Linuxmuster-linuxclient7 sudo fuer alle

baumhof · 3. November 2021 um 21:13

Hallo,

ich habe eine Umgebung, wo auch students sudo am Client dürfen sollen.
Das gestaltete sich schwieriger als ich dachte.

erstmal sind dafür die Datei /etc/sudoers und darin eingehängt die Dateien im Verzeichnis /etc/sudoers.d/
verantwortlich.
Die sind alle nicht ohne weiteres editierbar … klar: sol ja so sein.
Also betrachtet und bearbeitet man sie mit
visudo
also z.B.
visudo /etc/sudoers.d/99-linuxmuster-linuxclient7
Das ist die Datei die der linuxmuster-linuxclient7 mitbringt.
Der Inhalt:

%role-student ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-teacher ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-schooladministrator ALL=(ALL:ALL) NOPASSWD: ALL
%role-globaladministrator ALL=(ALL:ALL) NOPASSWD: ALL

Da hab ich erstmal

%role-teacher	ALL=(root)	ALL
%role-student	ALL=(root)	ALL

unten angehängt und mich gewundert warum ich mich nicht mehr einloggen konnte.
Irgend wann hab ich es geblickt: Die Datei wird von oben nach unten abgearbeitet und das letzte gilt.
Deswegen führte meine Zeile dazu, dass die erste Zeile eben nicht mehr galt, wo steht, dass Dateien im linuxmuster-linuxclient7 scripte Verzeichnis ohne Passwort durch die Usergruppe ausgeführt werden kann: also klappte der login nicht mehr.
Andersrum hat es dann geklappt:

%role-teacher	ALL=(root)	ALL
%role-student	ALL=(root)	ALL
%role-student ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-teacher ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-schooladministrator ALL=(ALL:ALL) NOPASSWD: ALL
%role-globaladministrator ALL=(ALL:ALL) NOPASSWD: ALL

Ich schreib das mal hier hin: vielleicht braucht es mal jemand (ich zum Beispiel, weil ich das in 4 Wochen nicht mehr weiß …)

LG

Holger

MachtDochNix · 4. November 2021 um 05:22

Hallo Holger,

danke für deine Gedächtnisstütze, die sicherlich auch anderen helfen wird.
Ich markiere deinen Post mal als gelöst.

Beste Grüße

Thorsten

dorian · 4. November 2021 um 06:08

Hi Holger,

Wichtig: bitte lege eine eigene Datei in sudoers.d an. 98-sudo-fuer-alle oder so. Die 99-linuxmuster-linuxclient7 ist nicht updatefest!

VG, Dorian

dorian · 4. November 2021 um 06:12

Hab eine Notiz hinzugefügt:

github.com

linuxmuster/linuxmuster-linuxclient7/blob/e47f3e37a5eb301fee73a07bc3f4b5ae40dbf6c5/etc/sudoers.d/99-linuxmuster-linuxclient7#L2

    
      
          #
          # WARNING! All changes to this file will be overwritten by linuxmuster-linuxclient7 upgrades!
          #
          %examusers ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
          %role-student ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
          %role-teacher ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
          %role-schooladministrator ALL=(ALL:ALL) NOPASSWD: ALL
          %role-globaladministrator ALL=(ALL:ALL) NOPASSWD: ALL

baumhof · 4. November 2021 um 08:19

Hallo Dorian,

… wichtiger Hinweis: Danke.
Das werde ich machen.
Klar: die Zahl muss kleiner sein (98 statt 99): meine Regeln müssen zuerst abgearbeitet werden, sonst zieht das NOPASSWD nicht.

LG

Holger