CUPS und lpadmin

[malzeit]

Moin moin,

habe mir gestern mal eben in 30min mein SID neu installiert (Spaghettimonster schütze meine Homepartition) (irgendwie zerschossen über die letzten 3 Jahre... sollte definitiv mal lernen dass man Try&error in einer virtuellen Maschine macht) und stolpere jedesmal darüber, dass ich meinen Netzwerdrucker erst über localhost:631 einrichten kann, wenn ich mich als User der Gruppe "lpadmin" hinzufüge.

Mal eine (vielleicht) unsinnige Frage: warum wird der (root-)nutzer nicht automatisch der Gruppe hinzugefügt? Ich muss ja eh vorher alles freigeben via sudo bevor ich was kaputtmachen kann


Gruß

[Apfelmann]

Cups wird immer über http://localhost:631/ eingerichtet,
dazu muss ein Passwort eingegeben werden, mit dem root-pw ist cups zufriedengestellt, eine Benutzung via sudo ist nicht vorgesehen, nur bei einigen Gui's. Hier gibt es einge Beiträge dazu - siehe Suche im Forum.
Wenn die Drucker falsch eingerichtet werden, kann das System angegriffen werden - siehe - shodan oder auch saurons auge

Die Einrichtung von Linux-Systemen hängt immer von der vorgesehenen Sicherheitsstufe ab.
Normal ist eine hohe Sicherheit = oder auch Paranoide Sicherheitsstufe, nur das Nötigste ist erlaubt,
Unnormal und Fahrlässig ist, wenn alles erlaubt ist
root muss nicht in einer gruppe "lpadmin" sein, damit gedruckt werden kann, bei der Einrichtung von cups wird geregelt, wie und von wem der Drucker bedient werden darf.

LG

[malzeit]

Hallo Apfelmann,

ich kann Cups einrichten, wenn ich http://localhost:631 aufrufe, mich dann dort bei "Administration, Add printer" anmelde.
Problem ist nur, dass ich ein "unable to add printer - forbidden" erhalte nach der Anmeldung solange ich den User nicht in die lpadmin-Gruppe stecke.

Da ich aber cups nur installieren kann, wenn ich root-Rechte besitze finde ich es relativ unsinnig, dass ich den User per Hand in die lpadmin-Gruppe stecken muss, das könnte mMn auch automatisch bei der Installation erfolgen...
und das war meine Frage:

wieso muss ich dem Nutzer noch per Hand die lpadmin-Gruppe zuweisen? Hat das einen Sinn (den ich zur Zeit nicht erkennen vermag)?

BTW.. die buntis sind da schon weiter (oder ist es eine Sicherheitslücke?) und geben dem Nutzer automatisch die lpadmin-Gruppe
(https://wiki.ubuntuusers.de/Benutzer_und_Gruppen/)

Gruß

[OppaErich]

Hallo,

musst Du ja gar nicht. Wenn CUPS fragt, gebe ich als user root mit dem dazugehörigen Passwort ein und kann einrichten. lpadm existiert damit ein root das Administrieren der Drucker "outsourcen" kann. Das Paketsystem kann ja nicht riechen dass es da an einem Einzelplatzrechner werkelt bei dem der User gleichzeitig root ist.

[malzeit]

Und wenn ich kein root bin sondern nur normaler User mit sudo Berechtigung?

[KP97]

Cups kennt kein sudo und braucht auch keins, Debian braucht übrigens auch keins.

[KBDCALLS]

Dazu müßte man in der cupsd.conf ändern . Die ist so eingerichtet , das nur Root Drücker einrichten, löschen und ändern darf. Cups ließe sich aber auch der Kommandozeile einrichten. lpadmin cupsaccept, cupsenable, lpinfo, lpoptions . gibts aber mehr was dazugehört.

[malzeit]

Hallo Zusammen,

vielleicht habe ich mich zu umständlich/falsch ausgedrückt. Ich schreibe es mal chronologisch auf:

1.) debian neu installiert
2.) sudo apt-get install cups
3.) sudo cupsctl --remote-admin
4.) Browser starten, http://127.0.0.1:631
5.) auf Administration klicken
6.) Benutzername und Passwort (ich gebe da meinen Usernamen, sagen wir mal Puepselchen, und mein Passwort, sagen wir mal SupaGehhaim, ein)
7.) folgende Meldung erscheint nach dem Absenden, ausgegeben von der CUPS-Weboberfläche: "unable to add printer - forbidden"
8.) shell öffnen, sudo usermod -aG lpadmin Puepselchen
9.) sudo service cups restart
10.) Browser starten, http://127.0.0.1:631
11.) auf Administration klicken
12.) enutzername und Passwort
13.) erkannten Netzwerkdrucker auwählen, einrichten, fertig.

Meine Frage: welchen Sinn hat Schritt 8.?

Gruß

[DeletedUserReAsG]

Es fügt den Benutzer der Gruppe zu, die Drucker administrieren darf.

[malzeit]

Es fügt den Benutzer der Gruppe zu, die Drucker administrieren darf.

Das ist die Funktion, nicht der Sinn ...

Ich vermag halt den Sinn nicht zu erkennen... eine Sicherheitsfunktion hat es meiner Meinung nach nicht, denn alle User, die in der sudo-Gruppe sind können meiner Meinung nach auch direkt in die lpadmin-Gruppe gesteckt werden... würde bestimmt bei einer Vielzahl von Debian-Neulingen den Frustfaktor beim Drucker einrichten enorm verringern.

Gruß

[KP97]

... denn alle User, die in der sudo-Gruppe sind ....

Bei Debian ist sudo eben kein Standard wie z.B. bei Ubuntu, das sollte man schön auseinander halten.
Es gehört nun mal zum Sicherheitskonzept von Linux, daß nur root Systemdateien verändern bzw. hinzufügen darf.
Nichts anderes ist ein Drucker.

[DeletedUserReAsG]

Ich vermag halt den Sinn nicht zu erkennen...

Der Sinn ist halt, dass nur berechtigte Leute neben Root an der Druckerconfig rumschrauben dürfen. Dass es Neulinge frustriert, kann ich mir nicht vorstellen. Dass administrative Aufgaben als Root erledigt werden, steht in jedem Grundlagentutorial und in die Verlegenheit, neben Root bestimmten anderen Usern auf ‘nem System die Administration der Drucker zu ermöglichen, sollte ein Neuling nicht so schnell kommen.