Wayland kein Start von root GUI
Wayland kein Start von root GUI
Hallo,
ist das normal, dass unter Wayland kein Programm als root startet?
Es kommt zwar die Passwort Abfrage, aber Synaptic z.B. startet nicht!?
ist das normal, dass unter Wayland kein Programm als root startet?
Es kommt zwar die Passwort Abfrage, aber Synaptic z.B. startet nicht!?
Re: Wayland kein Start von root GUI
Ja.barand3 hat geschrieben:30.05.2018 08:26:18ist das normal, dass unter Wayland kein Programm als root startet?
Ich zitiere mal aus https://kofler.info/fedora-26-und-wayland/:
https://kofler.info/fedora-26-und-wayland/ hat geschrieben:Unter Wayland können Sie nicht einfach ein grafisches Programm mit root-Rechten ausführen (z.B. aus einem Terminal heraus, in dem Sie vorher sudo ausgeführt haben). [...] Die Lösung zu diesem Problem soll so aussehen, dass grafische Programme, die root-Rechte benötigen, in zwei Teile getrennt werden: In die Oberfläche, die mit gewöhnlichen Rechten läuft, und in operative Module, die sich via PolicyKit root-Rechte erwerben. Teile der Gnome-Systemeinstellungen funktionieren so (z.B. die Benutzerverwaltung und Software).
Re: Wayland kein Start von root GUI
Danke,
Naja, vielleicht wird das ja noch geändert.
Da hat doch Synaptic ein Policykit und deshalb dachte ich, müsste das doch laufen!?https://kofler.info/fedora-26-und-wayland/ hat geschrieben:
und in operative Module, die sich via PolicyKit root-Rechte erwerben
Naja, vielleicht wird das ja noch geändert.
Re: Wayland kein Start von root GUI
Nein, die Idee ist, daß sich die operativen Module root-Rechte besorgen und nicht einfach die komplette Anwendung. (Synaptic versucht aber letzteres.) Insbesondere GUI-Code soll nicht mit root-Rechten laufen, deswegen verhindert dies Wayland per default.barand3 hat geschrieben:30.05.2018 08:59:25Da hat doch Synaptic ein Policykit und deshalb dachte ich, müsste das doch laufen!?
Du kannst schauen, ob der gleiche Workaround wie bei GParted greift: http://gparted-forum.surf4.info/viewtopic.php?id=17446
Der aktuelle Status ist hier zu finden: https://github.com/mvo5/synaptic/issues/15Naja, vielleicht wird das ja noch geändert.
Re: Wayland kein Start von root GUI
Danke Dir
Dann ist Wayland ja, nach meinem Verständnis, ein reines Anwender System ohne das man operativ am System arbeitet.
Oder man muss alles via Konsole erledigen (nicht sehr komfortabel).
Dann ist Wayland ja, nach meinem Verständnis, ein reines Anwender System ohne das man operativ am System arbeitet.
Oder man muss alles via Konsole erledigen (nicht sehr komfortabel).
Re: Wayland kein Start von root GUI
Du kannst synaptic aus der Konsole heraus als root starten(zumindest in Siduction)
Meine Meinung dazu ist, dass - solange das nicht befriedigend gelöst wird - Wayland über den Probier -Status noch nicht heraus ist.
Oder mal ganz krass:
Wenn mir durch irgendwelche Paranoiden Vorstellungen die Möglichkeit genommen wird, Tools wie Synaptic zu nutzen, ich keinen
Dateimanager mit Root Rechten öffnen kann und um einen Datei zu editieren ich erst mal in der Konsole rumhacken muss, dann bleibt nicht mehr
viel, was mich bisher an Linux begeistert hat.
Und wenn ich dann auch noch gezwungen werden sollte diese verrückten Programme wie Gnome Software
zu nutzen (gehen wir einkaufen ) bleibt noch weniger zum Unterschied zu MS.Windows.
Und bitte jetzt nicht mit dem Vorschlag kommen : Kannst mc benutzen
Weiss ich auch -- wusste aber bisher nicht, daß jetzt wieder das Jahr 2000 hipp ist.
Zum Glück gibt es ja (noch ) ein paar Oberflächen, die noch normal zu bedienen sind.
Meine Meinung dazu ist, dass - solange das nicht befriedigend gelöst wird - Wayland über den Probier -Status noch nicht heraus ist.
Oder mal ganz krass:
Wenn mir durch irgendwelche Paranoiden Vorstellungen die Möglichkeit genommen wird, Tools wie Synaptic zu nutzen, ich keinen
Dateimanager mit Root Rechten öffnen kann und um einen Datei zu editieren ich erst mal in der Konsole rumhacken muss, dann bleibt nicht mehr
viel, was mich bisher an Linux begeistert hat.
Und wenn ich dann auch noch gezwungen werden sollte diese verrückten Programme wie Gnome Software
zu nutzen (gehen wir einkaufen ) bleibt noch weniger zum Unterschied zu MS.Windows.
Und bitte jetzt nicht mit dem Vorschlag kommen : Kannst mc benutzen
Weiss ich auch -- wusste aber bisher nicht, daß jetzt wieder das Jahr 2000 hipp ist.
Zum Glück gibt es ja (noch ) ein paar Oberflächen, die noch normal zu bedienen sind.
Re: Wayland kein Start von root GUI
Verstehe ich nicht. Wieso das?barand3 hat geschrieben:30.05.2018 09:42:04Dann ist Wayland ja, nach meinem Verständnis, ein reines Anwender System ohne das man operativ am System arbeitet.
Nö, in den Anwendungen muß lediglich sauber operativer Code und GUI-Code getrennt werden.Oder man muss alles via Konsole erledigen (nicht sehr komfortabel).
Verstehe ich auch nicht. Wieso ist Wayland noch nicht über den Probier-Status hinaus, solange das Problem in Synaptic noch nicht befriedigend gelöst ist? Und BTW: GUI mit root-Rechten laufen zu haben war sicherheitstechnisch gesehen noch nie eine gute Idee. Nicht umsonst gibt es Projekte wie "Rootless X". [1] Und auch Microsoft hatte das begriffen. [2]geier22 hat geschrieben:30.05.2018 10:15:05Meine Meinung dazu ist, dass - solange das nicht befriedigend gelöst wird - Wayland über den Probier -Status noch nicht heraus ist.
Nur um eine Systemdatei zu editieren muß man nicht gleich einen kompletten Dateimanager mit root-Rechten laufen lassen. Siehe zum Beispiel https://csorianognome.wordpress.com/201 ... e-changes/ich keinen Dateimanager mit Root Rechten öffnen kann und um einen Datei zu editieren ich erst mal in der Konsole rumhacken muss
Wer zwingt dich dazu? Du kannst, wenn du willst, gerne dein System so konfigurieren, daß du dich als root bei der Desktopumgebung anmeldest und komplett als root arbeitest und somit auch mit root-Rechten im Internet surfst. Das tust du nicht? Warum, hast du paranoide Vorstellungen?Und wenn ich dann auch noch gezwungen werden sollte diese verrückten Programme wie Gnome Software
zu nutzen (gehen wir einkaufen )
Du kannst auch gerne dabei mithelfen, den Code von Synaptic umzustrukturieren. Oder Geld dafür spenden.
[1] https://lwn.net/Articles/341033/
[2] https://arstechnica.com/uncategorized/2005/12/5788-2/
Re: Wayland kein Start von root GUI
Es ist schon von Vorteil, wenn ich in X eine Anwendung über pkexec starten kann, um Dateien zu bearbeiten/kopieren.
Da erstellt man schon eine Policykit, um nicht gksu usw. zu benutzen, also ist die Sicherheit doch gewärleistet.
Und dann kommt Wayland und verbietet alles.
Das nenne ich ein Anwendersystem, man kann praktisch nichts weiter nutzen, als die Oberfläche mit der der Benutzer eingeloggt ist.
Soviel zu Bevormundung.
Zum Glück kann ich noch X11 nutzen.
Da erstellt man schon eine Policykit, um nicht gksu usw. zu benutzen, also ist die Sicherheit doch gewärleistet.
Und dann kommt Wayland und verbietet alles.
Das nenne ich ein Anwendersystem, man kann praktisch nichts weiter nutzen, als die Oberfläche mit der der Benutzer eingeloggt ist.
Soviel zu Bevormundung.
Zum Glück kann ich noch X11 nutzen.
Re: Wayland kein Start von root GUI
Vorspann: Ich benutze Gnome nicht weiter. Habe es nur in VM's um ab und zu mal zu sehen.
In meiner laienhaften Vorstellung sehe ich schon einen Unterschied zwischen einem Browser, der sich in einem Meer von Wölfen bewegt, und synaptic.
Das mag bei einem vorher kompromittiertem System vielleicht anders sein. Aber die meisten Linux Systeme sind ja wohl das nicht.
Ich sehe in erster Linie bei den Gnome und KDE - Entwicklern eine falsche Setzung der Prioritäten. Wenn man schon einen so großen
Umzug auf ein anderes Grafik- System plant und vollzieht, sollte man in erster Linie erst mal den "Grund" aktions- fähig machen
und nicht in erster Linie mit viel hübschen "Klicki- Bunti" Programmen um die Gunst der Nutzer buhlen.
Getestet und für gut befunden (Siduction Gnome) ---> Danke und ein Minuspunkt weniger.owl102 hat geschrieben:30.05.2018 10:37:29Nur um eine Systemdatei zu editieren muß man nicht gleich einen kompletten Dateimanager mit root-Rechten laufen lassen. Siehe zum Beispiel https://csorianognome.wordpress.com/201 ... e-changes/
Abgesehen davon, dass ich das grundsätzlich nicht mache (geht das überhaupt in Gnome jedenfalls nicht), würde ich hier wahrscheinlich von mindesten 10 Forenmitgliedern verbal erschlagen werden.owl102 hat geschrieben:30.05.2018 10:37:29Wer zwingt dich dazu? Du kannst, wenn du willst, gerne dein System so konfigurieren, daß du dich als root bei der Desktopumgebung anmeldest und komplett als root arbeitest und somit auch mit root-Rechten im Internet surfst. Das tust du nicht? Warum, hast du paranoide Vorstellungen?
In meiner laienhaften Vorstellung sehe ich schon einen Unterschied zwischen einem Browser, der sich in einem Meer von Wölfen bewegt, und synaptic.
Das mag bei einem vorher kompromittiertem System vielleicht anders sein. Aber die meisten Linux Systeme sind ja wohl das nicht.
Ich sehe in erster Linie bei den Gnome und KDE - Entwicklern eine falsche Setzung der Prioritäten. Wenn man schon einen so großen
Umzug auf ein anderes Grafik- System plant und vollzieht, sollte man in erster Linie erst mal den "Grund" aktions- fähig machen
und nicht in erster Linie mit viel hübschen "Klicki- Bunti" Programmen um die Gunst der Nutzer buhlen.
Das ist ein Torschlagargument. Und Geld für Gnome oder KDE werde ich ganz sicherlich nicht spenden. Ansonsten spende ich gerne mal was.owl102 hat geschrieben:30.05.2018 10:37:29u kannst auch gerne dabei mithelfen, den Code von Synaptic umzustrukturieren. Oder Geld dafür spenden.
Re: Wayland kein Start von root GUI
Nein. Sicherheit gewährleisten bedeutet, Angriffsflächen so klein wie möglich zu halten. Lese doch einfach mal ein paar Artikel zum Thema "rootless X" durch, da wird das alles breiter ausgeführt.barand3 hat geschrieben:30.05.2018 11:05:18Da erstellt man schon eine Policykit, um nicht gksu usw. zu benutzen, also ist die Sicherheit doch gewärleistet.
Nein. Neue Sicherheitskonzepte erfordern Anpassungen bei den Anwendungen. Ist Synaptik diesbezüglich gerade gezogen, wird es auch wieder geradeaus unter Wayland einsatzbar sein.Das nenne ich ein Anwendersystem, man kann praktisch nichts weiter nutzen, als die Oberfläche mit der der Benutzer eingeloggt ist.
Soviel zu Bevormundung.
BTW: Liest du eigentlich überhaupt meine Antworten?
Re: Wayland kein Start von root GUI
Es gibt übrigens noch eine zweite Möglichkeit: Gedit starten, dort zum Beispiel die Datei admin:///etc/fstab öffnen. (Ich finde jetzt auf die Schnelle keinen passenden Artikel dazu, den ich hier verlinken kann.)geier22 hat geschrieben:30.05.2018 11:13:08Getestet und für gut befunden (Siduction Gnome) ---> Danke und ein Minuspunkt weniger.
Wenn Synaptic inklusive GUI-Code unter root-Rechten läuft, wäre es möglich, daß eine andere Anwendung, die nicht mit root-Rechten läuft, Sicherheitslücken in GUI-Bibliotheken ausnutzt, um selber Code unter root-Rechten laufen zu lassen.In meiner laienhaften Vorstellung sehe ich schon einen Unterschied zwischen einem Browser, der sich in einem Meer von Wölfen bewegt, und synaptic.
Welche Gnome-Anwendungen sind denn deiner Meinung nach noch nicht aktionsfähig? Und was können die Wayland- oder Gnome-Entwickler für den aktuellen Zustand von Synaptic?Wenn man schon einen so großen Umzug auf ein anderes Grafik- System plant und vollzieht, sollte man in erster Linie erst mal den "Grund" aktions- fähig machen
Wir haben aber hier ein ganz konkretes Problem, nämlich daß Synaptic nicht mit aktuellen Anforderungen Schritt halten kann:Das ist ein Torschlagargument.
https://github.com/mvo5/synaptic/issues/15 hat geschrieben:Unfortunately fixing this is quite a bit of work as it needs some re-architecturing of the current code. [...] If someone is keen to help with this effort I'm happy to guide. My own time is unfortunately limited to work on this.
Es geht um die Pflege und Weiterentwicklung von Synaptic. Synaptic wird weder vom Gnome- noch vom KDE-Projekt gepflegt.Und Geld für Gnome oder KDE werde ich ganz sicherlich nicht spenden.
Re: Wayland kein Start von root GUI
Das gilt ja dann für alle Programme, wenn ich das jetzt richtig verstanden habe.Wir haben aber hier ein ganz konkretes Problem, nämlich daß Synaptic nicht mit aktuellen Anforderungen Schritt halten kann:
Dann müssen die Programme wohl an Wayland angepasst werden, so dass es möglich ist, eine GUI unter höheren Rechten laufen zu lassen, oder wie!?
Re: Wayland kein Start von root GUI
Ja, aber viele Programme sind schon angepasst, wie z.B. diejenigen des Gnome-Teams: Gedit (Editor), Nautilus (Dateien), Disks, Benutzerverwaltung, ... Man kann mit ihnen auch unter Wayland Systemdateien editieren, Systemverzeichnisse anschauen, Partitionen editieren, Benutzer editieren, ...barand3 hat geschrieben:30.05.2018 11:51:52Das gilt ja dann für alle Programme, wenn ich das jetzt richtig verstanden habe.
Der Witz ist doch, daß gerade nicht die GUI mit höheren Rechten läuft, sondern nur der "operative Codeanteil". Gedit kann zum Beispiel Systemdateien lesen und schreiben, ohne daß seine GUI mit höheren Rechten läuft, die höheren Rechte werden lediglich für das Laden und Speichern der Datei benötigt und verwendet.Dann müssen die Programme wohl an Wayland angepasst werden, so dass es möglich ist, eine GUI unter höheren Rechten laufen zu lassen, oder wie!?
Zuletzt geändert von owl102 am 30.05.2018 13:34:43, insgesamt 1-mal geändert.
Re: Wayland kein Start von root GUI
Ok - ich ich habe nicht so viel Ahnung von Gnome
Aber das finde ich nicht gerade sicher, dass der Root-Account wie bei sudo Standard über ein timeout gesteuert wird.
KDE treibt es ja noch schlimmer. Da hab ich mit mousepad installiert und mir einen action selbst gestrickt
sind die noch dicht ???
jetzt geht es so:
wenn der über das timeout (ich glaube 5 Minuten) offen bleibt. Mir scheint, dass sowohl die KDE als auch die Gnome Entwickler
oder gar alle davon ausgehen, dass alle GUI's angreifbar wie ein Schweizer Käse sind. Armes Linux.
Aber das finde ich nicht gerade sicher, dass der Root-Account wie bei sudo Standard über ein timeout gesteuert wird.
Warum wird es nicht gleich mit einer Policy gemacht ohne timeout ???The password is saved with a timeout so you can use access the file for some time, as is common with PolKit.
KDE treibt es ja noch schlimmer. Da hab ich mit mousepad installiert und mir einen action selbst gestrickt
sind die noch dicht ???
Code: Alles auswählen
Executing Kate as root is not possible. To edit files as root use:
SUDO_EDITOR=kate sudoedit <file>
Code: Alles auswählen
pkexec mousepad
Ist das nicht immer der Fall, wenn ich - wofür auch immer - über sudo oder su - einen root Account öffne ? Noch schlimmer,owl102 hat geschrieben:30.05.2018 11:27:37Wenn Synaptic inklusive GUI-Code unter root-Rechten läuft, wäre es möglich, daß eine andere Anwendung, die nicht mit root-Rechten läuft, Sicherheitslücken in GUI-Bibliotheken ausnutzt, um selber Code unter root-Rechten laufen zu lassen.
wenn der über das timeout (ich glaube 5 Minuten) offen bleibt. Mir scheint, dass sowohl die KDE als auch die Gnome Entwickler
oder gar alle davon ausgehen, dass alle GUI's angreifbar wie ein Schweizer Käse sind. Armes Linux.
- jph
- Beiträge: 1049
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: Wayland kein Start von root GUI
Kannst du bitte etwas weniger Drama veranstalten?
Re: Wayland kein Start von root GUI
Mit Wayland an sich hat das alles nichts zu tun. Wayland ist nur ein Protokoll, mit dem ein Programm auf den Bildschirm malen kann. Für Zugriffsrechte ist das System zuständig.
pkexec und synaptic laufen nur auf X und haben mit Wayland nichts am Hut. Stattdessen nutzen sie Xwayland, das vom Zugriff her ein X server wie jeder andere ist.
Es ist also eine Frage der Konfiguration von pkexec und der Authorisierung für Xwayland-Zugriff. (Gnome 3 geht da seltsame Wege.)
pkexec löscht die Variablen DISPLAY und XAUTHORITY. Ohne die kann kein Programm, egal ob root oder normaler User, auf X oder Xwayland zugreifen.
Eine Möglichkeit, um root Zugriff auf Xwayland zu geben, ist:
Das kann wieder aufgehoben werden mit:
Für pkexec:
oder, etwas präziser:
Mit sudo:
pkexec und synaptic laufen nur auf X und haben mit Wayland nichts am Hut. Stattdessen nutzen sie Xwayland, das vom Zugriff her ein X server wie jeder andere ist.
Es ist also eine Frage der Konfiguration von pkexec und der Authorisierung für Xwayland-Zugriff. (Gnome 3 geht da seltsame Wege.)
pkexec löscht die Variablen DISPLAY und XAUTHORITY. Ohne die kann kein Programm, egal ob root oder normaler User, auf X oder Xwayland zugreifen.
Eine Möglichkeit, um root Zugriff auf Xwayland zu geben, ist:
Code: Alles auswählen
xhost +SI:localuser:root
Code: Alles auswählen
xhost -SI:localuser:root
Code: Alles auswählen
pkexec env $(env) synaptic
Code: Alles auswählen
pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY synaptic
Code: Alles auswählen
sudo -EH synaptic
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: Wayland kein Start von root GUI
Dramatisch:MartinV hat geschrieben:31.05.2018 10:52:09oder, etwas präziser:Code: Alles auswählen
pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY synaptic
Dafür gebührt die der grosse Verdienstorden.
Das funktioniert auch mit allem anderen.
Sudo funktioniert zwar auch, Aber dann ist es halt das alte Problem, dass man die nächste Zeit ohne PW
frisch fromm fröhlich frei Sudoern kann. Oder man stellt das Timeout ab.
Re: Wayland kein Start von root GUI
Hallo,
anderswo wurde schon beschrieben, wie man das Problem auf der Kommandozeile umschiffen kann, z.B. im Archlinux-Wiki.
Darauf aufbauend ist meine Lösung, die Programme über ein "Wayland-Sudo-Skript" zu starten:
wsudo.sh:
Damit die Programme wie gewohnt über die Gnome-shell oder die Dateiverwaltung gestartet werden können, müssen die entsprechenden *.desktop-Datei noch damit versorgt werden.
Für "synaptic" aufpassen, da darf dann nicht mehr synaptic-pkexec genommen werden:
aus der Zeile:
wird
Oder z.B: gdebi.desktop:
anderswo wurde schon beschrieben, wie man das Problem auf der Kommandozeile umschiffen kann, z.B. im Archlinux-Wiki.
Darauf aufbauend ist meine Lösung, die Programme über ein "Wayland-Sudo-Skript" zu starten:
wsudo.sh:
Code: Alles auswählen
#!/usr/bin/sh
xhost si:localuser:root
pkexec $@
xhost -si:localuser:root
Für "synaptic" aufpassen, da darf dann nicht mehr synaptic-pkexec genommen werden:
aus der Zeile:
Code: Alles auswählen
Exec=synaptic-pkexec
Code: Alles auswählen
Exec=wsudo.sh /usr/sbin/synaptic
Code: Alles auswählen
Exec=wsudo.sh gdebi-gtk %f
Grüße
Wolf-Dieter
Wolf-Dieter
Re: Wayland kein Start von root GUI
Da in dem Thread mehr als zwei Jahre niemand mehr geantwortet hat und der TE schon lange nicht mehr in diesem Forum aktiv ist, dürfte sich das wohl erledigt haben.
Und dafür hast du dich extra hier angemeldet.
Willkommen im Forum.
Und dafür hast du dich extra hier angemeldet.
Willkommen im Forum.