Hi,

ich habe gestern Tiger installiert und dabei die von einigen empfohlene Methode gewählt, einen normalen (nicht-Admin) Benutzer für die tägliche Arbeit am System einzurichten.
Doof ist nur, dass dieser Benutzer den Terminalbefehl "sudo" nicht mehr verwenden darf: "[MeinBenutzer] is not in the sudoers file. This incident will be reported."

Was kann man da tun?

Hi kai!

Du musst deinen Benutzer in der /etc/sudoers eintragen, damit er sudo machen kann. Dazu musst Du im Terminal

visudo

eingeben. Damit startest Du eine Spezialversion des Editors "vi", mit dem Du die datei bearbeiten kannst. Am einfachsten suchst Du die Zeile in der dein Hauptbenutzer steht und kopierst sie eins zu eins. Für weitere Details kannst Du mal in die Man-Page von visudo schaun:

oder man visudo

Viel Erfolg,
Macovic

äh, ja, trägst latürnich dann deinen Benutzernamen ein ...

Danke Macovic, aaaaber:

1. ich [B]hasse[/B] vi!
2. Damit ich vi mit Superuser-Rechten ausführen kann (visudo), muss ich natürlich erstmal Superuser werden dürfen. Das darf ich aber nicht, weil ich nicht im sudoers-File stehe. Teufelskreis ...

Weiß noch wer was?

Wenn man sich als sudoer einträgt, dann sollte man besser gleich Admin sein, denn faktisch ist man es mit sudo. Nur macht man sich selbst nichts vor, wenn man offiziell Admin ist.

Na, aber Du hast doch bei der Installation einen Hauptbenutzer anlegen müssen, der den Computer administrieren darf. Dann loggst Du Dich unter diesem Benutzer ein und startest visudo dann als solcher. Da reicht dein normales Passwort ...

Und den vi mag ich auch nicht

Macovic

Die Idee ist mir auch direkt nach dem Absenden meines Beitrags gekommen. Danke!

MacMark

Ist das wirklich der einzige Unterschied zwischen Normalo und Admin?

Naja, ein Admin darf systemweit arbeiten, also z.B. in /Applications installieren, während ein Normalo nur in sein ~/Applications installieren darf (ohne Adminname und -passwort) ... und der Admin darf sicherheitsrelevante Systemeinstellungen ändern, was der Normalo auch nicht darf. Allerdings ist der eigentliche Unterschied für Dich, wenn Du Admin und Normalo bist, glaub echt, dass der Normalo nicht in der sudoers steht.

Ich drücke es mal anders aus: Wenn Du definitiv mit sudo arbeiten mußt, dann solltest Du lieber gleich als Admin arbeiten, denn was sudo macht sind immer Adminaufgaben. Wenn Du als Normaluser per sudo etwas machen könntest und würdest, dann würde die falsche Gruppe bei den geänderten Dateien und Verzeichnissen entstehen. Das gibt dann Probleme.

Mach halt die Sudo-Aufgaben unter dem Admin-User.

MacMark

Leider verstehe ich deine Argumentation in diesem Satz nicht. Es ist doch sehr schön, wenn ich nur dann "Admin bin", wenn ich es auch will, ergo wenn ich sudo benutze. Dadurch weiß ich genau, wann ich Administratorprivilegien habe. Ganz im Gegensatz zur Benutzung des Systems als Admin, denn da habe ich zu jeder Zeit Adminrechte.

Oder verstehe ich dich falsch?

Bist du dir da sicher? Ich meine, es bei Linux anders gesehen zu haben. Darüber hinaus wird doch bei Änderungen von Dateien und Verzeichnissen in den seltensten Fällen der Eigentümer oder die Gruppe geändert. Wenn, dann bei neu erstellten Ordnern und Dateien.

Mit sudo bekommst Du keine Adminrechte, sondern Rootrechte, was deutlich mehr ist.

Ich bezog mich auf das Anlegen von Dateien und Verzeichnissen.

Ich würde nicht an den vordefinierten Gruppen Änderungen vornehmen, sprich die Sudoergruppe nicht verändern. Die sauberste Lösung ist, daß Du einen Admin-Account für Sudoaufgaben nutzt. Alles andere kannst Du ja weiterhin unter einem Nicht-Admin machen.

Auch wenn ich persönlich in der Änderung der sudoer-Gruppe kein Problem sehe, stimme ich MacMark zu, dass die von ihm angesprochene Lösung die sauberste ist. Aber auch eine recht unbequeme.

Daher habe ich meine Bequemlichkeit gegen das geringfügig erhöhte Sicherheitsrisiko abgewogen und mich entschieden, die Änderung an der sudoer-Gruppe so zu belassen.

Vielen Dank für alle Infos, Tipps und Ratschläge.

Dann kann also der eine Normaluser bei Dir nun Rootrechte bekommen - oha. Das halte ich für riskanter als wenn man immer als Admin arbeiten würde.

Aber nur, wenn er vorher das Kennwort eintippt ... ich habe zwar /etc/sudoers editiert, aber nicht dahingehend, dass sudo ohne Kennwort funktioniert (das geht auch ohne weiteres). Und keine Angst, ich bin UNIX-technisch nicht so unbedarft, dass ich etwas wie rm -rf / eintippen würde ... gut, vielleicht aus Versehen ( rm -rf / statt rm -rf * ), aber dieses Risiko gehe ich im Verhältnis zur erhaltenen Flexibilität gerne ein.

Ein Admin darf:

- sudo ausführen
- Änderungen im Verzeichnisbaum unter /Library, /Applications, /Users OHNE Passworteingabe durchführen, nur eben nicht in /System.
- geschützte Systemeinstellungen OHNE Passworteingabe ändern

Mein normaler Benutzer darf:

- sudo ausführen

Änderungen außerhalb /Users/Benutzername müssen allesamt mit Passwort bestätigt werden. Bei geschützten Systemeinstellungen muss erst das Schloss entriegelt werden.

Ich lasse mich überaus gerne korrigieren, aber mir erscheint der normale Benutzer doch einen Tick sicherer.

Ein normaler User, der sudo darf, ist kein normaler User mehr. Das ist ein Wolf im Schafspelz.

Ich habe bei mir auch diese "Problematik". Aber ich habe kein Probleme damit, im Terminal einmal su - adm und dann su - bzw. sudo einzugeben. So komme ich bei Bedarf durch die vorhandenen Türen, aber ansonsten nicht. Ein normaler User hat keine Admin/Root-Aufgaben auszuführen.

underworld

Ja genau, Rootrechte bei Bedarf, ansonsten ein relativ (siehe Kommentar MacMark) "normaler" User.

MacMark

Ja, das weiß ich jetzt. Ein Wolf im Schafspelz, der ohne das Root-Kennwort keinen Schaden anrichten kann. Dann ist es halt kein normaler User, sondern ein Hybrid aus Root/Admin und User, mir soll es recht sein, immerhin besser als vollständig Admin zu sein und darüber hinaus für meine Bedürfnisse genau das Richtige.

Ich weiß (wie viele andere hier) dein OS-X-Fachwissen sehr zu schätzen, aber könntest du bitte ein wenig konkreter werden und ein wenig mehr auf meinen Beitrag eingehen? Das soll in keinster Weise ein Angriff sein, ich suche nur nach einer optimalen Lösung und wäre dir für weitere Erläuterungen dankbar.

kai!
Naja, jetzt nimm dir eine Minute Zeit und denke doch mal nach: was ermöglicht dir sudo? Daß du mit der Eingabe deines eigenen Kennwortes Rootrechte erhältst. Du mußt nicht das Kennwort des Root kennen, nein, nur dein eigenes. Sein eigenes kennt ja wohl jeder, oder? Wäre es so wie du dir das wünscht, nämlich daß jeder Normaluser auch sudo verwenden kann, dann hätte automatisch jeder Normaluser auch die Möglichkeit an Root-Rechte zu gelangen. Ergo: völliger Sockenschuß.

Genau zu diesem Behufe gibt es den Admin-Account. Der darf sudo ausführen, Normalo darf nicht. Mag sein, daß es noch ein paar wenige Dinge gibt, die der Admin mehr darf als ein Normalo, der in sudoers eingetragen wurde. Aber selbst wenn, ist der Unterschied marginal. Faktisch ist ein Normalo mit Recht zum Sudoen ein Admin, allerdings sozusagen "hinten rum", das meinte MacMark mit Wolf im Schafpelz.

So ganz verstehe ich den Sinn der Aktion auch nicht. Wenn man sehr selten sudo braucht, dann kann man mit einem normalen Account gut leben und arbeiten. Für die seltenen Gelegenheiten, wo man doch mal sudo braucht, switcht man halt schnell mal zum Admin-Account - es kommt ja definitionsgemäß selten vor, also stört das nicht. Wenn man hingegen häufig sudo benötigt, dann macht es auch keinen großen Unterschied, wenn man ständig als Admin arbeitet.

Ein normaler User mit sudo-Rechten ist dagegen ein weiteres Sicherheitsrisiko. Jetzt hat man nicht nur einen Admin, sondern gleich zwei, für die man Sorge tragen muß, daß keiner an das Kennwort kommt, etc. etc.

Rantanplan

Tatsächlich, gerade ausprobiert. Das war mir völlig neu (bei mir sind Admin- und Userpasswort (noch) identisch, daher habe ich das nie bemerkt.) Das wirft für mich ein völlig neues Licht auf den sudo-Befehl und erklärt wohl so einige Verständnisprobleme in diesem Thread.

Nein. Ich wünsche mir nicht, dass jeder Normaluser sudo verwenden kann. Ich wünsche es mir nur für einen einzigen Benutzer, und den habe ich in der /etc/sudoers eingetragen.

Immerhin gibt es sie, diese marginalen Unterschiede (die ich ja weiter oben beschrieben habe), und ich finde sie von Vorteil. Fakt ist: Ich will sudo ausführen können, und gäbe es die Möglichkeit der Änderung der /etc/sudoers nicht, so würde ich meinem Benutzer wohl auch ständige Adminrechte geben ( = ihn zum Admin machen) und tagtäglich als Admin arbeiten. Das heißt, dass ich eigentlich Admin sein will, es aber als vorteilhaft ansehe, dass ich als normaler Benutzer bspw. in /Library ohne Passworteingabe nichts löschen darf, wenn ich im Finder auf den Löschknopf klicke. Fehler sind mit der Maus nunmal schneller gemacht als mit Terminalbefehlen.

In diesem Fall habe ich auch hinten Augen, und dass das Schaf in Wirklichkeit ein Wolf ist, weiß ich auch. Lieber habe ich ein Schaf, das spontan zum Wolf werden kann, als von vornherein einen Wolf, um auf dieser sprichwörtlichen Ebene zu bleiben.

Ich verwende sudo zu oft, um jedesmal in den Adminaccount zu switchen und zu selten, um immer als Admin arbeiten zu wollen. Darüber hinaus gibt es die oben genannten Limitationen im Finder und in den Systemeinstellungen.

Das spielt bei mir keine Rolle, weil das Kennwort des normalen Benutzers identisch mit dem Adminkennwort ist. Ich weiß, dass das vielleicht ein Fehler ist, aber ich bin zu bequem und nicht paranoid genug, um daran etwas zu ändern.

kai!
Ja, erklärt es

Du wirst lachen: ich bin immer mit dem Admin-Account unterwegs Ich fummel nicht ständig in /Applications und /Library rum, von daher wüßte ich nicht, was ich da versehentlich löschen sollte. Insbesondere, was ich dort löschen sollte, was man nicht wieder herholen könnte. Da sind ja keine gravierenden Dinge drin.

Trotzdem, mich würde jetzt auch mal interessieren, wo der Unterschied zwischen einem nicht-privilegiertem User und dem Admin in OS X ist. Exakt den Unterschied meine ich. Normale und Admins sind in der gleichen Gruppe: staff. Die wheel-Gruppe heißt bei OS X wohl admin. Ansonsten ist der Admin noch Mitglied der Gruppe admin, deren Mitglieder wiederum sudoer sind.

Worauf ich raus will: soweit sehe ich keinen Unterschied zwischen einem Admin und einem normalen Nutzer, den man manuell in die /etc/sudoers einträgt.

Oder nochmal anders formuliert: falls es keine weiteren Unterschiede gibt, die mir jetzt verborgen geblieben sind, dann ist es ziemlich wurst, ob du deinen normalen User manuell in sudoers einträgst oder du in den Systemeinstellungen den Admin-Haken setzt. Letzteres wäre dann sogar sauberer, weil dein User dann einfach Mitglied von admin würde und die sind automatisch alle sudoer.

Würde mich auch interessieren, ob es noch weitere Unterschiede als diejenigen gibt, die ich oben beschrieben habe. Einer ist mir gerade noch aufgefallen: mein User darf /var/log/system.log nicht sehen. Das gilt sicherlich auch noch für andere Log-/Systemdateien und trägt zur Sicherheit bei, falls es tatsächlich eines Tages einen OS-X-Trojaner geben sollte.

Das Logfile kann dein normaler User deswegen nicht anschauen, weil es nur Leserechte für root und die Admingruppe besitzt. Schreiben darf aber nur root, kein Admin.

Ich weiß