ubuntuusers.de

Hallo Community, mein Benutzer xxx ist in der sudoers Gruppe. Dies habe ich umgesetzt, wie es unter https://wiki.ubuntuusers.de/sudo/Konfiguration/ beschrieben ist. Wenn ich jetzt administrative Eingaben tätigen will, verwende ich sudo vor dem Befehl. Wie würde ich das tun, wenn ich z.B. per WinSCP mit dem Server verbunden bin, und möchte auf das Verzeichnis /root zugreifen? Ich kann ja per WinSCP schlecht sudo eingeben?? Muss ich wirklich als root angemeldet sein um auf den Ordner /root zuzugreifen? Es wäre ja aus Sicherheitsgründen schön, wenn sich der user root nicht direkt per Netzwerk anmelden könnte sondern nur als normaler user und dann mit sudo -i. Wie löst man das Problem in der Praxis? Der Ordner /root ist jetzt nur exemplarisch. Gruß

Hallo!

Man löst das genau so. SSH via PublicKey-Verfahren (Passwörter sind unsicher), ggf. abgesichert durch Wächter wie fail2ban. Dort logt man sich mit dem Nutzer ein und kann dann entweder per sudo -i in eine root-Shell wechseln - oder per su zunächst zu einem Benutzer wechseln, der in der sudoers erfasst ist und die Berechtigungen hat.

ChickenLipsRfun2eat schrieb:

Hallo!

Man löst das genau so. SSH via PublicKey-Verfahren (Passwörter sind unsicher), ggf. abgesichert durch Wächter wie fail2ban. Dort logt man sich mit dem Nutzer ein und kann dann entweder per sudo -i in eine root-Shell wechseln - oder per su zunächst zu einem Benutzer wechseln, der in der sudoers erfasst ist und die Berechtigungen hat.

Hallo und schon mal Danke für die Antwort. ich glaube aber, wir haben aneinander vorbei gesprochen bzw. ich habe mich nicht genau ausgedrückt. Mir ist schon klar, dass ich in Winscp den privaten Schlüssel meines Benutzers hinterlege, der in der sudoers gruppe eingetragen ist. Dies kann man unter erweitert->ssh->Authentifizierung machen. Dennoch ist der Ordner /root und andere Ordner für den Benutzer gesperrt. Ich wüsste jetzt nicht, wo ich im Gui von WinSCP den sudo Befehl eingeben kann. Auf der Konsole habe ich das mal mit call sudo probiert, was leider nicht funktioniert hat. Infos zur Konsole gibt es hier. https://winscp.net/eng/docs/scripting Ich möchte aber, wenn es geht, das GUI verwenden. Vielleich bin ich auch hier im falschen Forum bzw. das Winscp Forum wäre der richtige Ort hierfür?

Aso. Zumindest warten bis jemand mit Windows hier mitliest. Ich kann das nicht nachgucken.

Ich bin gerade nicht mehr auf Arbeit, um das auszuprobieren, aber laut WinSCP FAQ scheint es da mal mehr mal weniger gute Möglichkeiten zu geben.

Andere Frage: Wozu brauchst du root-Zugriff? Wäre es nicht sinnvoller dem Login-User die notwendigen Berechtigungen zu geben? Für das normale Verwenden sind ja keine root-Rechte nötig.

klauszuz schrieb:

ChickenLipsRfun2eat schrieb:

Hallo!

Man löst das genau so. SSH via PublicKey-Verfahren (Passwörter sind unsicher), ggf. abgesichert durch Wächter wie fail2ban. Dort logt man sich mit dem Nutzer ein und kann dann entweder per sudo -i in eine root-Shell wechseln - oder per su zunächst zu einem Benutzer wechseln, der in der sudoers erfasst ist und die Berechtigungen hat.

Hallo und schon mal Danke für die Antwort. ich glaube aber, wir haben aneinander vorbei gesprochen bzw. ich habe mich nicht genau ausgedrückt. Mir ist schon klar, dass ich in Winscp den privaten Schlüssel meines Benutzers hinterlege, der in der sudoers gruppe eingetragen ist. Dies kann man unter erweitert->ssh->Authentifizierung machen.

Warum der Benutzer?

Damit bekommt man nur Zugriff auf den Benutzer, nicht auf root.

'sudo' ist eine lokale Eigenschaft des Benutzers nach der Anmeldung und nicht via 'Anmeldung' zugänglich.

Um mit WinSCP root zu werden, muss man sich eben mit den Benutzer root anmelden, was sonst.

Man sollte sich dann aber Gedanken um die Sicherheit machen. root ist root, auch mit WinSCP.

Dennoch ist der Ordner /root und andere Ordner für den Benutzer gesperrt.

Klar.

Ich wüsste jetzt nicht, wo ich im Gui von WinSCP den sudo Befehl eingeben kann.

Das weiß keiner, weil es das nicht gibt und sehr unlogisch ist, s.o. 😉

rleofield

rleofield schrieb:

'sudo' ist eine lokale Eigenschaft des Benutzers nach der Anmeldung und nicht via 'Anmeldung' zugänglich.

sudo ist in erster Linie ein Programm und keine Benutzereigenschaft.

Um mit WinSCP root zu werden, muss man sich eben mit den Benutzer root anmelden, was sonst.

WinSCP bietet dem Anschein nach (siehe Link in meinem letzten Beitrag hier) eine Möglichkeit, die ssh-Sitzung um Parameter zu ergänzen bzw. eine eigene Shell zu laden. Damit ließe sich das Tor zu root aufstoßen, ohne die ssh-Verbindung mit dem root-Benutzer aufbauen zu müssen.

Man sollte sich dann aber Gedanken um die Sicherheit machen. root ist root, auch mit WinSCP.

Mit einer direkten Anmeldung als root hätte ich auch so meine Probleme, selbst im Fall schlüsselbasierter Anmeldung anstelle der passwortbasierten. Wo ich dem Argument nur begrenzt folge ist die Frage, inwiefern es mit Blick auf die Sicherheit einen Unterschied macht, ob ich mich regulär in ssh anmelde und notwendige administrative Tätigkeiten über sudo erledige oder ob der Wechsel in der Anwendung stattfindet.

Ich wüsste jetzt nicht, wo ich im Gui von WinSCP den sudo Befehl eingeben kann.

Das weiß keiner, weil es das nicht gibt und sehr unlogisch ist, s.o. 😉

Irgendwie habe ich das Gefühl, dass ich der einzige bin, der den Link auf die WinSCP-FAQ in meinem letzten Beitrag gesehen hat. Könnte ich da mal ein Feedback bekommen?

Cranvil schrieb:

Ich bin gerade nicht mehr auf Arbeit, um das auszuprobieren, aber laut WinSCP FAQ scheint es da mal mehr mal weniger gute Möglichkeiten zu geben.

Der Direct login als root scheidet aus Sicherheitsgründen für mich auch bei einer schlüssel-Authentifizierung aus, zumindest, wenn die Maschine öffentlich im Internet erreichbar ist. Sudo on login scheidet für mich in diesem Fall auch aus, da es ja hier um WINscp geht. Wenn man jetzt von Ubuntu auf Ubuntu zugreift, wäre das in der tat die Lösung.

ChickenLipsRfun2eat schrieb:

Andere Frage: Wozu brauchst du root-Zugriff? Wäre es nicht sinnvoller dem Login-User die notwendigen Berechtigungen zu geben? Für das normale Verwenden sind ja keine root-Rechte nötig.

Was mir jetzt spontan einfällt, ist folgendes.

Um z.B. auf das Backup-Repository von veeam oder borg zuzugreifen. Um Teile der Fesplatte in das system zu mounten.

Es gibt mit Sicherheit noch mehr Szenarien, aber die fallen mir momentan nicht ein.

Hallo klauszuz,

Das hat schon seinen Grund warum in Ubuntu Derivaten das "root/admin" ohne Password versehen ist, weil man sich mit normalem User sich mit sudo erweiterte Rechte verschaffen kann. Also kannst du damit auch SCP starten und hast auf dem anderen Rechner Zugriff auf die / Partition.

Gruss Lidux

klauszuz schrieb:

Cranvil schrieb:

Ich bin gerade nicht mehr auf Arbeit, um das auszuprobieren, aber laut WinSCP FAQ scheint es da mal mehr mal weniger gute Möglichkeiten zu geben.

Der Direct login als root scheidet aus Sicherheitsgründen für mich auch bei einer schlüssel-Authentifizierung aus, zumindest, wenn die Maschine öffentlich im Internet erreichbar ist. Sudo on login scheidet für mich in diesem Fall auch aus, da es ja hier um WINscp geht. Wenn man jetzt von Ubuntu auf Ubuntu zugreift, wäre das in der tat die Lösung.

Lies die FAQ, die ich verlinkt habe, und sag mir ganz genau, an welchem Punkt du dort nicht weiterkommst.

Es kann doch nicht wahr sein, dass wir hier immernoch über Direktlogins mit root diskutieren.

Edit: Formatierung und Wortwahl.

Cranvil schrieb:

Lies die FAQ, die ich verlinkt habe, und sag mir ganz genau, an welchem Punkt du dort nicht weiterkommst.

gerne doch.

Hier steht https://winscp.net/eng/docs/faq_su

Use sudo on Login
In some cases (with Unix/Linux server) you may be able to use sudo command straight after login to change a user, before file transfer session starts.

Soll also heißen, nach dem Login mit WinSCP soll man in der Lage sein, den Benutzer zu wechseln, vor dem Datentransfair. Wie genau macht man das? Wo gebe ich da sudo im Windows WINSCP, also im GUI ein bzw, wechsele den Benutzer, nach dem ich mit einem SCP-Server verbunden bin?

klauszuz schrieb:

Wie genau macht man das?

Du ignorierst die Zeile

FTP protocol does not allow this.

die direkt an den von dir zitierten Abschnitt anschließt und machst mit den darauf folgenden Beschreibungen weiter. Hinweis: Es hat etwas mit den erweiterten (Advanced) Verbindungseinstellungen zu tun und dort je nach Geschmack mit den Einstellungen in den Punkten SFTP bzw. Shell.

Cranvil schrieb:

klauszuz schrieb:

Wie genau macht man das?

Du ignorierst die Zeile

FTP protocol does not allow this.

die direkt an den von dir zitierten Abschnitt anschließt und machst mit den darauf folgenden Beschreibungen weiter. Hinweis: Es hat etwas mit den erweiterten (Advanced) Verbindungseinstellungen zu tun und dort je nach Geschmack mit den Einstellungen in den Punkten SFTP bzw. Shell.

Naja, ich nutzte ja auch nicht ftp, sondern sftp