sudo, su & root

Rechte & Benutzer

Der Superuser root

In Linux gibt es einen allmächtigen Benutzer: root (UID 0). Er darf alles – jede Datei lesen, jeden Prozess beenden, das System neu konfigurieren. Genau deshalb ist dauerhaftes Arbeiten als root gefährlich: Ein Tippfehler wie rm -rf / kann das ganze System löschen, und Schadprogramme hätten volle Kontrolle.

sudo – gezielt Rechte erhöhen

sudo („superuser do“) führt einen einzelnen Befehl mit root-Rechten aus. Du authentifizierst dich mit deinem eigenen Passwort, nicht mit dem von root:

$ sudo apt update
[sudo] Passwort für anna:
$ sudo systemctl restart nginx

Das ist der empfohlene Weg: Du arbeitest normal als eingeschränkter Nutzer und hebst die Rechte nur dann an, wenn es wirklich nötig ist (Least Privilege).

su – Benutzer wechseln

su („switch user“) wechselt komplett zu einem anderen Konto. su - startet dabei eine vollständige Login-Shell mit dessen Umgebung:

$ su -            # zu root wechseln (root-Passwort nötig)
# whoami
root
# exit            # zurück zum eigenen Konto
$ su - bob        # zu bob wechseln

Der Unterschied: Bei sudo brauchst du dein eigenes Passwort, bei su das des Zielkontos. Viele Systeme (z. B. Ubuntu) sperren das root-Passwort und setzen ganz auf sudo.

/etc/sudoers

Wer was per sudo darf, regelt /etc/sudoers. Diese Datei bearbeitest du nur mit visudo – das prüft die Syntax vor dem Speichern und verhindert, dass du dich aussperrst:

# visudo
# Beispielzeilen:
anna    ALL=(ALL:ALL) ALL          # anna darf alles
%sudo   ALL=(ALL:ALL) ALL          # alle in Gruppe sudo dürfen alles
bob     ALL=(ALL) /usr/bin/systemctl   # bob nur systemctl

Üblich ist, einen Nutzer einfach in die Gruppe sudo aufzunehmen: usermod -aG sudo anna.

Womit bearbeitest du die sudoers-Datei sicher?

Sicherheit

Arbeite nie dauerhaft als root. Beschränke per sudoers, welche Befehle ein Konto erhöht ausführen darf. Gib sudo-Rechte nur vertrauenswürdigen Personen, denn die Gruppe sudo ist faktisch Administratorzugang. sudo protokolliert jede Nutzung – das hilft bei der Nachvollziehbarkeit. Verlasse erhöhte Shells nach getaner Arbeit sofort mit exit.