Was tun, wenn das BIOS passwortgeschützt ist?

Ohne BIOS-Passwort und ohne Live-USB-Möglichkeit hilft nur das Zurücksetzen des CMOS oder der Service-Modus des Herstellers.

Ubuntu: User hat keine sudo-Rechte mehr - so bekommst du sie zurück

Q: Funktioniert das auch unter Debian und Linux Mint?

Ja, ab Debian 7 / Mint 13 mit der Gruppe sudo. Bei älteren Versionen hieß die Gruppe noch admin.

Q: Was bedeutet 'This incident will be reported'?

Ein Eintrag im Auth-Log /var/log/auth.log. Bei einem Privat-PC passiert sonst nichts. Auf Schul- oder Firmen-Rechnern könnte der Vorfall per SIEM oder Log-Forwarding beim Admin landen.

Du loggst dich wie immer in dein Ubuntu-System ein, willst per sudo apt update die Paketlisten aktualisieren - und stattdessen begrüßt dich eine harsche Meldung: "user is not in the sudoers file. This incident will be reported." Oder im Terminal-Output schlicht "daniel ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet."

Der Schreck sitzt erstmal tief, aber: keine Panik und vor allem keine Neuinstallation. Das Problem ist mit wenigen Befehlen reparabel - du brauchst weder root-Passwort noch ein Backup. Diese Anleitung führt dich Schritt für Schritt durch die Reparatur unter Ubuntu 24.04 LTS sowie allen älteren Versionen und Derivaten wie Kubuntu, Xubuntu, Lubuntu, Linux Mint und Debian.

Kurzfassung: Im GRUB-Boot-Menü den Recovery-Mode wählen, "root - Drop to root shell prompt" auswählen, Dateisystem mit mount -o remount,rw / beschreibbar einhängen, dann usermod -aG sudo DEIN_USER ausführen und neu starten. Der Parameter -a (append) ist zwingend - ohne ihn wirst du aus allen anderen Gruppen geworfen.

Wie kommt es überhaupt zum Verlust der sudo-Rechte?

Die häufigste Ursache ist nicht ein mysteriöser Bug, sondern ein eigener Fehler beim Hinzufügen zu einer anderen Gruppe. Wer schnell mal seinen Nutzer einer FTP- oder Docker-Gruppe hinzufügen will und dabei usermod -G ftp daniel tippt (ohne das -a), bekommt zur Strafe: der Nutzer ist jetzt nur noch in der ftp-Gruppe, alles andere ist weg, inklusive der sudo-Mitgliedschaft.

Weitere typische Auslöser:

Manuelles Editieren der /etc/group oder /etc/sudoers mit einem Tippfehler, der die Syntax bricht.
Probleme nach einem Distri-Upgrade bei dem die Gruppe admin (vor Ubuntu 12.04) durch sudo ersetzt wurde - und der User in der alten Gruppe stehen geblieben ist.
Schadhaftes Installations-Skript oder ein Restore aus einem Backup, in dem die Gruppen-Mitgliedschaften fehlerhaft sind.
VirtualBox-Gasterweiterungen oder andere Pakete, die im post-install den eigenen User in Gruppen umsortieren.

Wichtig zu wissen: Seit Ubuntu 12.04 ist die Gruppe, die sudo-Rechte vergibt, schlicht sudo. Vorher hieß sie admin. Wer also alte Anleitungen befolgt, fügt seinen User möglicherweise in eine Gruppe ohne tatsächliche Berechtigung ein.

Anleitung: sudo-Rechte über den Recovery-Mode wiederherstellen

Schritt 1: Recovery-Mode starten

Das System neu starten. Beim Booten - direkt nachdem das BIOS/UEFI durchgelaufen ist - die linke Shift-Taste gedrückt halten (auf manchen Systemen tut es auch Esc), bis das GRUB-Bootloader-Menü erscheint. Wenn du nur ein Betriebssystem installiert hast, ist GRUB normalerweise versteckt; mit Shift erzwingst du die Anzeige.

Im GRUB-Menü mit den Pfeiltasten den Eintrag "Advanced options for Ubuntu" (bzw. "Erweiterte Optionen für Ubuntu") auswählen, mit Enter bestätigen. Im Untermenü erscheint dann eine Zeile wie:

Ubuntu, with Linux 6.8.0-50-generic (recovery mode)

Diese auswählen und mit Enter starten. Ubuntu bootet jetzt in einen abgespeckten Modus und zeigt nach kurzer Zeit das Recovery-Menü mit mehreren Optionen (Clean, fsck, network, root etc.).

Schritt 2: In die root-Shell wechseln

Im Recovery-Menü den Eintrag "root - Drop to root shell prompt" auswählen. Bei manchen Versionen wird hier noch das root-Passwort verlangt - das ist bei Standard-Ubuntu-Installationen aber nicht gesetzt, ein einfaches Enter genügt. Du landest in einer Konsole mit dem Prompt:

root@hostname:~#

Glückwunsch - du bist jetzt root, ohne sudo zu brauchen. Allerdings: das Dateisystem ist in dieser Phase nur lesend (read-only) eingehängt. Versuche, jetzt usermod auszuführen, scheitern mit Meldungen wie "/etc/group: Couldn't lock file" oder "group file busy".

Schritt 3: Dateisystem beschreibbar einhängen

Mit einem einzigen Befehl wird das Wurzel-Dateisystem im read-write-Modus neu gemountet:

mount -o remount,rw /

Ab jetzt sind Änderungen am System möglich. Falls du mehrere Partitionen hast (z.B. /home oder /var auf eigenen Geräten), und du an Dateien dort musst, hängst du diese ebenfalls remount-rw ein. Für unseren Fall (nur /etc/group ändern) reicht das Wurzel-Dateisystem.

Schritt 4: Benutzer der sudo-Gruppe hinzufügen

Jetzt der eigentliche Reparatur-Befehl. Ersetze daniel durch deinen tatsächlichen Benutzernamen:

usermod -aG sudo daniel

Das -a ist absolut kritisch. Es steht für "append" und bedeutet: nur zusätzlich zur sudo-Gruppe hinzufügen, andere Gruppen-Mitgliedschaften bleiben unverändert. Ohne das -a wirst du aus allen anderen Gruppen entfernt - genau das war wahrscheinlich der Auslöser für dein aktuelles Problem.

Mit -G sudo gibst du die Ziel-Gruppe an. Es können auch mehrere Gruppen kommagetrennt sein (z.B. -aG sudo,docker).

Prüfen, ob das Hinzufügen funktioniert hat:

id daniel

In der Ausgabe sollte jetzt unter den Gruppen sudo auftauchen. Beispiel:

uid=1000(daniel) gid=1000(daniel) groups=1000(daniel),4(adm),24(cdrom),27(sudo),30(dip)

Schritt 5: Neu starten und testen

System sauber herunterfahren und neu starten:

shutdown -r now

Nach dem Reboot wie gewohnt einloggen. Im Terminal einen typischen root-Befehl ausführen:

sudo apt update

Wenn die Passwort-Abfrage erscheint und nach korrekter Eingabe die Paketlisten geladen werden, ist das Problem behoben. Falls du nur kurz testen willst, ohne ein Repository neu zu laden, geht auch:

sudo whoami

Antwort sollte root sein.

Alternative ohne Reboot: ab- und wieder anmelden

Wenn du das Problem in einer aktiven Session reparierst (z.B. weil du noch eine andere Konsole mit sudo offen hast), reicht nach dem usermod -aG sudo ein Logout und erneuter Login. Gruppen-Mitgliedschaften werden nämlich beim Login geladen, ein Reboot ist nicht zwingend. Bei Reparatur über den Recovery-Mode kommst du allerdings ohnehin nicht um den Reboot herum.

Wenn der Recovery-Mode nicht zur Verfügung steht

In manchen Umgebungen (Cloud-VMs, Container, gesperrte Bootloader) ist der Recovery-Mode nicht erreichbar. Dann gibt es zwei Wege:

Option A: Live-USB mit Ubuntu booten

Einen Ubuntu-Live-USB-Stick erstellen (mit Rufus, Etcher oder dd), davon booten, "Ubuntu ausprobieren" wählen. Dann die installierte Partition manuell mounten:

sudo mount /dev/sda2 /mnt
sudo chroot /mnt
usermod -aG sudo daniel
exit
sudo umount /mnt
sudo reboot

Die Partition (/dev/sda2 oder ähnlich) musst du an dein System anpassen - mit lsblk findest du die richtige.

Option B: GRUB-Edit (init=/bin/bash)

Im GRUB-Menü den Standard-Eintrag markieren und e drücken. In der Zeile mit linux ... ro quiet splash hinter den Kernel-Parametern init=/bin/bash einfügen und mit F10 booten. Du landest direkt in einer root-Shell ohne sudo-Schutz. Auch hier zuerst mount -o remount,rw /, dann usermod -aG sudo USER, anschließend sync und reboot per reboot -f.

Vorsicht: dieser Weg ist ein typisches Sicherheits-Loophole. Wer physischen Zugriff auf einen Linux-Rechner hat, kommt mit dieser Methode meistens an root, sofern kein BIOS-Passwort und kein verschlüsseltes Dateisystem (LUKS) im Weg sind.

sudoers-Datei manuell prüfen

Manchmal hilft kein Gruppen-Trick, weil die /etc/sudoers selbst beschädigt ist (z.B. nach einem Tippfehler beim direkten Editieren). Im Recovery-Modus kannst du sie mit dem speziellen Editor visudo öffnen, der Syntax-Fehler beim Speichern abfängt:

visudo

Die wichtige Zeile sollte sein:

%sudo   ALL=(ALL:ALL) ALL

Sie sagt: alle Mitglieder der Gruppe sudo dürfen mit sudo alle Befehle als alle User auf allen Hosts ausführen. Fehlt diese Zeile oder ist sie auskommentiert, hilft auch ein usermod nichts.

Verlasse visudo mit Ctrl+X (bei nano) oder ZZ (bei vi). Beim Speichern prüft visudo die Syntax und warnt bei Fehlern, bevor die Datei überschrieben wird - das schützt dich davor, das System erneut zu sperren.

Häufige Stolperfallen

Read-only auch nach remount

Bei Btrfs-Subvolumes oder bestimmten LVM-Setups kann der remount fehlschlagen oder das Subvolume bleibt nur lesend. Workaround: per Live-USB booten (siehe Option A oben).

Verschlüsseltes Home oder LUKS

Bei LUKS-verschlüsselten System-Partitionen müsst du vor dem mount-Befehl entschlüsseln: cryptsetup luksOpen /dev/sda3 cryptroot, dann mount /dev/mapper/cryptroot /mnt. Bei verschlüsseltem Home-Verzeichnis (ecryptfs) ist die Gruppen-Reparatur unkritisch - /etc/group liegt auf der unverschlüsselten root-Partition.

"Permission denied" trotz sudo-Mitgliedschaft

Wenn nach usermod und Neustart immer noch "permission denied" kommt, prüfe die /etc/sudoers mit visudo (siehe Abschnitt darüber). Manchmal hat ein anderer Admin oder ein Setup-Skript die Zeile %sudo entfernt oder kommentiert.

Nutzername mit Sonderzeichen

Hat dein User Sonderzeichen oder Bindestriche im Namen, setze ihn beim usermod-Aufruf in Anführungszeichen: usermod -aG sudo "vorname.nachname".

Wie verhinderst du den nächsten Vorfall?

Drei einfache Regeln, die dir das Problem ersparen:

Beim usermod IMMER -aG verwenden, nie -G allein. Mache dir einen Shell-Alias, wenn du oft Gruppen änderst.
Vor Änderungen an /etc/group oder /etc/sudoers immer ein Backup anlegen: cp /etc/sudoers /etc/sudoers.bak.
Zweiten Admin-Account anlegen - so kommst du im Notfall auch ohne Recovery-Mode wieder an sudo: sudo adduser admin2 sudo.

Häufige Fragen

Verliere ich Daten durch den Recovery-Mode?

Nein. Der Recovery-Mode startet das System nur in einem abgespeckten Zustand und gibt dir root-Zugriff. Solange du keine destruktiven Befehle wie rm -rf / ausführst, bleibt alles unverändert.

Funktioniert das auch unter Debian und Linux Mint?

Ja, ab Debian 7 / Mint 13 mit der Gruppe sudo. Bei älteren Versionen (Debian 6 oder Mint vor 13) hieß die Gruppe noch admin.

Warum nicht einfach root direkt nutzen?

Bei Standard-Ubuntu-Installationen ist das root-Konto gesperrt (kein Passwort). Du könntest es entsperren, aber dann hast du dauerhaft einen root-Login - das ist aus Sicherheitsgründen genau das, was Ubuntu mit dem sudo-Konzept vermeidet.

Was tun, wenn das BIOS/UEFI passwortgeschützt ist?

Wenn du die Bootreihenfolge nicht ändern kannst und der Recovery-Mode nicht zugreifbar ist, brauchst du das BIOS-Passwort. Ohne dieses und ohne Live-USB-Möglichkeit gibt es keinen einfachen Weg - dann hilft nur das Zurücksetzen des CMOS (Mainboard-Batterie entfernen) oder der Service-Modus des Herstellers.

Was bedeutet "This incident will be reported"?

Die Meldung klingt dramatisch, ist aber nur ein Eintrag im Auth-Log (/var/log/auth.log). Bei einem Privat-PC ohne zentrales Logging passiert sonst nichts. Auf Schul- oder Firmen-Rechnern könnte der Vorfall allerdings per SIEM oder Log-Forwarding tatsächlich beim Admin landen.

Hilft auch `su - root`?

Nur, wenn das root-Konto entsperrt ist und du dessen Passwort kennst. Bei Standard-Ubuntu ist beides nicht der Fall - daher der Umweg über Recovery-Mode.

Fazit

Verlorene sudo-Rechte sehen nach Katastrophe aus, sind aber in 5 Minuten reparabel: Recovery-Mode booten, root-Shell starten, Dateisystem rw mounten, Benutzer per usermod -aG sudo wieder hinzufügen, neu starten. Den Parameter -a nie vergessen - der hat dich wahrscheinlich überhaupt erst in die Situation gebracht. Wer regelmäßig an Gruppen-Mitgliedschaften schraubt, sollte einen zweiten Admin-Account als Notfall-Schlüssel haben.

Quellen

Ubuntu Community: RootSudo - offizielle Dokumentation zum sudo-Konzept
ubuntuusers.de: sudo - deutschsprachiges Wiki mit Beispielen und visudo-Hinweisen
manpages.ubuntu.com: usermod(8) - Manpage mit allen Parametern