sudo und su – Administrator unter Linux

Unter Linux ist der normale Benutzer vom Administrator strikt getrennt. Der normale Nutzer kann zwar auf gewisse Dateien im System unter „/“ lesend zugreifen – also auf der Wurzel-Partition, aber nicht schreibend. Der Administrator – der Benutzer root hat Zugriff auf alle Dateien, er kann im System tun und lassen, was er will, auch das System unbrauchbar machen – darum gilt es nur dann mit administrativen Rechten zu arbeiten, wann dies auch wirklich nötig ist.

Je nach Distribution erlangt man auf unterschiedliche Arten administrative Rechte, eben auch root-Rechte genannt. Man meldet sich auf jeden Fall als normaler Benutzer am Desktop an und erlangt dann root-Rechte wenn dies nötig ist – einen eigenen grafischen Account für den Administrator zu erstellen ist absolut unnötig. Sich direkt als Administrator am Desktop anzumelden ist sowieso der größte Fehler, den man machen kann – in einem solchen Fall würde jede Anwendung die man nutzt mit administrativen Rechten arbeiten – unter anderem auch der Webbrowser, der E-Mail-Client – ganz einfach gesagt, alles.

Wie erlangt man unter Linux administrative Rechte?

Je nach Distribution auf unterschiedliche Arten. Unter Ubuntu und darauf basierenden Distributionen wie etwa Linux Mint gibt es so gesehen keinen richtigen Administrator – es lässt sich jedoch ein solcher Anlegen. Unter Debian gibt es einen Administrator sehr wohl – aber auch hier gibt es Unterschiede, im Live-System wird ein solcher nicht angelegt – in der Standard-Installation per umfangreicher Installation doch.

Nun beginnen wir einmal, gibt es im Anwendungsmenü grafische Software, die administrative Rechte erfordert, wird diese solche beim Start auch einfordern, manche auch wieder erst, wenn man mit einer solchen etwas ausführen will – in beiden Fällen wird sich ein Fenster öffnen, in das man das Passwort für administrative Tätigkeiten eingibt – hier etwa unter KDE:

Am Terminal kommt es wieder darauf an, war es bei der Installation des Systems möglich ein Passwort direkt für root zu erstellen und haben Sie dies auch getan – so werden Sie am Terminal vom normalen Nutzer zu root mit dem Befehl:

su

Sie bestätigen mit Eingabe und werden nun aufgefordert das Passwort von root einzugeben – dies bestätigen Sie abschließend wieder mit Eingabe:

Alle Befehle, die Sie nun starten, werden mit administrativen Rechten ausgeführt, bis Sie sich mit dem Befehl:

exit

abmelden. Bietet die Distribution bei der Installation keine Möglichkeit ein root-Passwort anzulegen, oder Sie haben dies absichtlich nicht getan – hat der erste erstellte Benutzer die Möglichkeit mit seinem normalen Passwort, das er auch zum Login nutzt, administrative Rechte zu erlangen. Ein eigenes Passwort für administrative Tätigkeiten ist somit nicht nötig. Er nutzt sein Login-Passwort, wenn sich ein grafisches Fenster für administrative Tätigkeiten öffnet – am Terminal stellt er dem mit administrativen Rechten zu startenden Befehl ein:

sudo

voran – so etwa:

sudo apt update

Etwas ärgerlich – Sie müssen jedem weiteren Befehl den Sie mit administrativen starten wollen ein „sudo“ voranstellen. Dies ist natürlich umständlich – also etwa:

sudo apt update
sudo apt full-upgrade
sudo apt autoremove
sudo apt clean

Es besteht jedoch die Möglichkeit dies zu umgehen, indem Sie die Option „-i“ nutzen, in diesem Fall arbeiten Sie ähnlich wie mit dem Befehl „su„:

sudo -i
apt update
apt full-upgrade
apt autoremove
apt clean
exit

Auch in diesem Fall melden Sie sich mit dem Befehl:

exit

wieder ab.

Verwirrend wird es bei manchen Distributionen wie etwa Manjaro, wenn Sie ein root-Passwort anlegen können – in diesem Fall nutzen Sie bei grafischen Passwort-Abfragen Ihr normales Login-Passwort und am Terminal wiederum das root-Passwort. Um diese Verwirrung abzuschaffen, öffnen Sie die Benutzer-Einstellungen und stellen Ihren Account auf „Standard“ – hier etwa unter KDE:

Ein root-Passwort sollten Sie zuvor natürlich bereits angelegt haben.

Vorteile und Nachteile zwischen sudo und su

Einmal ganz von vorne – ich bin absoluter Gegner von „sudo„. sudo hat absolut sicherheitsbedenkliche Möglichkeiten, so lassen sich damit problemlos grafische Anwendungen starten – dies könnte dazu führen unabsichtlich wichtige Systemdateien zu löschen oder auch Malware in das System zu schleusen. Mit einem root-Passwort kann jeder Benutzer zum Administrator werden, der dieses Passwort kennt – der Vorteil für ein Mehrbenutzersystem. Ein Vorteil von sudo ist wiederum – man kann einzelnen Benutzern gewisse zusätzliche Rechte geben. Der größte Nachteil – immer wieder finden sich Fehler im sudo-System sodass ein Angreifer die Rechte übernehmen könnte. Mit dem Befehl:

su

lassen sich natürlich keine grafischen Anwendungen vom Terminal aus starten – dies ist so gesehen wie schon beschrieben aber auch der Vorteil – es lässt sich weniger per Mausklick falsch machen.

Ein root-Passwort anlegen

Gerade unter Linux Mint war bis vor Linux Mint 20.x (glaube ich) der richtige root-Nutzer absolut verpönt – dauerhaft mit administrativen Rechten am Terminal arbeiten – viel zu gefährlich. Nun ist man wieder darauf gekommen – für gewisse Aufgaben wäre ein root-Passwort doch nicht schlecht, es gibt meines Wissens sogar eine grafische Oberfläche, um ein solches anzulegen. Auch unter einem installierbaren Debian-Live-System wird während der Installation kein root-Passwort angelegt – ein solches lässt sich jedoch problemlos erstellen:

sudo passwd root

Arbeiten mit sudo, zusätzliche sudo-Nutzer anlegen

Wie schon beschrieben hat bei Linux-Distributionen ohne root-Passwort nur der erste erstellte (der bei der Installation erstellte) Benutzer die Möglichkeit administrative Befehle am Terminal zu starten, indem er diesen ein:

sudo

voran stellt. Auch können weitere Nutzer keine grafischen Anwendungen, die administrative Rechte erfordern, aus dem Anwendungsmenü heraus starten. Um diesen dies zu ermöglichen, muss man diese der Datei „/etc/sudoers“ hinzufügen. Dies gelingt mit folgendem Befehl am Terminal (natürlich mit administrativen Rechten) für den Benutzer „robert„:

usermod -aG sudo robert

Nachdem Hinzufügen zur sudo-Gruppe gilt es sich einmal ab- und wieder anzumelden, anschließend sind die neuen Einstellungen aktiv. Jeder Benutzer der sudo-Gruppe hat dieselben Rechte wie der erste angelegte Nutzer. Möchte man diese anpassen nutzt man die Datei „/etc/sudoers„. Diese sollte man absolut nur mit dem Befehl:

visudo

bearbeiten – dieser zeigt etwa Fehler in der Syntax. Speichert man die Datei mit Fehlern in der Syntax, hat kein Nutzer – auch nicht der erste angelegte die Möglichkeit administrative Befehle zu starten. Und hier kommt dann wieder der echte Administrator namens root zum Einsatz.

Der Befehl „visudo“ startet am Terminal automatisch den Editor Vim – für Einsteiger ist dieser nicht unbedingt gedacht, starten Sie den Befehl wie folgt wird der Editor Nano genutzt der um einiges freundlicher ist:

EDITOR=nano visudo

Sie arbeiten wie in einem grafischen Texteditor:

Gespeichert wird die Datei, nachdem sich keine Fehler in der Syntax zeigen (rot) ganz einfach mit Strg+o, Sie bestätigen mit Eingabe und schließen den Editor mit Strg+x.

Die Datei sieht standardmäßig so aus:

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL


# See sudoers(5) for more information on "@include" directives:

@includedir /etc/sudoers.d

Hilfe für die Bearbeitung der Datei finden Sie mit dem Befehl:

man sudo

2