Linux-Rechteverwaltung: Mit Sudo und Polkit gezielt Root-Rechte verteilen

Passwortabfragen und Freigaben passt man unter Linux mit Sudo und Polkit bequem an die eigenen Bedürfnisse an und bringt so Sicherheit und Komfort in Einklang.

Lesezeit: 11 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: Michael Luther)

Von
  • Keywan Tonekaboni
Inhaltsverzeichnis

Auf vielen Linux-Distributionen ist Sudo vorinstalliert und hat das klassische root-Konto für Desktopsysteme überflüssig gemacht. Die Anmeldung als root entfällt ebenso wie ein separates Passwort. Stattdessen darf der bei der Installation angelegte Benutzer Befehle mit den Privilegien des Systemverwalters ausführen, indem er den Kommandos ein sudo voranstellt. Aber Sudo ist nicht nur ein Generalschlüssel, sondern – um im Bild zu bleiben – viel mehr eine digitale Schließanlage. In dessen Einstellungen kann man detailliert festlegen, welcher User welches Programm als "Superuser" – oder auch anderer Benutzer – ausführen darf und ob dafür ein Passwort benötigt wird.

Polkit übernimmt eine ähnliche Funktion, aber ist für viele Nutzer erst einmal weniger prominent sichtbar. Wann immer Gnome, Cinnamon oder KDE Plasma vor der Freigabe der Softwareinstallation, Druckerkonfiguration oder Benutzerverwaltung um eine Authentifizierung bitten, ist im Hintergrund Polkit am Werk. Wenn man ganz ohne Passworteingabe das Netzwerk konfiguriert – einst unter Linux hoheitliche Tätigkeiten –, dann gestattet Polkit den Zugriff auf geschützte Ressourcen.

Bei persönlichen Computern mit nur einem Nutzer fällt der Doppelaufwand von zwei Passwörtern weg (User und root), während man weiter nur als User angemeldet ist. Außerdem kann man die Abfrage eines Passwortes ganz abstellen und Zugriffe protokollieren lassen. Bei einem Mehrbenutzersystem punkten Sudo und Polkit damit, dass man die Root-Rechte mit mehreren Benutzern teilen kann, aber jeder sich mit seinem eigenen Benutzerpasswort authentifiziert – falls überhaupt eins abgefragt wird. Bei Bedarf authentifiziert man sich gegenüber Sudo und Polkit anstelle von Passwörtern mit FIDO-Sicherheitssticks, Fingerabdrücken oder Gesichtserkennung.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+