Heeft sudo schade aangericht?

[bart85]

Ik weet nu pas dat gedit uitvoeren met sudo een veiligheids probleem kan opleveren. Ook met nano kan een probleem zijn. rnano is beter.
Maar mijn vraag is: kan ik met een script zien waar het problemen heeft veroorzaakt? En hoe te herstellen?

Gebruik van sudo op onderstaande wijze:

Code: [Selecteer]

sudo gedit /path/to/file
sudo nano /path/to/file

[DeBaas]

Je kunt een aantal laatste commando's in het terminalscherm met pijltje omhoog nazien.
Als je daar, per ongeluk, verkeerde zaken mee hebt uitgevoerd met bijvoorbeeld een tekstbewerker en/of systeembestanden hebt gewijzigd of verplaatst dan kun je je systeem om zeep helpen.
Best documenteer je je sudo opdrachten zodat je eventuele wijzigingen kunt terugdraaien.

[bart85]

Het gaat om:

Code: [Selecteer]

sudo gedit /path/to/file
sudo nano /path/to/file
Men zegt dat deze wijze van wijzigen systeem configuratie een risico is. Iets met de gebruikte libraries.
Wat kan er zijn gebeurd? Is dat na te gaan?

[MKe]

Het gaat om:

Code: [Selecteer]

sudo gedit /path/to/file
sudo nano /path/to/file
Men zegt dat deze wijze van wijzigen systeem configuratie een risico is. Iets met de gebruikte libraries.
Wat kan er zijn gebeurd? Is dat na te gaan?

Nee dat is niet na te gaan als je geen problemen hebt.
De theorie is dat als je sudo gedit of sudo nano runt dat je home directory gelijk blijft. Dat betekent dat er potentieel persoonlijke configfiles ontstaan die eigendom van root zijn en niet van je user. Je user kan er dan in normale omstandigheden niet meer in schrijven wat weer problemen kan opleveren.

Een andere groep mensen is van mening dat je geen grafische programma's met sudo zou mogen runnen. Dit is vooral bij het gebruik van Xorg omdat Xorg nogal wat veiligheids probleempjes lijkt te hebben en dit verergert als je het ook nog onder superuser rechten draait. Geen idee of het met Wayland minder problemen oplevert.

Allemaal theorie en iets om over na te denken. Zelf heb ik nooit echt problemen gehad.

[DeBaas]

Zonder sudo lees/schrijf je in files als gebruiker, ............ als je daar rechten op hebt.
De betreffende file word/blijft dan eigendom van die gebruiker.
Met sudo lees/schrijf je in files ongeacht van welke gebruiker.
De file wordt dan eigendom van root, dat kan ongewenste bijwerkingen hebben als deze van belang is voor lees/schrijf acties in de gebruikers omgeving.

Best check je vooraf wat de rechten van een file zijn voor je sudo gebruikt, check na wijzigen of deze nog hetzelfde zijn.

[Paul Matthijsse]

De file wordt dan eigendom van root

Hmm, niet hier, een bestand van mij bewerkt met sudo mousepad blijft na bewaren van mij, en niet van root. Typisch voor Xubuntu misschien?

[Pjotr]

Met de instellingbestanden van mousepad in je /home, is het vermoedelijk minder goed afgelopen. Zo kijk je dat na (en herstel je de schade):
https://makkelijkelinuxtips.blogspot.com/p/root.html#ID4
(punt 4)

Voor de achtergronden van dit verhaal, zie de rest van de tekst op genoemde webpagina.

[bart85]

Betekent dat als je meerdere gebruikersnamen aangemaakt heb het niet kan voorvallen? Een account genaamd admin en een account genaamd bart. Alleen admin zit in de sudo group. Al het systeembeheer gaat dan met het admin account. Voor normaal gebruik heb ik mijn bart account. In /home/bart worden dan geen bestanden aangepast bij verkeerd sudo gebruik?

[erik1984]

Betekent dat als je meerdere gebruikersnamen aangemaakt heb het niet kan voorvallen? Een account genaamd admin en een account genaamd bart. Alleen admin zit in de sudo group. Al het systeembeheer gaat dan met het admin account. Voor normaal gebruik heb ik mijn bart account. In /home/bart worden dan geen bestanden aangepast bij verkeerd sudo gebruik?

Daarmee verplaats je het probleem van bart naar admin. Een account genaamd admin is niet hetzelfde als root en heeft dezelfde status als je bart-account nu (account dat in de sudogroep zit). Dus de mogelijke problemen die zich voordoen met grafische sudo hebben dan invloed op de home van admin. Bovendien lijkt het me irritant om van account te moeten wisselen als je een keer sudo nodig hebt. Maar inderdaad met die werkwijze zou de bart-account schoon moeten blijven (qua bestanden die opeens eigendom van root zijn).

[bart85]

Bovendien lijkt het me irritant om van account te moeten wisselen als je een keer sudo nodig hebt.

Met Ctrl + Fn + Alt F2 kun je naar tty2 gaan. Inloggen met Admin. Daar op de commandline systeembeheertaken uitvoeren. Terwijl je ondertussen met je normale user (bij mij dus bart) grafisch ingelogt bent. Daar kun je dan browsen door de documentatie.

[erik1984]

Bovendien lijkt het me irritant om van account te moeten wisselen als je een keer sudo nodig hebt.

Met Ctrl + Fn + Alt F2 kun je naar tty2 gaan. Inloggen met Admin. Daar op de commandline systeembeheertaken uitvoeren. Terwijl je ondertussen met je normale user (bij mij dus bart) grafisch ingelogt bent. Daar kun je dan browsen door de documentatie.

Dat kan inderdaad maar volgens mij is CLI-applicaties met sudo uitvoeren ook niet het probleem. Lijkt me niet dat bijv. sudo apt install o.i.d. voor problemen zal zorgen. Heb ook vaak zat systeembestandjes aangepast met sudo nano (bijv. fstab) en nooit nadelen daarvan ondervonden.

[MKe]

Bovendien lijkt het me irritant om van account te moeten wisselen als je een keer sudo nodig hebt.

Met Ctrl + Fn + Alt F2 kun je naar tty2 gaan. Inloggen met Admin. Daar op de commandline systeembeheertaken uitvoeren. Terwijl je ondertussen met je normale user (bij mij dus bart) grafisch ingelogt bent. Daar kun je dan browsen door de documentatie.

Je kunt ook gewoon in je terminal typen:

Code: [Selecteer]

sudo su Admindan ben je in die terminal window de user Admin. Overigens lost dit weinig op.

Ik zie helemaal het voordeel niet van het veranderen van de gebruiker.
De beste oplossing is om gewoon geen grafische applicaties te starten met sudo. Gebruik nano of leer hoe vi werkt voor het bewerken van config bestanden. Leer hoe je in de commandline bestanden managed. Mocht je toch persee een grafisch programma nodig hebben, gebruik dan Pjotr's tip en run

Code: [Selecteer]

sudo chown -R -v $USER:$USER $HOME in de terminal en het probleem is opgelost.

[bart85]

Alleen admin grafische interface opstarten als dat voor systeembeheer taak dat nodig heeft. In de praktijk is dat bijna nooit noodzakelijk.

[vanadium]

Grafische toepassingen met "sudo" openen kan schade aanrichten aan een gebruikersaccount. "sudo nano" (of "sudo vim", enz) kan dat niet. Wel kan de gebruiker altijd schade aanrichten: verkeerde edits...

Om systeembestanden veilig aan te passen, is "sudoedit" geschikt. Je past hierbij een tijdelijk bestand aan als gewone gebruiker, en na afsluiten wordt het systeembestand bijgewerkt.

Code: [Selecteer]

sudoedit nano /etc/fstab
zal het systeembestand /etc/fstab in de standaard terminal editor openen, standaard "nano" in Ubuntu.

Je kan ook je grafische editor gebruiken met "sudoedit":

Code: [Selecteer]

EDITOR="/usr/bin/gedit -s" sudoedit /etc/fstab
De "-s" optie start een afzonderlijke instantie van "gedit" op. Als het commando anders verbinding maakt met een reeds lopende gedit venster, dan verliest sudoedit de connectie met de editor, en wordt het systeembestand niet bijgewerkt.

Met een scriptje "sedit":

Code: [Selecteer]

#!/bin/sh
2>/dev/null EDITOR="/usr/bin/gedit -s" sudoedit "$@"

of een alias

Code: [Selecteer]

alias='2>/dev/null EDITOR="/usr/bin/gedit -s" sudoedit'

moet je wat minder onthouden en typen om dit te doen.