buffyr
Anmeldungsdatum: 28. April 2015
Beiträge: 30
|
Hallo, ich richtige gerade einen Rechner für eine etwas ältere Person ein. Da die Person selbst keine sudo-Rechte haben soll, wird sie als normaler Nutzer angelegt. Allerdings werden gelegentlich natürlich trotzdem sudo-Rechte benötigt, um Software etc. zu installieren, was die Person selbst aber nicht tun wird. Nun wäre der naheliegende Weg, einen zusätzlichen Nutzer mit root-Rechten anzulegen. Allerdings ist der zusätzliche Nutzer für die ältere Person verwirrend bzw. ein Umweg, weil sie dann z.B. bei der Anmeldung zwischen verschiedenen Nutzern wählen muss. Dort soll es möglichst nur ihren eigenen Nutzer geben bzw. soll nur dieser für sie im System sichtbar sein. Wie kann ich also einen "unsichtbaren" root Nutzer für die Systemverwaltung anlegen, aber ohne dass andere Nutzer mit diesem in irgendeiner Art in Kontakt kommen? Danke! ☺
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
Du kannst verhindern, dass bestimmte Nutzer im Login-Manager auftauchen: GDM (Abschnitt „Benutzer-im-Anmeldebildschirm-verbergen“) Alternativ kannst du auch einen Benutzer mit einer User-ID < 1000 anlegen, dann sollte der nicht in der Auswahl der Benutzer auftauchen (da musst du nur darauf achten, dass du keine User-IDs für Systemdienste kaperst).
|
buffyr
(Themenstarter)
Anmeldungsdatum: 28. April 2015
Beiträge: 30
|
Vielen Dank, das hilft mir schon mal weiter! ☺ Nun habe ich direkt noch eine Anschluss-Frage: Da für die ältere Person auch kein Passwort notwendig ist (z.B. beim Anmelden oder Entsperren), würde ich dieses mit "passwd -d <user>" entfernen. Können nun trotzdem vom angemeldeten User ohne root und ohne PW via "sudo" Einstellungen geändert werden etc.?
Geht das dann mit dem sudo-PW des neu eingerichteten "unsichtbaren" root Users? Oder müsste man dann für sudo-Dinge immer erst den User wechseln?
|
Planspiel
Anmeldungsdatum: 2. Mai 2016
Beiträge: 673
Wohnort: Spielplan
|
Eine Alternative wäre (habe ich bei meinem Vater so gemacht) automatisches Login und ihm das Kennwort nicht gesagt 😉 . Allerdings werden dann, Schlüssel im Gnome-Keyring bei der Anmeldung (die es in dem Sinne ja nicht gibt) nicht automatisch entsperrt.
|
buffyr
(Themenstarter)
Anmeldungsdatum: 28. April 2015
Beiträge: 30
|
Planspiel schrieb: Eine Alternative wäre (habe ich bei meinem Vater so gemacht) automatisches Login und ihm das Kennwort nicht gesagt 😉
Das hatte ich zuerst auch versucht, aber wenn man z.B. (gewollt oder ausversehen 😉) das System sperrt, dann will es zur Anmeldung trotzdem das Passwort... und wenn der Nutzer das dann nicht kennt, hat er sich selbst ausgesperrt. ☺
|
PcDoc2000
Anmeldungsdatum: 4. Februar 2010
Beiträge: 860
Wohnort: Wien
|
Warum nimmst du ihn nicht einfach aus der Gruppe "Sudo" raus? Würde das nicht deine Probleme lösen? Du kannst ihr dann ein einfaches Passwort geben, sollte die Person den Rechner mal sperren. Ausführen von Programmen also Sudo ist dann aber nicht mehr möglich.
|
buffyr
(Themenstarter)
Anmeldungsdatum: 28. April 2015
Beiträge: 30
|
Die Person selbst war nie in der sudo-Gruppe... Und das Problem an Du kannst ihr dann ein einfaches Passwort geben, sollte die Person den Rechner mal sperren.
ist, dass gerade ein so selten genutztes PW gerne vergessen wird und einem genau dann, wenn man es braucht, nicht mehr einfällt.
Es soll für den reinen Anwender-Nutzer also wirklich kein PW geben, nie, nirgends, niemals. ☺ Jetzt gibt es also zwei User:
- "Anwender", ohne sudo-Rechte, ohne PW
- "Admin", mit sudo-Rechten, mit PW, dank dem Tipp von seahawk1986 für "Anwender" unsichtbar Da meist nur "Anwender" genutzt wird, wäre jetzt noch meine Frage, ob ich, wenn mit User "Anwender" angemeldet bin, trotzdem irgendwie sudo-Dinge erledigen kann, ohne mich mit "Admin" extra am System anmelden zu müssen.
Und davon abgesehen: Wie kann ich mich jetzt mit "Admin" am System anmelden, wo der User jetzt unsichtbar ist? ☺
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
Da man administrative Dinge ja eh nur in der Shell macht 😈, kann man sich entweder auf einem tty anmelden (mit STRG + ALT + F1..F6 dorthin wechseln) oder wenn man in der Desktop-Sitzung des Anwenders ist in einem Terminal mit su zu seinem Admin-User wechseln, also z.B.
Und danach ganz normal mit sudo (Abschnitt „Editieren-von-Dateien-unter-Rootrechten“) und dem CLI-Editor der eigenen Wahl (z.B. nano, vim, emacs) an der Systemkonfiguration herumbasteln, mit apt/apt Pakete installieren usw. ...
|
buffyr
(Themenstarter)
Anmeldungsdatum: 28. April 2015
Beiträge: 30
|
Danke seahawk1986, das hört sich gut an. Meistens braucht man den "Admin" tatsächlich nur in der Shell. ☺
Werden Dinge, die ich in der Shell via "su admin" mache, auch für den "Anwender" umgesetzt? Denn der Anwender ist ja der eigentlich Nutzer des Systems, der Admin nur ein Werkzeug. Alle Änderungen, die man via sudo als Admin macht, sollen in erster Linie für "Anwender" gelten. Und gesetzt dem Fall, ich würde mich mal richtig als "Admin"-User am System anmelden wollen - (wie) ginge das?
|
PcDoc2000
Anmeldungsdatum: 4. Februar 2010
Beiträge: 860
Wohnort: Wien
|
buffyr schrieb: Die Person selbst war nie in der sudo-Gruppe... Und das Problem an Du kannst ihr dann ein einfaches Passwort geben, sollte die Person den Rechner mal sperren.
..., dass gerade ein so selten genutztes PW gerne vergessen wird und einem genau dann, wenn man es braucht, nicht mehr einfällt.
Es soll für den reinen Anwender-Nutzer also wirklich kein PW geben, nie, nirgends, niemals. ☺
dann nimm das Passwort mit
passwd -d USERNAME
weg! Würde ich aber nicht empfehlen! Selbst ein einfaches "1234" oder so ist besser als keines. Oder als Post-it auf den Monitor kleben... Alles besser als keins in meinen Augen. Ich weiß aber nicht wie das mit Keyring ist, wenn es kein PWD gibt (sollte das relevant sein). buffyr schrieb: Und gesetzt dem Fall, ich würde mich mal richtig als "Admin"-User am System anmelden wollen - (wie) ginge das?
Leg dir einfach selbst einen User an der root-Rechte hat! Nachdem bei keinem PWD Autologin Sinn macht, wird die Person deinen User auch nicht sehen und dadurch eventuell verwirrt. Oder wie oben beschrieben "ausblenden".
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
buffyr schrieb: Werden Dinge, die ich in der Shell via "su admin" mache, auch für den "Anwender" umgesetzt?
Systemweite Einstellungen natürlich, für etwas anderes brauchst du ja auch keinen Admin-User. Nutzer-Einstellungen muss man natürlich mit den Rechten des Nutzers in dessen Account machen.
Und gesetzt dem Fall, ich würde mich mal richtig als "Admin"-User am System anmelden wollen - (wie) ginge das?
Ins tty wechseln, Namen und Passwort eingeben...
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8625
Wohnort: Münster
|
buffyr schrieb: […]
Wie kann ich also einen "unsichtbaren" root Nutzer für die Systemverwaltung anlegen, aber ohne dass andere Nutzer mit diesem in irgendeiner Art in Kontakt kommen?
Der m.E. einfachste und naheliegendste Weg:
Richte das System neu ein. Melde Dich als Standardbenutzer (id 1000) ein. Erlaube dem dann vorhandenen Benutzer root die Anmeldung, indem Du diesem Benutzer ein Passwort gibst. Melde den Benutzer 1000 ab und melde Dich als root (id 0) wieder an. Entferne den Benutzer 1000 aus der Gruppe sudo und ggf weiteren Gruppen, die der normale Benutzer nicht benötigt bzw. nicht benutzen soll.
|
buffyr
(Themenstarter)
Anmeldungsdatum: 28. April 2015
Beiträge: 30
|
PcDoc2000 schrieb: dann nimm das Passwort mit
passwd -d USERNAME
weg! Würde ich aber nicht empfehlen! Selbst ein einfaches "1234" oder so ist besser als keines. Oder als Post-it auf den Monitor kleben... Alles besser als keins in meinen Augen.
Das ist doch bereits geschehen, siehe oben?
Warum ist denn aus deiner Sicht ein einfaches PW besser als keines? Leg dir einfach selbst einen User an der root-Rechte hat! Nachdem bei keinem PWD Autologin Sinn macht, wird die Person deinen User auch nicht sehen und dadurch eventuell verwirrt. Oder wie oben beschrieben "ausblenden".
Auch das habe ich bereits getan, siehe oben... tomtomtom schrieb: buffyr schrieb: Werden Dinge, die ich in der Shell via "su admin" mache, auch für den "Anwender" umgesetzt?
Systemweite Einstellungen natürlich, für etwas anderes brauchst du ja auch keinen Admin-User. Nutzer-Einstellungen muss man natürlich mit den Rechten des Nutzers in dessen Account machen.
Und gesetzt dem Fall, ich würde mich mal richtig als "Admin"-User am System anmelden wollen - (wie) ginge das?
Ins tty wechseln, Namen und Passwort eingeben...
Danke! ☺ kB schrieb: buffyr schrieb: […]
Wie kann ich also einen "unsichtbaren" root Nutzer für die Systemverwaltung anlegen, aber ohne dass andere Nutzer mit diesem in irgendeiner Art in Kontakt kommen?
Der m.E. einfachste und naheliegendste Weg:
Richte das System neu ein. Melde Dich als Standardbenutzer (id 1000) ein. Erlaube dem dann vorhandenen Benutzer root die Anmeldung, indem Du diesem Benutzer ein Passwort gibst. Melde den Benutzer 1000 ab und melde Dich als root (id 0) wieder an. Entferne den Benutzer 1000 aus der Gruppe sudo und ggf weiteren Gruppen, die der normale Benutzer nicht benötigt bzw. nicht benutzen soll.
Was hat dein Weg denn konkret für Vorteile gegenüber einem zusätzlichen User "admin"?
Der "Admin" ist ja bei mir "Systemverwalter" und der "Anwender" ist "Standardnutzer", läuft das nicht quasi auf dasselbe hinaus?
|