Wayland kein Start von root GUI

KDE, Gnome, Windowmanager, X11, Grafiktreiber und alles was dazu notwendig ist. Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
barand3

Wayland kein Start von root GUI

Beitrag von barand3 » 30.05.2018 08:26:18

Hallo,
ist das normal, dass unter Wayland kein Programm als root startet?
Es kommt zwar die Passwort Abfrage, aber Synaptic z.B. startet nicht!?

owl102

Re: Wayland kein Start von root GUI

Beitrag von owl102 » 30.05.2018 08:39:01

barand3 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 08:26:18
ist das normal, dass unter Wayland kein Programm als root startet?
Ja.

Ich zitiere mal aus https://kofler.info/fedora-26-und-wayland/:
https://kofler.info/fedora-26-und-wayland/ hat geschrieben:Unter Wayland können Sie nicht einfach ein grafisches Programm mit root-Rechten ausführen (z.B. aus einem Terminal heraus, in dem Sie vorher sudo ausgeführt haben). [...] Die Lösung zu diesem Problem soll so aussehen, dass grafische Programme, die root-Rechte benötigen, in zwei Teile getrennt werden: In die Oberfläche, die mit gewöhnlichen Rechten läuft, und in operative Module, die sich via PolicyKit root-Rechte erwerben. Teile der Gnome-Systemeinstellungen funktionieren so (z.B. die Benutzerverwaltung und Software).

barand3

Re: Wayland kein Start von root GUI

Beitrag von barand3 » 30.05.2018 08:59:25

Danke,
https://kofler.info/fedora-26-und-wayland/ hat geschrieben:
und in operative Module, die sich via PolicyKit root-Rechte erwerben
Da hat doch Synaptic ein Policykit und deshalb dachte ich, müsste das doch laufen!?
Naja, vielleicht wird das ja noch geändert.

owl102

Re: Wayland kein Start von root GUI

Beitrag von owl102 » 30.05.2018 09:25:34

barand3 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 08:59:25
Da hat doch Synaptic ein Policykit und deshalb dachte ich, müsste das doch laufen!?
Nein, die Idee ist, daß sich die operativen Module root-Rechte besorgen und nicht einfach die komplette Anwendung. (Synaptic versucht aber letzteres.) Insbesondere GUI-Code soll nicht mit root-Rechten laufen, deswegen verhindert dies Wayland per default.

Du kannst schauen, ob der gleiche Workaround wie bei GParted greift: http://gparted-forum.surf4.info/viewtopic.php?id=17446
Naja, vielleicht wird das ja noch geändert.
Der aktuelle Status ist hier zu finden: https://github.com/mvo5/synaptic/issues/15

barand3

Re: Wayland kein Start von root GUI

Beitrag von barand3 » 30.05.2018 09:42:04

Danke Dir
Dann ist Wayland ja, nach meinem Verständnis, ein reines Anwender System ohne das man operativ am System arbeitet.
Oder man muss alles via Konsole erledigen (nicht sehr komfortabel).

geier22

Re: Wayland kein Start von root GUI

Beitrag von geier22 » 30.05.2018 10:15:05

Du kannst synaptic aus der Konsole heraus als root starten(zumindest in Siduction)

Meine Meinung dazu ist, dass - solange das nicht befriedigend gelöst wird - Wayland über den Probier -Status noch nicht heraus ist.

Oder mal ganz krass:
Wenn mir durch irgendwelche Paranoiden Vorstellungen die Möglichkeit genommen wird, Tools wie Synaptic zu nutzen, ich keinen
Dateimanager mit Root Rechten öffnen kann und um einen Datei zu editieren ich erst mal in der Konsole rumhacken muss, dann bleibt nicht mehr
viel, was mich bisher an Linux begeistert hat.
Und wenn ich dann auch noch gezwungen werden sollte diese verrückten Programme wie Gnome Software
zu nutzen (gehen wir einkaufen :?: :facepalm: ) bleibt noch weniger zum Unterschied zu MS.Windows.

Und bitte jetzt nicht mit dem Vorschlag kommen : Kannst Debianmc benutzen :facepalm:
Weiss ich auch -- wusste aber bisher nicht, daß jetzt wieder das Jahr 2000 hipp ist.
Zum Glück gibt es ja (noch :?: ) ein paar Oberflächen, die noch normal zu bedienen sind.

owl102

Re: Wayland kein Start von root GUI

Beitrag von owl102 » 30.05.2018 10:37:29

barand3 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 09:42:04
Dann ist Wayland ja, nach meinem Verständnis, ein reines Anwender System ohne das man operativ am System arbeitet.
Verstehe ich nicht. Wieso das?
Oder man muss alles via Konsole erledigen (nicht sehr komfortabel).
Nö, in den Anwendungen muß lediglich sauber operativer Code und GUI-Code getrennt werden.
geier22 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 10:15:05
Meine Meinung dazu ist, dass - solange das nicht befriedigend gelöst wird - Wayland über den Probier -Status noch nicht heraus ist.
Verstehe ich auch nicht. Wieso ist Wayland noch nicht über den Probier-Status hinaus, solange das Problem in Synaptic noch nicht befriedigend gelöst ist? Und BTW: GUI mit root-Rechten laufen zu haben war sicherheitstechnisch gesehen noch nie eine gute Idee. Nicht umsonst gibt es Projekte wie "Rootless X". [1] Und auch Microsoft hatte das begriffen. [2]
ich keinen Dateimanager mit Root Rechten öffnen kann und um einen Datei zu editieren ich erst mal in der Konsole rumhacken muss
Nur um eine Systemdatei zu editieren muß man nicht gleich einen kompletten Dateimanager mit root-Rechten laufen lassen. Siehe zum Beispiel https://csorianognome.wordpress.com/201 ... e-changes/
Und wenn ich dann auch noch gezwungen werden sollte diese verrückten Programme wie Gnome Software
zu nutzen (gehen wir einkaufen :?: :facepalm: )
Wer zwingt dich dazu? Du kannst, wenn du willst, gerne dein System so konfigurieren, daß du dich als root bei der Desktopumgebung anmeldest und komplett als root arbeitest und somit auch mit root-Rechten im Internet surfst. Das tust du nicht? Warum, hast du paranoide Vorstellungen? ;)

Du kannst auch gerne dabei mithelfen, den Code von Synaptic umzustrukturieren. Oder Geld dafür spenden.

[1] https://lwn.net/Articles/341033/
[2] https://arstechnica.com/uncategorized/2005/12/5788-2/

barand3

Re: Wayland kein Start von root GUI

Beitrag von barand3 » 30.05.2018 11:05:18

Es ist schon von Vorteil, wenn ich in X eine Anwendung über pkexec starten kann, um Dateien zu bearbeiten/kopieren.
Da erstellt man schon eine Policykit, um nicht gksu usw. zu benutzen, also ist die Sicherheit doch gewärleistet.

Und dann kommt Wayland und verbietet alles.
Das nenne ich ein Anwendersystem, man kann praktisch nichts weiter nutzen, als die Oberfläche mit der der Benutzer eingeloggt ist.
Soviel zu Bevormundung.

Zum Glück kann ich noch X11 nutzen.

geier22

Re: Wayland kein Start von root GUI

Beitrag von geier22 » 30.05.2018 11:13:08

Vorspann: Ich benutze Gnome nicht weiter. Habe es nur in VM's um ab und zu mal zu sehen.
owl102 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 10:37:29
Nur um eine Systemdatei zu editieren muß man nicht gleich einen kompletten Dateimanager mit root-Rechten laufen lassen. Siehe zum Beispiel https://csorianognome.wordpress.com/201 ... e-changes/
Getestet und für gut befunden (Siduction Gnome) ---> Danke und ein Minuspunkt weniger.
owl102 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 10:37:29
Wer zwingt dich dazu? Du kannst, wenn du willst, gerne dein System so konfigurieren, daß du dich als root bei der Desktopumgebung anmeldest und komplett als root arbeitest und somit auch mit root-Rechten im Internet surfst. Das tust du nicht? Warum, hast du paranoide Vorstellungen? ;)
Abgesehen davon, dass ich das grundsätzlich nicht mache (geht das überhaupt in Gnome jedenfalls nicht), würde ich hier wahrscheinlich von mindesten 10 Forenmitgliedern verbal erschlagen werden. :P

In meiner laienhaften Vorstellung sehe ich schon einen Unterschied zwischen einem Browser, der sich in einem Meer von Wölfen bewegt, und synaptic.
Das mag bei einem vorher kompromittiertem System vielleicht anders sein. Aber die meisten Linux Systeme sind ja wohl das nicht.

Ich sehe in erster Linie bei den Gnome und KDE - Entwicklern eine falsche Setzung der Prioritäten. Wenn man schon einen so großen
Umzug auf ein anderes Grafik- System plant und vollzieht, sollte man in erster Linie erst mal den "Grund" aktions- fähig machen
und nicht in erster Linie mit viel hübschen "Klicki- Bunti" Programmen um die Gunst der Nutzer buhlen.
owl102 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 10:37:29
u kannst auch gerne dabei mithelfen, den Code von Synaptic umzustrukturieren. Oder Geld dafür spenden.
Das ist ein Torschlagargument. Und Geld für Gnome oder KDE werde ich ganz sicherlich nicht spenden. Ansonsten spende ich gerne mal was.

owl102

Re: Wayland kein Start von root GUI

Beitrag von owl102 » 30.05.2018 11:16:06

barand3 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 11:05:18
Da erstellt man schon eine Policykit, um nicht gksu usw. zu benutzen, also ist die Sicherheit doch gewärleistet.
Nein. Sicherheit gewährleisten bedeutet, Angriffsflächen so klein wie möglich zu halten. Lese doch einfach mal ein paar Artikel zum Thema "rootless X" durch, da wird das alles breiter ausgeführt.
Das nenne ich ein Anwendersystem, man kann praktisch nichts weiter nutzen, als die Oberfläche mit der der Benutzer eingeloggt ist.
Soviel zu Bevormundung.
Nein. Neue Sicherheitskonzepte erfordern Anpassungen bei den Anwendungen. Ist Synaptik diesbezüglich gerade gezogen, wird es auch wieder geradeaus unter Wayland einsatzbar sein.

BTW: Liest du eigentlich überhaupt meine Antworten?

owl102

Re: Wayland kein Start von root GUI

Beitrag von owl102 » 30.05.2018 11:27:37

geier22 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 11:13:08
Getestet und für gut befunden (Siduction Gnome) ---> Danke und ein Minuspunkt weniger.
Es gibt übrigens noch eine zweite Möglichkeit: Gedit starten, dort zum Beispiel die Datei admin:///etc/fstab öffnen. (Ich finde jetzt auf die Schnelle keinen passenden Artikel dazu, den ich hier verlinken kann.)
In meiner laienhaften Vorstellung sehe ich schon einen Unterschied zwischen einem Browser, der sich in einem Meer von Wölfen bewegt, und synaptic.
Wenn Synaptic inklusive GUI-Code unter root-Rechten läuft, wäre es möglich, daß eine andere Anwendung, die nicht mit root-Rechten läuft, Sicherheitslücken in GUI-Bibliotheken ausnutzt, um selber Code unter root-Rechten laufen zu lassen.
Wenn man schon einen so großen Umzug auf ein anderes Grafik- System plant und vollzieht, sollte man in erster Linie erst mal den "Grund" aktions- fähig machen
Welche Gnome-Anwendungen sind denn deiner Meinung nach noch nicht aktionsfähig? Und was können die Wayland- oder Gnome-Entwickler für den aktuellen Zustand von Synaptic?
Das ist ein Torschlagargument.
Wir haben aber hier ein ganz konkretes Problem, nämlich daß Synaptic nicht mit aktuellen Anforderungen Schritt halten kann:
https://github.com/mvo5/synaptic/issues/15 hat geschrieben:Unfortunately fixing this is quite a bit of work as it needs some re-architecturing of the current code. [...] If someone is keen to help with this effort I'm happy to guide. My own time is unfortunately limited to work on this.
Und Geld für Gnome oder KDE werde ich ganz sicherlich nicht spenden.
Es geht um die Pflege und Weiterentwicklung von Synaptic. Synaptic wird weder vom Gnome- noch vom KDE-Projekt gepflegt.

barand3

Re: Wayland kein Start von root GUI

Beitrag von barand3 » 30.05.2018 11:51:52

Wir haben aber hier ein ganz konkretes Problem, nämlich daß Synaptic nicht mit aktuellen Anforderungen Schritt halten kann:
Das gilt ja dann für alle Programme, wenn ich das jetzt richtig verstanden habe.
Dann müssen die Programme wohl an Wayland angepasst werden, so dass es möglich ist, eine GUI unter höheren Rechten laufen zu lassen, oder wie!?

owl102

Re: Wayland kein Start von root GUI

Beitrag von owl102 » 30.05.2018 11:58:13

barand3 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 11:51:52
Das gilt ja dann für alle Programme, wenn ich das jetzt richtig verstanden habe.
Ja, aber viele Programme sind schon angepasst, wie z.B. diejenigen des Gnome-Teams: Gedit (Editor), Nautilus (Dateien), Disks, Benutzerverwaltung, ... Man kann mit ihnen auch unter Wayland Systemdateien editieren, Systemverzeichnisse anschauen, Partitionen editieren, Benutzer editieren, ...
Dann müssen die Programme wohl an Wayland angepasst werden, so dass es möglich ist, eine GUI unter höheren Rechten laufen zu lassen, oder wie!?
Der Witz ist doch, daß gerade nicht die GUI mit höheren Rechten läuft, sondern nur der "operative Codeanteil". Gedit kann zum Beispiel Systemdateien lesen und schreiben, ohne daß seine GUI mit höheren Rechten läuft, die höheren Rechte werden lediglich für das Laden und Speichern der Datei benötigt und verwendet.
Zuletzt geändert von owl102 am 30.05.2018 13:34:43, insgesamt 1-mal geändert.

geier22

Re: Wayland kein Start von root GUI

Beitrag von geier22 » 30.05.2018 12:11:13

Ok - ich ich habe nicht so viel Ahnung von Gnome
Aber das finde ich nicht gerade sicher, dass der Root-Account wie bei sudo Standard über ein timeout gesteuert wird.
The password is saved with a timeout so you can use access the file for some time, as is common with PolKit.
Warum wird es nicht gleich mit einer Policy gemacht ohne timeout ???

KDE treibt es ja noch schlimmer. Da hab ich mit Debianmousepad installiert und mir einen action selbst gestrickt
sind die noch dicht ???

Code: Alles auswählen

Executing Kate as root is not possible. To edit files as root use:
SUDO_EDITOR=kate sudoedit <file>
jetzt geht es so:

Code: Alles auswählen

pkexec mousepad
owl102 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 11:27:37
Wenn Synaptic inklusive GUI-Code unter root-Rechten läuft, wäre es möglich, daß eine andere Anwendung, die nicht mit root-Rechten läuft, Sicherheitslücken in GUI-Bibliotheken ausnutzt, um selber Code unter root-Rechten laufen zu lassen.
Ist das nicht immer der Fall, wenn ich - wofür auch immer - über sudo oder su - einen root Account öffne ? Noch schlimmer,
wenn der über das timeout (ich glaube 5 Minuten) offen bleibt. Mir scheint, dass sowohl die KDE als auch die Gnome Entwickler
oder gar alle davon ausgehen, dass alle GUI's angreifbar wie ein Schweizer Käse sind. Armes Linux. :cry:

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Wayland kein Start von root GUI

Beitrag von jph » 31.05.2018 10:34:45

geier22 hat geschrieben: ↑ zum Beitrag ↑
30.05.2018 12:11:13
sind die noch dicht ???
Kannst du bitte etwas weniger Drama veranstalten?

Benutzeravatar
MartinV
Beiträge: 788
Registriert: 31.07.2015 19:38:52
Wohnort: Hyperion
Kontaktdaten:

Re: Wayland kein Start von root GUI

Beitrag von MartinV » 31.05.2018 10:52:09

Mit Wayland an sich hat das alles nichts zu tun. Wayland ist nur ein Protokoll, mit dem ein Programm auf den Bildschirm malen kann. Für Zugriffsrechte ist das System zuständig.

pkexec und synaptic laufen nur auf X und haben mit Wayland nichts am Hut. Stattdessen nutzen sie Xwayland, das vom Zugriff her ein X server wie jeder andere ist.

Es ist also eine Frage der Konfiguration von pkexec und der Authorisierung für Xwayland-Zugriff. (Gnome 3 geht da seltsame Wege.)

pkexec löscht die Variablen DISPLAY und XAUTHORITY. Ohne die kann kein Programm, egal ob root oder normaler User, auf X oder Xwayland zugreifen.

Eine Möglichkeit, um root Zugriff auf Xwayland zu geben, ist:

Code: Alles auswählen

xhost +SI:localuser:root
Das kann wieder aufgehoben werden mit:

Code: Alles auswählen

xhost -SI:localuser:root
Für pkexec:

Code: Alles auswählen

pkexec env $(env) synaptic
oder, etwas präziser:

Code: Alles auswählen

pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY synaptic
Mit sudo:

Code: Alles auswählen

sudo -EH synaptic
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.

geier22

Re: Wayland kein Start von root GUI

Beitrag von geier22 » 31.05.2018 11:14:06

MartinV hat geschrieben: ↑ zum Beitrag ↑
31.05.2018 10:52:09
oder, etwas präziser:

Code: Alles auswählen

pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY synaptic
Dramatisch: :wink:
Dafür gebührt die der grosse Verdienstorden. :mrgreen: :THX:
Das funktioniert auch mit allem anderen.
Sudo funktioniert zwar auch, Aber dann ist es halt das alte Problem, dass man die nächste Zeit ohne PW
frisch fromm fröhlich frei Sudoern kann. Oder man stellt das Timeout ab.

WDGroll
Beiträge: 1
Registriert: 02.08.2020 13:56:44

Re: Wayland kein Start von root GUI

Beitrag von WDGroll » 02.08.2020 14:39:16

Hallo,

anderswo wurde schon beschrieben, wie man das Problem auf der Kommandozeile umschiffen kann, z.B. im Archlinux-Wiki.
Darauf aufbauend ist meine Lösung, die Programme über ein "Wayland-Sudo-Skript" zu starten:
wsudo.sh:

Code: Alles auswählen

#!/usr/bin/sh
xhost si:localuser:root
pkexec $@
xhost -si:localuser:root
Damit die Programme wie gewohnt über die Gnome-shell oder die Dateiverwaltung gestartet werden können, müssen die entsprechenden *.desktop-Datei noch damit versorgt werden.
Für "synaptic" aufpassen, da darf dann nicht mehr synaptic-pkexec genommen werden:
aus der Zeile:

Code: Alles auswählen

Exec=synaptic-pkexec
wird

Code: Alles auswählen

Exec=wsudo.sh /usr/sbin/synaptic
Oder z.B: gdebi.desktop:

Code: Alles auswählen

Exec=wsudo.sh gdebi-gtk %f
Grüße
Wolf-Dieter

Radfahrer

Re: Wayland kein Start von root GUI

Beitrag von Radfahrer » 02.08.2020 15:48:02

Da in dem Thread mehr als zwei Jahre niemand mehr geantwortet hat und der TE schon lange nicht mehr in diesem Forum aktiv ist, dürfte sich das wohl erledigt haben. :wink:

Und dafür hast du dich extra hier angemeldet.
Willkommen im Forum. :mrgreen:

Antworten