Das Sicherheitsprinzip der minimalen Rechte besagt, dass Benutzer nur die minimalen Rechte haben sollten, die sie zur Ausführung ihrer Aufgaben benötigen. Durch die Verwendung normaler Benutzerkonten und den Einsatz von sudo nur bei Bedarf wird sichergestellt, dass Benutzer nicht über mehr Rechte verfügen als notwendig. Dadurch wird das Risiko von Missbrauch oder Fehlern verringert.
Legen Sie für die Arbeit an Systemen eindeutige Benutzer an, die einer bestimmten Person zugeordnet werden können. sudo protokolliert alle Befehle, die mit erhöhten Rechten ausgeführt werden, zusammen mit dem jeweiligen Benutzer. Dadurch können auch Änderungen am System eindeutig einer Person zugeordnet werden. Für Compliance-Anforderungen in sicherheitsrelevanten Umgebungen eine verbindliche Anforderung.
Das sudo-Kommando muss bei einer minimalen Installation, z.B. unter Debian, eventuell erst nachinstalliert werden. Dazu ist es zunächst erforderlich, dass Sie die Installation mit dem root-Benutzer ausführen:
# apt install sudosudoers-Datei
Die sudoers-Datei (/etc/sudoers) ist eine Konfigurationsdatei, die vom sudo-Befehl verwendet wird, um festzulegen, welche Benutzer und Gruppen welche administrativen Befehle auf einem Unix- oder Linux-System ausführen dürfen und unter welchen Bedingungen. Diese Datei bietet eine granulare Kontrolle über die Vergabe von Superuser-Rechten und enthält spezifische Regeln und Richtlinien für die Verwaltung dieser Rechte.
Das sudo-Paket bringt einen eigenen Editor visudo für die Konfigurationsdatei /etc/sudoers mit. Dieser Editor bietet einige Vorteile, wie z.B. eine Syntaxprüfung. Die Datei sudoers kann aber auch mit jedem anderen Editor bearbeitet werden.
Fügen Sie für jeden Benutzer, dem Sie die Verwendung von sudo erlauben wollen, die folgende Zeile ein:
# User privilege specification root ALL=(ALL:ALL) ALL pronto ALL=(ALL:ALL) ALL
pronto ALL=(ALL:ALL) ALL erlaubt dem Benutzer pronto, jedes Kommando unter jedem Benutzer und jeder Gruppe, der der Benutzer angehört, sowie auf jedem Host auszuführen (Spezialfall). Wenn beim Ausführen des sudo-Kommandos kein Benutzer explizit angegeben wird, ist der Standardbenutzer, unter dem das Kommando ausgeführt wird, root.
Logs
In systemd basierten Linux Distributionen können die protokollierten Ereignisse im Journal eingesehen werden. Verwenden Sie dazu das Kommando journalctl:
pronto@debian125:~$ journalctl _COMM=sudo
Mai 31 11:07:22 debian125 sudo[1263]: pronto : TTY=pts/0 ; PWD=/home/pronto ; USER=root ; COMMAND=/usr/bin/apt update
Mai 31 11:07:22 debian125 sudo[1263]: pam_unix(sudo:session): session opened for user root(uid=0) by pronto(uid=1000)
Mai 31 11:07:23 debian125 sudo[1263]: pam_unix(sudo:session): session closed for user root
Mai 31 11:27:27 debian125 sudo[1547]: pronto : TTY=pts/0 ; PWD=/home/pronto ; USER=root ; COMMAND=/usr/bin/ls -l /var/log/
Mai 31 11:27:27 debian125 sudo[1547]: pam_unix(sudo:session): session opened for user root(uid=0) by pronto(uid=1000)
Mai 31 11:27:27 debian125 sudo[1547]: pam_unix(sudo:session): session closed for user root 
