Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Linux 
VerwaltungWie man einen Benutzer zur Root-Gruppe hinzufügt und Berechtigungen in Linux gewährt
Das Gewähren erhöhter Berechtigungen in Linux bedeutet, einem Benutzerkonto die Möglichkeit zu geben, Befehle auszuführen, die Superuser-Zugriff erfordern — entweder durch Hinzufügen zu einer privilegierten Gruppe wie `sudo` oder `wheel`, oder durch explizite Konfiguration von Einträgen in der `/etc/sudoers`-Datei. Die sicherste und am besten nachvollziehbare Methode ist immer die `sudo`-basierte Delegation, nicht die direkte Mitgliedschaft in der `root`-Gruppe.
Dieser Leitfaden behandelt jeden praktischen Weg: Hinzufügen von Benutzern zur `sudo`- oder `wheel`-Gruppe, Bearbeiten der `sudoers`-Datei mit `visudo`, Einschränken von Berechtigungen auf bestimmte Befehle, sauberes Widerrufen von Zugriffsrechten und das genaue Verständnis, warum die direkte `root`-Gruppenmitgliedschaft in Produktionsumgebungen ein Sicherheitsrisiko darstellt.
Das Linux-Berechtigungsmodell verstehen
Linux erzwingt eine strikte Trennung zwischen privilegierten und nicht privilegierten Ausführungskontexten. Jeder Prozess läuft unter einer UID (User ID), und UID 0 — der `root`-Benutzer — umgeht praktisch alle vom Kernel erzwungenen Berechtigungsprüfungen. Dies ist nicht nur eine Konvention; es wird auf Syscall-Ebene durchgesetzt.
Wichtige Berechtigungsmechanismen, die Sie verstehen müssen:
- Root-Benutzer (UID 0): Uneingeschränkter Zugriff auf alle Dateien, Geräte, Kernel-Parameter und Systemaufrufe. Ein einziger falsch konfigurierter Befehl, der als Root ausgeführt wird, kann ein laufendes System irreversibel beschädigen.
- sudo: Ein setuid-Binary, das einem berechtigten Benutzer erlaubt, einen Befehl als ein anderer Benutzer (typischerweise Root) auszuführen, gemäß der in `/etc/sudoers` definierten Richtlinie. Jeder Aufruf wird in syslog oder journald protokolliert.
- Die `sudo`-Gruppe (Debian/Ubuntu): Mitglieder dieser Gruppe erhalten durch eine Standardregel in `/etc/sudoers` vollen sudo-Zugriff.
- Die `wheel`-Gruppe (RHEL/CentOS/Fedora/AlmaLinux): Das funktionale Äquivalent der `sudo`-Gruppe auf Red Hat-basierten Distributionen.
- Die `root`-Gruppe (GID 0): Die Mitgliedschaft hier gewährt KEINE Root-Level-Befehlsausführung. Sie erlaubt nur den Zugriff auf Dateien, die der `root`-Gruppe gehören, mit Gruppen-Lese- oder Gruppen-Schreibberechtigungen. Dies wird häufig missverstanden.
Root-Gruppe vs. sudo-Gruppe: Ein wichtiger Unterschied
| Eigenschaft | `root`-Gruppe (GID 0) | `sudo` / `wheel`-Gruppe |
|---|
| — | — | — |
|---|
| Gewährt UID 0-Ausführung | Nein | Ja (via sudo) |
|---|
| Erlaubt das Lesen von Root-eigenen gruppenlesbaren Dateien | Ja | Nein (außer auch Root) |
|---|
| Im Audit-Trail protokolliert | Nein | Ja (syslog/journald) |
|---|
| Erfordert Passwortbestätigung | Nein | Ja (standardmäßig) |
|---|
| Empfohlen für Admin-Delegation | Nein | Ja |
|---|
| Risikoniveau | Hoch (stiller Dateizugriff) | Kontrolliert |
|---|
| Typischer Anwendungsfall | Legacy-Setups, spezifische Datei-ACLs | Alle modernen Admin-Delegationen |
|---|
Das Hinzufügen eines Benutzers zur `root`-Gruppe macht ihn nicht zum Root. Es gewährt stillschweigend Lese-/Schreibzugriff auf alle Dateien, bei denen die `root`-Gruppe Berechtigungen hat — was auf einem falsch konfigurierten System sensible Konfigurationsdateien, private Schlüssel oder Cron-Verzeichnisse einschließen kann. Deshalb ist es gefährlich und selten die richtige Lösung.
Voraussetzungen
Bestätigen Sie vor dem Fortfahren Folgendes:
- Sie haben eine aktive Sitzung mit Root- oder sudo-Berechtigungen.
- Das Zielbenutzerkonto existiert bereits. Falls nicht, erstellen Sie es:
“`bash
sudo adduser username
“`
Auf minimalen Systemen oder RHEL-basierten Distributionen verwenden Sie `useradd` mit expliziten Optionen:
“`bash
sudo useradd -m -s /bin/bash username
sudo passwd username
“`
- Sie kennen den privilegierten Gruppennamen Ihrer Distribution (`sudo` auf Debian/Ubuntu, `wheel` auf RHEL/CentOS/AlmaLinux/Fedora).
Wenn Sie eine VPS Hosting-Umgebung verwalten, gelten diese Schritte identisch, ob Sie sich auf einem Bare-Metal-Server oder einer virtuellen Maschine befinden — das Linux-Berechtigungsmodell ist auf OS-Ebene, nicht auf Hypervisor-Ebene.
Schritt 1: Den Benutzer zur sudo- oder wheel-Gruppe hinzufügen
Dies ist die korrekte, empfohlene Methode zur Gewährung von Administratorzugriff auf allen modernen Linux-Distributionen.
Auf Debian, Ubuntu und Derivaten
Die `sudo`-Gruppe ist in `/etc/sudoers` mit einer Regel vorkonfiguriert, die vollen sudo-Zugriff gewährt:
“`bash
sudo usermod -aG sudo username
“`
Das `-aG`-Flag ist entscheidend: `-a` bedeutet anhängen (bestehende Gruppenmitgliedschaften nicht entfernen), und `-G` gibt die ergänzende Gruppe an. Das Weglassen von `-a` ersetzt alle ergänzenden Gruppen durch nur die angegebene — ein häufiger und destruktiver Fehler.
Auf RHEL, CentOS, AlmaLinux, Rocky Linux und Fedora
Verwenden Sie stattdessen die `wheel`-Gruppe:
“`bash
sudo usermod -aG wheel username
“`
Auf älteren CentOS 6-Systemen kann die `wheel`-Gruppenregel in `/etc/sudoers` auskommentiert sein. Überprüfen Sie, ob sie aktiv ist:
“`bash
sudo grep -i wheel /etc/sudoers
“`
Sie sollten eine nicht auskommentierte Zeile wie diese sehen:
“`
%wheel ALL=(ALL) ALL
“`
Falls sie auskommentiert ist, kommentieren Sie sie mit `visudo` ein (behandelt in Schritt 2).
Gruppenmitgliedschaft überprüfen
Gruppenänderungen werden beim nächsten Login wirksam. Um sofort ohne Abmelden zu überprüfen:
“`bash
groups username
“`
Oder `/etc/group` direkt prüfen:
“`bash
grep -E '^sudo:|^wheel:' /etc/group
“`
Um die neue Gruppe auf eine bestehende Sitzung anzuwenden, ohne sich neu anzumelden, kann der Benutzer Folgendes ausführen:
“`bash
newgrp sudo
“`
Beachten Sie, dass `newgrp` eine neue Shell mit dem aktualisierten Gruppenkontext erzeugt — es modifiziert nicht die übergeordnete Sitzung.
Schritt 2: Granulare Berechtigungen über die sudoers-Datei konfigurieren
Für Produktionssysteme ist voller uneingeschränkter sudo-Zugriff oft übermäßig. Die `/etc/sudoers`-Datei ermöglicht es Ihnen, Berechtigungen präzise einzuschränken — nach Befehl, nach Zielbenutzer, nach Host und mit oder ohne Passwortabfragen.
Bearbeiten Sie `/etc/sudoers` immer mit `visudo`. Dieses Tool sperrt die Datei gegen gleichzeitige Bearbeitungen und führt eine Syntaxvalidierung vor dem Speichern durch. Ein Syntaxfehler in `/etc/sudoers` kann jeden Benutzer vom sudo auf dem System aussperren — `visudo` verhindert dies.
“`bash
sudo visudo
“`
Einem bestimmten Benutzer vollen sudo-Zugriff gewähren
Fügen Sie diese Zeile am Ende der Datei hinzu (oder in einer Drop-in-Datei unter `/etc/sudoers.d/`):
“`
username ALL=(ALL:ALL) ALL
“`
Aufschlüsselung der Syntax:
- `username` — das Konto, auf das diese Regel zutrifft.
- Erstes `ALL` — gilt auf allen Hostnamen (relevant für gemeinsam genutzte sudoers-Dateien, die über Konfigurationsmanagement verteilt werden).
- `(ALL:ALL)` — der Benutzer darf Befehle als beliebiger Benutzer (erstes `ALL`) und beliebige Gruppe (zweites `ALL`) ausführen.
- Letztes `ALL` — alle Befehle sind erlaubt.
Zugriff nur auf bestimmte Befehle gewähren (Least Privilege)
Dies ist das Muster, das Sie in der Produktion verwenden sollten. Um beispielsweise einem Benutzer zu erlauben, Nginx neu zu starten und nichts anderes:
“`
username ALL=(ALL) NOPASSWD: /bin/systemctl restart nginx
“`
Oder um die Verwaltung eines bestimmten Dienstes mit Passwortbestätigung zu erlauben:
“`
username ALL=(root) /usr/bin/systemctl restart nginx, /usr/bin/systemctl stop nginx
“`
Fallstrick: Verwenden Sie in sudoers-Regeln immer absolute Pfade. Relative Pfade werden von sudo abgelehnt und schlagen stillschweigend fehl oder verursachen Fehler.
Drop-in-Dateien in /etc/sudoers.d/ verwenden
Anstatt die Haupt-`sudoers`-Datei direkt zu bearbeiten, platzieren Sie benutzerspezifische Regeln in `/etc/sudoers.d/`:
“`bash
sudo visudo -f /etc/sudoers.d/username
“`
Fügen Sie Ihre Regel hinzu, speichern Sie und überprüfen Sie, ob die Datei die richtigen Berechtigungen hat:
“`bash
sudo chmod 440 /etc/sudoers.d/username
“`
Dieser Ansatz lässt sich sauber mit Konfigurationsmanagement-Tools wie Ansible, Puppet und Chef integrieren und macht die Berechtigungsprüfung erheblich einfacher.
NOPASSWD-Zugriff gewähren (mit Vorsicht verwenden)
Für automatisierte Skripte oder Dienstkonten, die privilegierte Befehle ohne interaktive Eingabeaufforderungen ausführen müssen:
“`
deploy ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart myapp
“`
Sicherheitshinweis: `NOPASSWD` beseitigt die Authentifizierungsbarriere. Verwenden Sie es nur für eng begrenzte Befehle auf Konten mit starker SSH-schlüsselbasierter Authentifizierung. Gewähren Sie niemals `NOPASSWD: ALL` auf einem Produktionsserver.
Schritt 3: Die Konfiguration testen
Testen Sie nach Änderungen, bevor Sie Ihre aktuelle privilegierte Sitzung beenden — wenn Sie einen Fehler gemacht haben, haben Sie noch Ihre bestehende Sitzung, um ihn zu korrigieren.
Wechseln Sie zum Zielbenutzer und überprüfen Sie:
“`bash
su – username
sudo whoami
“`
Erwartete Ausgabe: `root`
Um alle Befehle aufzulisten, die der Benutzer ausführen darf:
“`bash
sudo -l -U username
“`
Dies ist ein wesentlicher Diagnosebefehl. Er zeigt die effektive sudoers-Richtlinie für jeden Benutzer, ohne dass Sie sich als dieser anmelden müssen.
Schritt 4: Einen Benutzer zur Root-Gruppe hinzufügen (ausdrückliche Warnung)
Wenn eine bestimmte Legacy-Anwendung oder Dateiberechtigungsanforderung tatsächlich eine `root`-Gruppenmitgliedschaft erfordert — und Sie Alternativen wie ACLs und Capability-Sets ausgeschöpft haben — lautet der Befehl:
“`bash
sudo usermod -aG root username
“`
Was dies tatsächlich bewirkt: Der Benutzer erhält Zugriff auf Dateien, bei denen die `root`-Gruppe Lese- oder Schreibberechtigungen hat. Bei einer Standard-Linux-Installation umfasst dies Dateien in `/etc/`, `/root/` und möglicherweise `/var/`, abhängig von distributionsspezifischen Paketierungsentscheidungen.
Was dies nicht bewirkt: Es gewährt nicht die Möglichkeit, Befehle als Root auszuführen. Es aktiviert nicht `sudo`. Es ändert nicht die UID des Benutzers.
Empfohlene Alternative: Verwenden Sie POSIX-ACLs, um Zugriff auf eine bestimmte Datei zu gewähren, anstatt einen Benutzer zur `root`-Gruppe hinzuzufügen:
“`bash
sudo setfacl -m u:username:r /etc/specific-config-file
“`
Dies gewährt Lesezugriff auf genau eine Datei ohne jegliche Exposition auf Gruppenebene.
Schritt 5: Berechtigungen widerrufen
Der Widerruf von Berechtigungen muss sofort und überprüfbar sein. Verlassen Sie sich nicht darauf, dass der Benutzer sich abmeldet — entfernen Sie die Gruppenmitgliedschaft und überprüfen Sie dies.
Aus der sudo-Gruppe entfernen (Debian/Ubuntu)
“`bash
sudo deluser username sudo
“`
Oder mit der portablen `gpasswd`-Methode (funktioniert auf allen Distributionen):
“`bash
sudo gpasswd -d username sudo
“`
Aus der wheel-Gruppe entfernen (RHEL-basiert)
“`bash
sudo gpasswd -d username wheel
“`
Eine sudoers.d-Drop-in-Datei entfernen
“`bash
sudo rm /etc/sudoers.d/username
“`
Widerruf sofort überprüfen
“`bash
sudo -l -U username
“`
Die Ausgabe sollte keine übereinstimmenden Einträge anzeigen oder ausdrücklich angeben, dass der Benutzer sudo nicht ausführen darf.
Sonderfall: Wenn der Benutzer eine aktive Sitzung hat, wirken sich Gruppenänderungen erst auf diese Sitzung aus, wenn er sich ab- und wieder anmeldet. Um sofortige Wirkung zu erzwingen, beenden Sie seine aktiven Sitzungen:
“`bash
sudo pkill -u username
“`
Auf Systemen mit Dedicated Servers mit mehreren gleichzeitigen Administratoren ist dieser Schritt unerlässlich, wenn der Zugriff für ein ausscheidendes Teammitglied widerrufen wird.
Schritt 6: sudo-Nutzung prüfen
Jeder `sudo`-Aufruf wird protokolliert. Auf systemd-basierten Systemen:
“`bash
sudo journalctl -u sudo
“`
Oder über traditionelles syslog:
“`bash
sudo grep sudo /var/log/auth.log # Debian/Ubuntu
sudo grep sudo /var/log/secure # RHEL/CentOS
“`
Ein typischer Protokolleintrag sieht so aus:
“`
Jan 15 14:32:01 hostname sudo: username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/bin/systemctl restart nginx
“`
Dies zeichnet den ursprünglichen Benutzer, das Terminal, das Arbeitsverzeichnis, den Zielbenutzer und den genauen Befehl auf. Dieser Audit-Trail ist für die Reaktion auf Vorfälle und Compliance-Anforderungen von unschätzbarem Wert.
Für erweiterte Prüfung sollten Sie die `sudo`-Protokollierung in eine dedizierte Protokolldatei aktivieren, indem Sie zu `/etc/sudoers` hinzufügen:
“`
Defaults logfile="/var/log/sudo.log"
Defaults log_input, log_output
“`
`log_input` und `log_output` zeichnen die vollständige Ein-/Ausgabe jeder sudo-Sitzung auf — besonders nützlich bei der Untersuchung, was ein privilegierter Benutzer während einer Sitzung tatsächlich getan hat.
Sicherheitshärtung: Über die grundlegende sudo-Konfiguration hinaus
Administratoren, die VPS mit cPanel oder benutzerdefinierte Linux-Stacks verwalten, sollten diese zusätzlichen Kontrollen anwenden:
sudo auf bestimmte TTYs beschränken:
“`
Defaults requiretty
“`
Dies verhindert, dass sudo von nicht-interaktiven Skripten oder Cron-Jobs aufgerufen wird, sofern nicht ausdrücklich erlaubt.
sudo-Sitzungs-Timeout festlegen:
“`
Defaults timestamp_timeout=5
“`
Dies setzt den Anmeldeinformations-Cache auf 5 Minuten. Wenn es auf `0` gesetzt wird, ist für jeden einzelnen sudo-Aufruf ein Passwort erforderlich.
sudo auf bestimmte Quell-IPs beschränken (für Mehrbenutzer-Server):
“`
username 192.168.1.0/24=(ALL) ALL
“`
`sudo` mit Umgebungsbereinigung verwenden:
Standardmäßig setzt sudo die Umgebung auf einen sicheren Zustand zurück. Überprüfen Sie, ob `env_reset` in Ihrer sudoers-Datei aktiv ist:
“`
Defaults env_reset
“`
Root-SSH-Login deaktivieren: Sobald sudo konfiguriert ist, deaktivieren Sie den direkten Root-Login über SSH in `/etc/ssh/sshd_config`:
“`
PermitRootLogin no
“`
Dies erzwingt, dass alle administrativen Aktionen über überprüfbare sudo-Sitzungen statt über anonyme Root-Logins erfolgen. Dies ist eine Grundvoraussetzung für jeden Server, der dem Internet ausgesetzt ist, einschließlich solcher, die Shared Web Hosting-Stacks oder Mehrmieter-Umgebungen betreiben.
Berechtigungsverwaltung über Distributionen hinweg: Kurzübersicht
| Distribution | Privilegierte Gruppe | Standard-sudoers-Regel aktiv | Paket für sudo |
|---|
| — | — | — | — |
|---|
| Ubuntu 20.04+ | `sudo` | Ja | `sudo` (vorinstalliert) |
|---|
| Debian 11+ | `sudo` | Ja | `sudo` (manuell installieren) |
|---|
| CentOS 7/8 | `wheel` | Ja | `sudo` (vorinstalliert) |
|---|
| AlmaLinux 8/9 | `wheel` | Ja | `sudo` (vorinstalliert) |
|---|
| Rocky Linux 8/9 | `wheel` | Ja | `sudo` (vorinstalliert) |
|---|
| Fedora 38+ | `wheel` | Ja | `sudo` (vorinstalliert) |
|---|
| Arch Linux | `wheel` | Nein (muss auskommentiert werden) | `sudo` (manuell installieren) |
|---|
| openSUSE | `wheel` | Ja | `sudo` (vorinstalliert) |
|---|
Auf Arch Linux müssen Sie nach der Installation von `sudo` die `%wheel`-Zeile in `/etc/sudoers` über `visudo` explizit auskommentieren, bevor die Gruppenmitgliedschaft Wirkung hat.
Praktische Entscheidungsmatrix: Welche Methode verwenden
| Szenario | Empfohlener Ansatz |
|---|
| — | — |
|---|
| Entwickler benötigt vollen Admin-Zugriff auf einem Dev-VPS | Zur `sudo`/`wheel`-Gruppe hinzufügen |
|---|
| Dienstkonto muss einen Daemon neu starten | `sudoers`-Eintrag mit `NOPASSWD` auf diesen Befehl beschränkt |
|---|
| Temporärer Admin-Zugriff für einen Auftragnehmer | `sudoers.d`-Drop-in-Datei (einfach zu entfernen) |
|---|
| Legacy-App erfordert Root-Gruppen-Dateizugriff | POSIX-ACL auf bestimmten Dateien (`setfacl`) |
|---|
| CI/CD-Pipeline benötigt privilegierte Deployment-Befehle | Dediziertes Dienstkonto mit begrenzten `NOPASSWD`-Regeln |
|---|
| Shared-Hosting-Umgebung mit mehreren Benutzern | Kein sudo gewähren; rollenbasierten Zugriff über Control Panel verwenden |
|---|
| Compliance-Umgebung mit vollständigem Audit-Trail erforderlich | sudo mit aktiviertem `log_input`/`log_output` |
|---|
Wichtige Checkliste
Bevor Sie die Berechtigungseskalation auf einem Linux-System als abgeschlossen betrachten, überprüfen Sie Folgendes:
- [ ] Benutzer wird zu `sudo` (Debian/Ubuntu) oder `wheel` (RHEL-basiert) hinzugefügt — nicht direkt zur `root`-Gruppe.
- [ ] `visudo` wurde für alle `/etc/sudoers`-Bearbeitungen verwendet — niemals ein einfacher Texteditor.
- [ ] Der Berechtigungsumfang ist so eng wie möglich — spezifische Befehle statt `ALL` wo möglich.
- [ ] `sudo -l -U username` bestätigt genau die beabsichtigten Berechtigungen und nichts mehr.
- [ ] `PermitRootLogin no` ist in `/etc/sshd_config` auf internetfähigen Servern gesetzt.
- [ ] sudo-Audit-Protokollierung ist aktiv und Protokolldateien werden überwacht oder an ein SIEM weitergeleitet.
- [ ] Ein Widerrufsverfahren ist dokumentiert und getestet — einschließlich des Beendens aktiver Sitzungen mit `pkill -u`.
- [ ] Drop-in-Dateien in `/etc/sudoers.d/` haben `440`-Berechtigungen — weltweit lesbare sudoers-Dateien werden von sudo abgelehnt.
- [ ] `timestamp_timeout` ist auf einen Wert gesetzt, der Ihrer Sicherheitsrichtlinie entspricht.
- [ ] Berechtigungsvergaben werden nach einem definierten Zeitplan überprüft (monatlich oder pro Zugriffsüberprüfungszyklus).
Für Teams, die mehrere Server verwalten — ob auf VPS Control Panels oder Bare Metal — gewährleistet die Zentralisierung dieser Konfiguration durch Ansible oder ähnliche Tools Konsistenz und eliminiert manuelle Abweichungen.
Häufig gestellte Fragen
Was ist der Unterschied zwischen dem Hinzufügen eines Benutzers zur Root-Gruppe und dem Gewähren von sudo-Zugriff?
Das Hinzufügen eines Benutzers zur `root`-Gruppe (GID 0) gewährt Zugriff auf Dateien, die dieser Gruppe gehören — es erlaubt nicht die Ausführung von Befehlen als Root. Das Gewähren von sudo-Zugriff (über die `sudo`- oder `wheel`-Gruppe oder einen sudoers-Eintrag) erlaubt dem Benutzer, Befehle mit UID 0-Berechtigungen auszuführen, vorbehaltlich Richtlinien und Passwortauthentifizierung.
Warum sollte ich `visudo` verwenden, anstatt `/etc/sudoers` direkt mit nano oder vim zu bearbeiten?
`visudo` sperrt die Datei, um gleichzeitige Bearbeitungen zu verhindern, und führt eine Syntaxvalidierung vor dem Speichern durch. Ein direkt in `/etc/sudoers` gespeicherter Syntaxfehler kann sudo für alle Benutzer vollständig funktionsunfähig machen und Sie möglicherweise vollständig vom administrativen Zugriff auf das System aussperren.
Wie gewähre ich sudo-Zugriff ohne Passwortabfrage für einen bestimmten Befehl?
Fügen Sie eine `NOPASSWD`-Regel hinzu, die auf den genauen Befehl in `/etc/sudoers` oder einer Drop-in-Datei beschränkt ist: `username ALL=(ALL) NOPASSWD: /path/to/command`. Verwenden Sie immer den absoluten Pfad und beschränken Sie dies auf die minimal erforderlichen Befehle.
Werden Gruppenänderungen sofort für angemeldete Benutzer wirksam?
Nein. Die ergänzenden Gruppen eines Benutzers werden zum Anmeldezeitpunkt ausgewertet. Ein bereits angemeldeter Benutzer erhält oder verliert gruppenbasierten sudo-Zugriff erst, wenn er eine neue Sitzung startet. Um sofortigen Widerruf zu erzwingen, beenden Sie seine aktiven Sitzungen mit `sudo pkill -u username`.
Wie kann ich überprüfen, welche sudo-Berechtigungen ein Benutzer aktuell hat, ohne mich als dieser anzumelden?
Führen Sie `sudo -l -U username` als Root oder ein anderer sudo-Benutzer aus. Dieser Befehl zeigt die vollständige effektive sudoers-Richtlinie für den angegebenen Benutzer an, einschließlich aller erlaubten Befehle, NOPASSWD-Flags und anwendbarer Standardeinstellungen.