gebruik

  • Bij het gebruik van sudo, wordt om het wachtwoord gevraagd. Standaard wordt het wachtwoord 15 minuten lang onthouden. Daarna wordt opnieuw om het wachtwoord gevraagd.
  • Het wachtwoord wordt NIET getoond op het scherm als het wordt ingetypt, zelfs geen sterretjes (******) of zo.

sudo

Om sudo in een terminalvenster te gebruiken type sudo voor de werkelijke opdracht :

Voorbeeld 1

sudo chown naam:naam /home/naam/*

Voorbeeld 2

sudo /etc/init.d/networking restart

Om een opdracht te herhalen, maar dan met sudo:

sudo !!

Grafisch sudo

Gebruik nooit sudo om de grafische programma's te starten. Gebruik gksudo (of kdesudo op Kubuntu) om een programma uit te voeren als supergebruiker, root.

De toetscombinatie Alt-F2 kan gebruikt worden om in de grafische desktop een (gksudo) programma te starten.

De gksudo opdracht vraagt om het wachtwoord, stelt HOME=/root in en kopieert .Xauthority naar een tijdelijke map. Hierdoor wordt voorkomen dat er bestanden in de Persoonlijke map worden gemaakt waarvan root de eigenaar is.

Voorbeeld:

gksudo gedit /etc/fstab

of

kdesudo kate /etc/X11/xorg.conf
  • Om via de grafische desktop een beheerprogramma te starten kan gebruik worden gemaakt van het menu Systeem → Beheer.
  • De opdrachten gksudo en kdesudo verwijzen naar de opdrachten gksu en kdesu.

tip: Drag & Drop sudo

Maak een aangepaste toepassingsstarter op het bureaublad met de volgende opdracht:

gksudo "gnome-open %u"

Als een bestand met "drag & drop" naar deze toepassingsstarter wordt gesleept en wordt losgelaten, wordt deze als root uitgevoerd of geopend met de bijbehorende toepassing. Dit kan handig zijn voor het aanpassen van configuratie bestanden. Deze worden dan standaard geopend met gedit.

Gebruikers

Sta andere gebruikers toe om sudo te gebruiken

Om een andere gebruiker ook het recht te geven sudo te gebruiken moet deze lid zijn van een speciale gebruikersgroep.

In een terminalvenster kan dit (vanaf Precise Pangolin, 12.04 LTS) gedaan worden met een opdracht (vervang "naam" door de gebruikersnaam).

sudo adduser naam sudo

In oudere versies (voor 12.04) van Ubuntu was dit

sudo adduser naam admin

De groep admin wordt afgeraden en is vanaf Ubuntu 12.04 niet meer standaard aanwezig.

Gebruik sudo met een andere gebruikersnaam

Gebruik dit NIET om Root te worden.

sudo -i -u andere_naam

Om bijvoorbeeld gebruiker amanda te worden:

sudo -i -u amanda

Het wachtwoord dat wordt gevraagd is het eigen wachtwoord, niet van amanda.

Gebruiker root

Activeer de gebruiker root

Waarschuwing Het is eigenlijk nooit nodig de root gebruiker te activeren. De rechten van de root gebruiker zijn te gebruiken met sudo of gksudo. Eventueel kan in een terminalscherm als root gebruiker worden gewerkt met de volgende opdracht:

sudo -i

Info <!> Het activeren van de gebruiker root wordt AFGERADEN en is op eigen risico!

Gebruik de volgende opdracht om de gebruiker root te activeren door een wachtwoord te geven:

sudo passwd root

Info <!> Inloggen in de grafische omgeving als gebruiker root kan leiden tot zeer ernstige problemen.

Uitschakelen gebruiker root

Als om enige reden de gebruiker root is geactiveerd met een wachtwoord kan deze toegang weer worden uitgeschakeld met de terminalopdracht:

sudo passwd -dl root

Overige informatie

Misvattingen

  • Is sudo minder veilig dan su?

    • In de basis zijn sudo en su hetzelfde met dezelfde zwakheden. Of nu su of sudo gebruikt wordt, in alle gevallen moet de gebruiker weten dat hij de rechten van de supergebruiker heeft met de bijbehorende risico's. Wie het wachtwoord van de gebruiker kent heeft met sudo ook alle rechten op de computer. Het is dus van belang dat het wachtwoord strikt geheim gehouden wordt, vergelijkbaar met een root wachtwoord bij su. Door sudo worden gebruikers aangespoord zo vaak mogelijk te werken zonder de extra beheer rechten en niet te snel als root gebruiker te gaan werken met een su opdracht. Per definitie komt dit de veiligheid ten goede.
  • Met een console terminalscherm (Ctrl-Alt-F1 enz.) kan ik de supergebruiker,root gebruiken zonder wachtwoord!

    • Er is nog steeds een gebruikerswachtwoord nodig! Maar als er fysieke toegang is tot de computer zijn er wel mogelijkheden om meer rechten te krijgen. Bijvoorbeeld door de computer anders op te starten. Hiertegen zijn aanvullende maatregelen nodig (bijvoorbeeld: een grub wachtwoord of een BIOS wachtwoord). Merk op dat wie fysieke toegang heeft veel mogelijkheden heeft om beveiligingsmaatregelen te omzeilen, zoals het overplaatsen van de harde schijf in een andere computer.

Vraag om het sudo wachtwoord

Als een wachtwoord voor sudo wordt gegeven blijft dit 15 minuten geldig. Om bij een volgende keer altijd (dus ook binnen deze 15 minuten) weer om het wachtwoord te vragen kan de volgende opdracht worden gebruikt:

sudo -k

Meer bronnen

Engelstalig:


CategoryWerkenMetUbuntu CategoryVeiligheid

community/Sudo (laatst bewerkt op 2018-06-18 19:55:31 door testcees)