Ein paar Hinweise/Fragen von mir:

Max-Ulrich Farber schrieb:

• mit sudo kann man sich nicht nur Root-Rechte, sondern die Rechte jedes einzelnen Benutzers bzw. die Rechte jeder Gruppe verschaffen. Das Erlangen von Root-Rechten ist zwar die häufigste, aber keineswegs die einzige Anwendung von sudo. Dies ist in der Einleitung zwar erwähnt, aber nicht weiter ausgeführt.

gksudo hat dies jedenfalls eine zeitlang nicht unterstüzt. (https://launchpad.net/bugs/275304 )

• Die Passwort-Frage wird nicht bzw. nur fehlerhaft behandelt.

Wie meinst Du das?

• Die Unterschiede mit gksudo, kdesudo, su vor allem hinsichtlich der Ablage temporärer Dateien usw. werden nicht klar herausgestellt

Welche Details fehlen?

• Die Option sudo -H wird zwar erläutert, aber es wird nicht richtig klar, warum und wann diese nötig ist (ich empfinde es jedenfalls so).

Als Erklärung finde ich den Hinweis auf $HOME. Was fehlt? Wie wäre es Dir klarer?

• Es gibt zwar einen Abschnitt über den Benutzer root und sein Heimverzeichnis, aber auf sudo passt das so nicht so recht, weil dies gar nicht verwendet wird.

Verstehe ich nicht. Natürlich verwendet sudo den Benutzer root, wenn in dessen Kontext gewechselt wird - was wohl der Standardfall ist. Auch das Home von Root wird meistens verwendet.

@DrScott: Jetzt wird es aber Zeit, dass ich versuche, auf Deine Fragen einzugehen. Leider habe ich nur im Moment nicht die Zeit, mich mit allem so gründlich zu befassen, wie ich es gerne möchte.

gksudo hat dies jedenfalls eine zeitlang nicht unterstüzt

Das ist wohl schon länger vorbei.

Die Passwort-Frage wird nicht bzw. nur fehlerhaft behandelt.

Die Aussage, Mitglieder der Gruppe sudo könnten Root-Rechte ohne Passwort erlangen, stimmt nicht (und hat wahrscheinlich auch nie gestimmt). Es geht nur, wenn in sudoers für die Gruppe NOPASSWD eingetragen ist, und per Default ist dies für niemand der Fall.

Die Unterschiede mit gksudo, kdesudo, su vor allem hinsichtlich der Ablage temporärer Dateien usw. werden nicht klar herausgestellt

Die sind mir leider nicht ganz klar geworden. Siehe Beispiel unten.

Die Option sudo -H wird zwar erläutert, aber es wird nicht richtig klar, warum und wann diese nötig ist

Es steht zwar drin, dass die Option -H empfohlen sei, weil sonst Ungedeih passieren kann. Auf welche Art von Programmen bzw. auf welches Vorgehen (den ersten Programmstart mit Root-Rechten ausführen) sich dies beschränkt, ist aber nicht klar erkennbar. Es muss wohl auch etwas gegen die Option -H sprechen, sonst wäre diese wohl in Ubuntu und Debian Default-Einstellung (?). Die Thematik ist für mich nicht ganz durchsichtig geworden.

Auch das Home von Root wird meistens verwendet

Doch nur mit den Optionen -H und -i, also standardmäßig eben nicht.

Nun noch ein paar Beispiele:

farber@Desktop-PC:~$ echo $HOME
/home/farber
farber@Desktop-PC:~$ sudo echo $HOME
[sudo] password for farber: 
/home/farber
farber@Desktop-PC:~$ sudo -H echo $HOME
/home/farber
farber@Desktop-PC:~$ sudo -s
root@Desktop-PC:~# echo $HOME
/home/farber
root@Desktop-PC:~# exit
exit
farber@Desktop-PC:~$ sudo -i
root@Desktop-PC:~# echo $HOME
/root
root@Desktop-PC:~# exit
Abgemeldet
farber@Desktop-PC:~$  

Das meiste ist klar. Aber warum erscheint dann bei sudo -H echo $HOME nicht /root, wie dies nach sudo -i der Fall ist? Vermutlich, weil ich noch in der gleichen Shell bin, bei sudo -i aber nicht. Aber das versteht keiner. sudo -i verhält sich also anders als sudo allein und auch anders als sudo -H. Möchte man einfach sudo dauerhaft anwenden, geschieht dies doch mit sudo -s, und dann verhält sich alles genau so wie bei einem gewöhnlichen sudo. Oder sehe ich das falsch? Doch von sudo -s ist in dem Artikel überhaupt nicht die Rede.

Ich empfinde es so, wie wenn hier mit der Option -H und der Shell-Initialisierung mittels sudo -i aus welchen Gründen auch immer etwas zum Standard gemacht werden sollte, was eben nicht der Ubuntu-Standard ist. Die Verwendung des Heimverzeichnisses /root ist in Ubuntu zwar möglich, aber nicht Standard.

Ich habe nichts dagegen, wenn etwas, was vom Standard abweicht, trotzdem beschrieben wird. Aber so, wie es hier geschehen ist, empfinde ich es für Newcomers (und nebenbei auch für mich selbst) eher als verwirrend. Tut mir Leid, wenn das jetzt etwas hart klingt.

Mit besten Grüßen Max-Ulrich

EDIT:

Die Beschränkung von sudo auf die Gruppe admin muss auch geändert werden. Seit längerem (2010 ?) schon erhalten in sudoers die Mitglieder der beiden Gruppen admin und sudo das Recht, sudo auszuführen, und zwar darf admin damit mit Root-Rechten arbeiten, und sudo mit den Rechten eines beliebigen Benutzers incl. Root. Bis einschließlich 11.10 wurde in Ubuntu standardmäßig nur die Gruppe admin eingerichtet, und seit 12.04 dagegen nur die Gruppe sudo. An den Einträgen in sudoers und damit an den Rechten der beiden Gruppen hat sich aber nichts geändert.

@Max-Ulrich Farber:

Entschuldige, dass ich nur kurz angebunden antworte und momentan nicht die Zeit finde, hier häufiger aktiv mitzumachen. Bin grad in einer Prüfungsphase, Anfang Oktober werde ich den Artikel überarbeiten können, bis dahin muss der Hinweis im Artikel genügen.

Dass in sudoers sudo und admin drin stehen ist wahrscheinlich schon immer so, da Ubuntu die sudoers von Debian übernommen haben wird und nur admin für seine Zwecke hinzugefügt hat.

Zu deiner Frage zu sudo -H bzw. -i: Das verstehst du ein wenig falsch. Die manpage sei dir da empfohlen, die erklärt das ganz gut. -H setzt für diesen Befehl die HOME-Variable um. In deinem Beispiel also für echo und führt echo als superuser aus. Dennoch immer noch im normalen Terminal. Also ist die HOME-Variable des Terminals natürlich deine home. Um das besser zu verstehen, kannst du einmal

sudo -H sh

ausführen und dort

echo $HOME

eingeben. -i hingegen startet eine login-shell, wertet also auch .profile, .login etc. aus. Er wechselt auch ins Home-Verzeichnis des angefragten Nutzers. Gibt man keinen Befehl ein, wird die login-shell interaktiv gestartet. Ich denke, dass bei der Option -i die meisten Missverständnisse auftreten, da die Leute denken, es würde für interactive stehen. Es steht aber für simulate initial login. Das ist ein großer Unterschied. -s ist nur die Definition, dass du die Shell, die in der Variable $SHELL steht, ausführst. Auch hier wieder: Ohne Befehl wird eine interaktive Shell geöffnet. An sich geht es aber auch temporär mit Befehl; dieser wird dann automatisch mit -c aufgerufen.

Ich hoffe, es ist etwas klarer geworden. Falls Rückfragen auftreten, ich schaue ab und zu vielleicht mal rein, habe aber wie gesagt im Moment nicht allzu viel Zeit.

Gruß

Blu

@Blu2lz:

Danke für die Erklärung. Ich hatte das dann schon so verstanden, wie Du es darstellst. Ich finde nur, dass es den Leser des Artikels überraschen muss, weil er es so nicht erwartet. Ich wollte damit aufzeigen, in welche Problematik man hinein gerät, wenn man die Optionen -H und -i sozusagen als Standard für jeden User empfiehlt. Darauf bezieht sich auch die Bemerkung "das versteht keiner". Das ist also nicht wörtlich gemeint.

Ich halte es nach wie vor für den "normalen User" (also nicht für Experten, die etwas Besonderes vor haben) für richtig, in der Homepage des Ausgangs-Users (also nicht des Ziel-Users) zu arbeiten, also ohne die Option -H und mit -s statt -i, weil dies leichter verständlich ist und für den "Normalfall" genügt. Außerdem ist dies eben in Ubuntu Standard. Den (meines Erachtens seltenen) Problemen, auf die DrScott zu Recht hinweist, könnte man IMHO einfach mit einem Hinweis folgender Art begegnen:

Sicher lässt dich die Formulierung noch verbessern, aber sinngemäß ließen sich so die ganzen $HOME Probleme für den normalen User erledigen, meine ich wenigstens. Der ganze Rest, vor allem das "simulate initial login" bei -i, wäre dann eine Angelegenheit für Experten (oder, sagen wir mal, Fortgeschrittene).

Um es noch einmal zu sagen: Abgesehen von der Bedeutung der Gruppen admin und sudo behaupte ich von nichts in dem Artikel, dass es falsch sei! Ich finde nur, das Ganze sei so einfach zu kompliziert dargeboten. In dem Artikel treten Probleme in den Vordergrund, die für den "normalen Benutzer" gar nicht existieren.

Frei nach Einstein: So einfach wie möglich und nur so kompliziert, wie wirklich nötig!

Gruß - Max-Ulrich

Ich antworte nun mal auf alle Fragen, auch wenn einiges mittlerweile vielleicht schon geklärt ist:

Max-Ulrich Farber schrieb:

gksudo hat dies jedenfalls eine zeitlang nicht unterstüzt

Das ist wohl schon länger vorbei.

Der Bugreport ist noch offen. Auch unter 12.04 konnte ich es immer noch nachvollziehen. Wohlgemerkt: Das Problem bezieht sich nur auf graphische Programme. Wenn user X Admin ist, dann kann er zwar

X $ gksudo -u Y vi

aber leider nicht

X $ gksudo -u Y gedit

. Ist aber im Artikel derzeit so beschrieben.

Die Unterschiede mit gksudo, kdesudo, su vor allem hinsichtlich der Ablage temporärer Dateien usw. werden nicht klar herausgestellt

Die sind mir leider nicht ganz klar geworden. Siehe Beispiel unten.

Ok. Ich dachte, es ging dir um temporäre Dateien. Du meinst aber wohl eher $HOME?

Es steht zwar drin, dass die Option -H empfohlen sei, weil sonst Ungedeih passieren kann. Auf welche Art von Programmen bzw. auf welches Vorgehen (den ersten Programmstart mit Root-Rechten ausführen) sich dies beschränkt, ist aber nicht klar erkennbar.

Das Problem ist, dass man die Art von Programme nicht gut beschreiben kann. Es betrifft alle Programme, die eben Dateien unterhalb von $HOME anlegen. Ob ein Problem daraus entsteht, hängt dann aber eben stark vom Programm ab.

Es muss wohl auch etwas gegen die Option -H sprechen, sonst wäre diese wohl in Ubuntu und Debian Default-Einstellung (?). Die Thematik ist für mich nicht ganz durchsichtig geworden.

Dagegen spricht, dass sudo eben auch tief im System verwendet wird und dort u. U. gerade darauf baut, dass $HOME NICHT verändert wird. Eine Änderung des Defaults wäre aus User-Sicht also zu begrüßen. Aus System-Sicht wird es nicht gewagt, da die negativen Seiteneffekte so einer Änderung nicht überschaubar sind. Jedenfalls will sich niemand darum kümmern.

Die graphischen "Sudos" verwenden implizit -H.

Auch das Home von Root wird meistens verwendet

Doch nur mit den Optionen -H und -i, also standardmäßig eben nicht.

Richtig. Aber von (gk|kde)su[do] wird es immer verwendet. Daher meistens

farber@Desktop-PC:~$ sudo -H echo $HOME
[sudo] password for farber: 
/home/farber 

Das ist kein Problem von sudo -H: Shellvariablen werden von der aktuellen Shell grundsätzlich aufgelöst, bevor überhaupt ein Kommando ausgeführt wird. Es heisst also bereits

farber@Desktop-PC:~$ sudo -H echo /home/farber 

. bevor sudo ausgeführt wird.

Ein korrekter Test wäre

sudo -H env | grep HOME 

Aber das versteht keiner.

Du bist nicht der erste, der in diese Falle getappt ist . Ist aber eben ein Shell-Problem und hat mit sudo nichts zu tun!

Möchte man einfach sudo dauerhaft anwenden, geschieht dies doch mit sudo -s [...] Doch von sudo -s ist in dem Artikel überhaupt nicht die Rede.

Im Artikel wird das "bessere" sudo -i erwähnt (z.B. beinhaltet -i auch das Umstellen von HOME, was von -s nicht gemacht wird...)

Ich empfinde es so, wie wenn hier mit der Option -H und der Shell-Initialisierung mittels sudo -i aus welchen Gründen auch immer etwas zum Standard gemacht werden sollte, was eben nicht der Ubuntu-Standard ist. Die Verwendung des Heimverzeichnisses /root ist in Ubuntu zwar möglich, aber nicht Standard.

Nicht Standard? (gk|kde)su[do] machen es genau so. Nur "sudo" tritt hier aus der Reihe. Es gibt gar keinen Standard.

Ich habe nichts dagegen, wenn etwas, was vom Standard abweicht, trotzdem beschrieben wird. Aber so, wie es hier geschehen ist, empfinde ich es für Newcomers (und nebenbei auch für mich selbst) eher als verwirrend. Tut mir Leid, wenn das jetzt etwas hart klingt.

Braucht Dir nicht Leid tun. Kritik ist immer gut. Das Problem ist, dass es anders eben auch verwirrend ist. sudo, kdesudo, gksudo, kdesu, gksu haben leider einige Ungereimtheiten. Wir haben versucht, diese zu beschreiben. Dabei ist der Artikel so gedacht, dass er einfach beginnt, dann immer spezieller wird. Bestimmt kann man das noch besser herausarbeiten.

Der Artikel gibt die Empfehlung, bei "sudo" einfach immer die Option -H anzugeben. Das muss man nicht unbedingt verstehen, die Empfehlung sollte reichen. Wer die Hintergründe dafür wissen will, muss einfach weiter lesen und erfährt über das HOME-Problem.

und zwar darf admin damit mit Root-Rechten arbeiten, und sudo mit den Rechten eines beliebigen Benutzers incl. Root.

Das ist nicht richtig. admin erlaubt wie sudo den beliebigen Wechsel des User (sudo-Option -u). sudo erlaubt zusätzlich noch die freie Wahl der Gruppe (sudo-Option -g). Das ist aber nur eine sehr geringe Einschränkung: Da ich als Mitglied der Gruppe 'admin' ja root werden kann. kann ich in einem zweiten Schritt natrülich auch die Gruppe beeinflussen. Der Unterschied zwischen "admin" und "sudo" ist also wirklich minimal. Ich behaupte mal ganz frech, dass er wahrscheinlich nicht einmal beabsichtigt ist. Für den Artikel halte ich diesen Unterschied nicht relevant. Vielleicht "admin und sudo sind im Grunde gleichbedeutend". (Hintergrundinfo: admin ist definiert als "... (ALL) ...", sudo ist definiert als "... (ALL : ALL) ...")

Max-Ulrich Farber schrieb:

Ich halte es nach wie vor für den "normalen User" (also nicht für Experten, die etwas Besonderes vor haben) für richtig, in der Homepage des Ausgangs-Users (also nicht des Ziel-Users) zu arbeiten, also ohne die Option -H und mit -s statt -i, weil dies leichter verständlich ist und für den "Normalfall" genügt.

Mit "Homepage" meinst Du wahrscheinlich "Homeverzeichniss" oder? Ich möchte nur anmerken, dass das "current working directory" durch "-H" nicht verändert wird - nur der Inhalt von "$HOME". Durch ein

cd /home/normaluser
sudo -H vi .confdat

wird also natürlich die Datei /home/normaluser/.confdat editiert. VI schreibt seine internen Daten aber nach /root/...

Anders sieht dies tatsächlich beim Einsatz von "sudo -i" aus: Hier wird in das HOME gewechselt, also meistens nach /root. Eine Alternative wäre "sudo -Hs".

Außerdem ist dies eben in Ubuntu Standard.

Leider kann ich hier kaum einen sinnvollen Standard erkennen. Auf der einen Seite "sudo" mit seinen Besonderheiten, auf der anderen Seite KDE und GNOME, die mit ihren Implementierungen auch oft auseinanderliegen.

Den (meines Erachtens seltenen) Problemen, auf die DrScott zu Recht hinweist, könnte man IMHO einfach mit einem Hinweis folgender Art begegnen:

Hinweis:

Es empfiehlt sich, beim ersten Start von Programmen, die man danach auch ohne Root-Rechte starten möchte, kein sudo zu verwenden, da es sonst geschehen kann, dass dann beim Start als gewöhnlicher User die beim ersten Start angelegten Initialisierungs-Dateien nicht gelesen werden können.

Da finde ich die Formulierung "Nimm einfach immer -H" - gerade für Einsteiger - verständlicher

Der ganze Rest, vor allem das "simulate initial login" bei -i, wäre dann eine Angelegenheit für Experten (oder, sagen wir mal, Fortgeschrittene).

Dem Nicht-Experten ist es egal, ob er "sudo -s" oder "sudo -i" eintippt. Der Experte wird wissen, was genau die Unterschiede sind. Da "-i" aber eben mindestens einen entscheidenden Vorteil hat, finde ich es richtig, diese Option im Artikel zu empfehlen.

Das mit der Tabelle überschneidet sich mit sudo#root-bei-grafischen-Programmen.

Deshalb würde ich vorschlagen, insbesondere auch weil das wichtige an den Anfang gehört, den Abschnitt sudo#root-bei-grafischen-Programmen über die Tabelle zu setzen bzw die zwei Teile zu verschmelzen.

Vor allen Dingen hat man dann eine Überschrift und einen offensichtlichen Anker (=Überschrift), auf den man im Forum verweisen kann.

Deshalb würde ich vorschlagen, insbesondere auch weil das wichtige an den Anfang gehört, den Abschnitt sudo#root-bei-grafischen-Programmen über die Tabelle zu setzen bzw die zwei Teile zu verschmelzen.

+1

Gruß - Max-Ulrich

Erledigt.

Der Abschnitt "Installation" ist irrelevant, da sudo ein essentieller Bestandteil aller mir bekannten Linux-Systeme ist. Es sollte aber in einem anderem Abschnitt erwähnt werden, dass sudo und Paket ist und theoretisch deinstalliert werden kann, was aber sehr unangenehme Folgen hat. Wenn niemand dagegen ist, kann ich diese Änderungen auch selber vornehmen.

Hallo,

Der Abschnitt "Installation" ist irrelevant, da sudo ein essentieller Bestandteil aller mir bekannten Linux-Systeme ist.

Nein und ja. Der Installationsteil ist hier im Wiki obligatorisch. Den findest du auch in allen anderen Artikeln, wo die Programme ootb in Ubuntu dabei sind.

Wenn niemand dagegen ist, kann ich diese Änderungen auch selber vornehmen.

Dagegen, und zwar so was von

Gruß, noisefloor

Hallo,

in einem anderen Thread wurde gesagt, dass Gnome-Ubuntu per Default kein gksu an Bord hat. Wenn das stimmt müsste der sudo Artikel entsprechend ergänzt werden (Erwähnung + Installationsteil).

Gruß, noisefloor

in einem anderen Thread wurde gesagt, dass Gnome-Ubuntu per Default kein gksu an Bord hat

Ist mir neu. Wo steht das?

Hallo,

hier wird's gesagt: http://forum.ubuntuusers.de/topic/baustelle-wbfs-manager/#post-5572702

Wobei das Thema für den anderen Thread gelöst ist.

Gruß, nosiefloor

Max-Ulrich Farber schrieb:

in einem anderen Thread wurde gesagt, dass Gnome-Ubuntu per Default kein gksu an Bord hat

Ist mir neu. Wo steht das?

Keine Ahnung. - Aber ich habe gestern Gnome-Ubuntu installiert und gksu war nicht automatisch dabei, daher kann ich die Aussage bestätigen.

Stimmt, bei Ubuntu-GNOME (13.04) ist "gksu" nicht per Default installiert.