Tips en Trucs 2024

Root-rechten

Root is de naam van het machtigste account op een Linux systeem. De root-gebruikersaccount kan alles doen op het systeem. Root wordt ook wel supervisor en administrator genoemd. De thuismap (~) van root is /root.

Root-rechten op deze site: zie verder.

Het root account in Debian

Tijdens de installatie wordt je gevraagd of je het root-account wilt gebruiken of niet.

• Als je dat wilt (standaard), wordt je gevraagd om een complex wachtwoord op te geven voor root. Gebruik een sterk wachtwoord!
• Zo niet, dan wordt er geen rootaccount aangemaakt en wordt het wachtwoord van de eerst aangemaakte gebruiker gebruikt voor beheertaken.

Voor het vervolg gaan we ervan uit dat er een root gebruiker en een normale gebruiker bij de installatie werd aangemaakt. Dit is ook de standaard installatie werkwijze in Debian Bookworm.

Hoe kan je root-toegang krijgen als normale gebruiker?

In de terminal

In een terminal kun je su opdracht gebruiken om je identiteit te veranderen in root. Veel distributies configureren sudo waarmee je bepaalde opdrachten met root-rechten kunt uitvoeren.

Wanneer je verandert van een normale gebruiker naar root, zal je prompt veranderen van user@mypc:~$ naar root@mypc:/home/user#. Om uit te zoeken als welke gebruiker je nu werkt, voer je de opdracht whoami uit:

dany@pindabook:~$ whoami
dany
dany@pindabook:~$ su
Wachtwoord: 
root@pindabook:/home/dany# whoami
root
root@pindabook:/home/dany# exit
exit
dany@pindabook:~$

De exit opdracht wordt gebruikt om niet verder als root te werken, maar terug te keren naar het werken als normale gebruiker.

Sudo in Debian Bookworm

Sudo (soms beschouwd als een afkorting voor Super-user do) is een programma ontworpen om systeembeheerders toe te laten dat sommige gebruikers sommige opdrachten uitvoeren als root (of een andere gebruiker). De basisfilosofie is om zo weinig mogelijk privileges te geven, maar mensen toch hun werk te laten doen. Sudo is ook een effectieve manier om te loggen wie wanneer welke opdracht heeft uitgevoerd.

Als je sudo leuk vindt en je wilt het installeren (zelfs als je het overgeslagen hebt tijdens je Debian installatie), dan kan dat, maar op de manier zonder sudo, dus root worden met de su opdracht, het installeren en jezelf toevoegen aan de sudo groep en een volledige logout/login doen of herstarten.

dany@pindabook:~$ su
Wachtwoord: 
root@pindabook:/home/dany# apt install sudo
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd... Klaar
De statusinformatie wordt gelezen... Klaar 
sudo is reeds de nieuwste versie (1.9.13p3-1+deb12u1).
sudo staat ingesteld op handmatig geïnstalleerd.
0 opgewaardeerd, 0 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
root@pindabook:/home/dany# /sbin/adduser dany sudo
Toevoegen gebruiker `dany' aan groep `sudo'...
Klaar.
root@pindabook:/home/dany# exit
exit

Vervang dany natuurlijk gewoon door je persoonlijke gebruikersnaam. Na een systeem herstart (of her-aanmelden is ook voldoende) kan de gebruiker dany de sudo opdracht gebruiken.

Waarom sudo niet gebruiken?

Merk op dat, historisch gezien, alle Unix-achtige systemen perfect werkten zelfs voordat "sudo" werd uitgevonden. Bovendien kan een systeem zonder sudo nog steeds beveiligingsvoordelen bieden, omdat het sudo pakket kan worden beïnvloed door beveiligingsbugs, zoals elk ander onderdeel van het systeem.

Veel Debian gebruikers installeren sudo niet. In plaats daarvan openen ze een terminal als root (bijvoorbeeld met su - van een normale gebruiker).

Waarom sudo wel gebruiken?

Het gebruik van sudo zou meer vertrouwd kunnen zijn voor nieuwere gebruikers, en het zou beter (veiliger) kunnen zijn dan een normale gebruiker toe te staan een sessie te openen als root. Enkele redenen:

• Niemand hoeft het root-wachtwoord te kennen (sudo vraagt om het wachtwoord van de huidige gebruiker). Extra privileges kunnen tijdelijk toegekend worden aan individuele gebruikers en dan weer ingetrokken worden zonder dat het nodig is om het wachtwoord te veranderen.
• Het is gemakkelijk om alleen de opdrachten uit te voeren die speciale privileges vereisen via sudo; de rest van de tijd werk je als een nier bevoorrechte gebruiker, wat de schade die fouten kunnen veroorzaken beperkt.
• Auditing/logging: wanneer een sudo opdracht wordt uitgevoerd, worden de originele gebruikersnaam en de opdracht gelogd.

Met de standaardconfiguratie van Debian kunnen gebruikers in de sudo-groep elke opdracht uitvoeren via sudo.

Sommige distributies (zoals openSUSE) moeten gebruikers het root wachtwoord ingeven bij het gebruik van de sudo opdracht. Je kunt dit activeren door de volgende instelling aan sudo toe te voegen:

dany@pindabook:~$ echo "Defaults   rootpw" | sudo tee /etc/sudoers.d/root-password 
Defaults   rootpw

Met een kleine test:

dany@pindabook:~$ sudo ls /etc/sudoers.d/
[sudo] wachtwoord voor root: 
kdesu-sudoers  README  root-password

In de grafische omgeving

Het starten van grafische programma's met systeembeheer rechten, wordt ten stelligste afgeraden. Soms is het zelfs onmogelijk, zoals bij de teksteditor Kate en de bestandsbeheerder Dolphin. Hoewel het via omwegen mogelijk is, is het uit veiligheidsoverwegingen niet aan te raden.

Programma's die systeemrechten nodig hebben om hun werk te doen, vragen deze met behulp van een dialoogvenster. Dan denk ik aan het programma Ontdekken die je gebruikt om het systeem bij te werken, software te installeren en te verwijderen. M.a.w. alles wat een normale gebruiker nodig heeft om met het systeem te werken en te onderhouden is ter beschikking.

Root-rechten op deze site

Daar veel distributies standaard gebruik maken van sudo, zullen de tips en trucs op deze site dit eveneens doen. Met andere woorden, komt dit voor Debian 12 Bookworm neer op de volgende instellingen:

• Een standaard installatie met root-gebruiker en bijpassend wachtwoord. Het installatieprogramma maakt dan ook automatisch een gewone gebruiker (in het voorbeeld: dany) met een ander bijhorend wachtwoord aan.
• Met de volgende opdrachten krijgt ook de normale gebruiker via sudo toegang tot systeembeheertaken:

  dany@pindabook:~$ su
  Wachtwoord: 
  root@pindabook:/home/dany# apt install sudo
  Pakketlijsten worden ingelezen... Klaar
  Boom van vereisten wordt opgebouwd... Klaar
  De statusinformatie wordt gelezen... Klaar 
  sudo is reeds de nieuwste versie (1.9.13p3-1+deb12u1).
  sudo staat ingesteld op handmatig geïnstalleerd.
  0 opgewaardeerd, 0 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
  root@pindabook:/home/dany# /sbin/adduser dany sudo
  Toevoegen gebruiker `dany' aan groep `sudo'...
  Klaar.
  root@pindabook:/home/dany# exit
  exit

• Voor wie het systeem iets beter wil beveiligen, zorgt dat systeembeheertaken enkel toegankelijk zijn als je het root-wachtwoord kent. Voer daarvoor de volgende opdracht uit:

  dany@pindabook:~$ echo "Defaults   rootpw" | sudo tee /etc/sudoers.d/root-password 
  [sudo] wachtwoord voor dany:
  Defaults   rootpw