sudo

Vorlage:Hinweisbaustein

sudo (<templatestyles src="IPA/styles.css" />[ˈsuːduː],<ref>Interview mit Robert Coggeshall. Abgerufen am 28. Mai 2014. </ref> Akronym für su “do”<ref>Sudo Main Page. Abgerufen am 23. Februar 2015. </ref>) ist ein Befehl unter Unix und unixartigen Betriebssystemen wie Linux oder macOS, mit welchem Prozesse mit den Rechten eines anderen Benutzers (z. B. des Superusers root) gestartet werden können. Im Gegensatz zu dem nicht zu sudo gehörenden su ist einstellbar, welche Befehle ausgeführt werden dürfen. Der dauerhafte Wechsel der Identität ist ebenfalls möglich durch sudo -s und sudo -i.

Geschichte

Die erste Version entstand um 1980 an der State University of New York at Buffalo, weil man erkannte, dass viele Studenten Befehle brauchten, die eigentlich nur von Administratoren benutzt werden dürfen, die jedoch keine Gefahr für das existierende System darstellten. Bob Coggeshall und Cliff Spencer implementierten den Befehl auf einer VAX-11/750 unter 4.1BSD. Der ursprüngliche sudo-Befehl wurde 1983/84 für AT&Ts Unix-System V entwickelt. 1991 schrieben Dave Hieb und Jeff Nieusma eine neue Version für die Firma „The Root Group“. Diese Version wurde später unter der GNU General Public License veröffentlicht. Darauf basierte Todd Millers „CU sudo“, das erstmals 1994 erschien. 1999 wurde die Vorsilbe „CU“, die bis dahin der Unterscheidung von der „Root Group“-Version gedient hatte, gestrichen. Ab Version 1.6 ist kein Originalcode dieser Version mehr im vormaligen CU sudo enthalten, das unter einer BSD-Lizenz erhältlich ist.<ref>Geschichte der Entwicklung von sudo. Abgerufen am 29. August 2013. </ref> Eine weitere Neuimplementation von sudo ist Vorlage:Monospace, das ab 2023 komplett in Rust entwickelt und von Amazon Web Services finanziert wurde.<ref>Moritz Förster: Jetzt auch sudo und su: Weitere Unix-Befehle erhalten Rust-Modernisierung. In: Heise online. 2. Mai 2023.Vorlage:Abrufdatum; Zitat: „Mit sudo und su sollen zwei grundlegende Unix-Befehle eine Neuimplementierung in Rust erhalten. Ziel des Projekts ist es, die Sicherheit der die beiden Programme nutzenden Betriebssysteme an einer entscheidenden Stelle zu erhöhen … Hinter dem Projekt stehen Entwickler von Ferrous Systems und Tweede Golf, die jedoch von Amazons Cloud-Sparte AWS unterstützt werden.“.</ref> Die Rust-Neuimplementierung wird u. a. von Canonical in Ubuntu 25.10 statt dem klassischen in C geschriebenen Vorlage:Monospace verwendet, was die Sicherheit erhöhen soll.<ref>Oliver Diedrich: Ubuntu 25.10: Rust im Userland und Wayland-only. In: Heise online. 9. Oktober 2025.Vorlage:Abrufdatum; Zitat: „Mehr Rust im Userland – Im Userland wechselt Ubuntu zu Rust-basierten Komponenten. Der traditionelle Vorlage:Monospace-Befehl wird durch die Neuimplementierung Vorlage:Monospace der Trifecta Tech Foundation ersetzt. Damit ist Ubuntu die erste große Distribution, die diesen Schritt geht. Die Entwickler versprechen sich deutliche Sicherheitsverbesserungen gegenüber der C-basierten Originalimplementierung – Rust gilt als speichersicherere Sprache.“.</ref>

Konfiguration

In der Datei /etc/sudoers wird festgelegt, welche Benutzer oder Gruppen bestimmte Programme mit welchen Rechten ausführen dürfen. Eine einfache Variante ist z. B.:

%admin ALL = (root) NOPASSWD: ALL

Dies bedeutet, dass die Mitglieder der Gruppe admin ohne Eingabe ihres persönlichen Passworts alle Kommandos mit Root-Rechten ausführen dürfen. Es können auch nur bestimmte Kommandos freigegeben werden wie in dem folgenden Beispiel für den Benutzer user1:

user1 ALL = (root) /usr/bin/apt-get update, /usr/bin/apt-get dist-upgrade

Die Bearbeitung der sudoers sollte aus Sicherheitsgründen nur dem Superuser erlaubt sein.

Alternative

Aufgrund der funktionsbedingten Arbeitsweise, die Ausführung von Programmen zu steuern, ist über sudo eine unbedachte Ausweitung von Rechten möglich. Weitergehende Techniken wie die Zuordnung einzelner Rechte zu Benutzern sind etwa Role Based Access Control und Mandatory Access Control.

Windows

Es gibt Implementierungen für Windows wie sudowin<ref>Sudo for Windows. Abgerufen am 19. Dezember 2012. </ref> und SuRun<ref>SuRun. Abgerufen am 19. Dezember 2012. </ref>, die den sudo-Mechanismus teilweise nachbilden.

Der Befehl runas unter Windows 2000 oder höher erlaubt das Starten von Programmen mit den Rechten eines anderen Accounts, wenn dessen Passwort bekannt ist. runas entspricht also nicht sudo, sondern dem Unix-Kommando su.

Der Mechanismus der Benutzerkontensteuerung unter Microsoft Windows Vista und später ist ebenfalls nicht mit sudo gleichzusetzen, da hier zwischen den zwei Identitäten des „Geschützten Administrators“ (Protected Administrator, PA) gewechselt wird.

Im Februar 2024 hat Microsoft eine eigene Implementierung des sudo-Konzeptes für Windows 11 vorgestellt.<ref>Introducing Sudo for Windows. Abgerufen am 9. Februar 2024. </ref>

Weblinks

• Offizielle Webpräsenz
• Sudo(ers) Anleitung von Gentoo Linux
• sudo-Skripts der Free Software Foundation

Einzelnachweise

<references />