[gelöst] Updates richtig machen

[dasebastian]

Hallo an Alle,
von Ubuntu kommend, war ich es gewohnt, meine Updates/Upgrades wie folgt zu machen:

Code: Alles auswählen

sudo apt update && sudo apt full-upgrade && sudo apt autoremove && sudo apt autoclean

Dazu hatte ich mir ein Alias in meiner .bashrc angelegt.

Jetzt hier in Debian gelandet, habe ich schon gemerkt, dass sudo, wie sage ich's am Besten, nicht so ganz gern gesehen wird, schlechter Stil. Das leuchtet mir in Debian ein, ich habe seit meinem Wechsel die Installationen etc. als "su -" gemacht.

Nun stellt sich mir die Frage - und bitte steinigt mich nicht, ich will's mir nur richtig angewöhnen, wie macht ihr eure updates? Wechselt ihr jedesmal zu root? Macht ihr's auch über sudo?

[DeletedUserReAsG]

Jetzt hier in Debian gelandet, habe ich schon gemerkt, dass sudo, wie sage ich's am Besten, nicht so ganz gern gesehen wird, schlechter Stil.

Nicht falsch verstehen: das Problem mit sudo ist nicht sudo an sich, sondern die Art, wie die Buntu-Leute es verbogen, und wie sie so ihre User erzogen haben: sehr viele (ehemalige) Buntu-User schreiben es mittlerweile vor alles, was sie in ’ner Shell machen. Und das kann nunmal böse schiefgehen.

Wenn du dein sudo nun so konfigurierst, dass der dein User damit nur genau das Update fahren darf, ist damit alles okay – wenn ein Angreifer in dem Fall die Shell zu fassen bekommt, in der sudos Rechteerweiterung wirkt, kann er allenfalls Updates damit fahren.

[TomL]

Dazu hatte ich mir ein Alias in meiner .bashrc angelegt.

Dann leg Dir dafür einen Alias in der root- .bash_aliases an:

Code: Alles auswählen

apt update && apt full-upgrade && apt autoremove && apt autoclean

Dann brauchst Du Dich lediglich mit "su -" im Terminal als root einloggen und kannst wie zuvor den Alias verwenden. Wenn aber doch sudo, dann bitte so einstellen, wie 'niemand' es beschrieben hat. Aber meine persönliche Meinung ist, an einem privaten Desktop-PC mit einem primären User, der auch administrative Änderungen am System durchführt, ist sudo so überflüssig wie ein Kropf.

[Lord_Carlos]

Jetzt hier in Debian gelandet, habe ich schon gemerkt, dass sudo, wie sage ich's am Besten, nicht so ganz gern gesehen wird, schlechter Stil. Das leuchtet mir in Debian ein, ich habe seit meinem Wechsel die Installationen etc. als "su -" gemacht.

Hier im Forum ist es so, ja.
Aber guckt man ins Offizielle Wiki wird sudo wieder empfohlen.
https://wiki.debian.org/sudo/

Kannst sudo in debian also weiter benutzten. Musst es hier ja keinem erzahlen.

[TomL]

[Aber guckt man ins Offizielle Wiki wird sudo wieder empfohlen.
https://wiki.debian.org/sudo/

Gleich der erste Absatz:
"Sudo (sometimes considered as short for Super-user do) is a program designed to let system administrators allow some users to execute some commands as root (or another user). The basic philosophy is to give as few privileges as possible but still allow people to get their work done."

"Sudo (manchmal auch als Abkürzung für Super-User do bezeichnet) ist ein Programm, mit dem Systemadministratoren einigen Benutzern die Möglichkeit geben, einige Befehle als root (oder ein anderer Benutzer) auszuführen. Die Grundphilosophie besteht darin, so wenig Privilegien wie möglich zu vergeben, aber dennoch den Leuten zu erlauben, ihre Arbeit zu erledigen."

Der Wortlaut erklärt es prima: der User, der sudo verwendet, ist kein Systemadministrator und hat auch keine solche Rechte. Also genau das, was zuvor niemand erklärt hat....

[hikaru]

Aber guckt man ins Offizielle Wiki wird sudo wieder empfohlen.
https://wiki.debian.org/sudo/

Leider ist gerade der Artikel in sich selbst philosophisch widersprüchlich.

Erst heißt es ...

The basic philosophy is to give as few privileges as possible but still allow people to get their work done.

... später aber:

Debian's default configuration allows users in the sudo group to run any command via sudo.

(Hervorhebungen von mir.)

Letzteres ist dann leider auch die Konfiguration, die man vom Installer ausgeliefert bekommt, wenn man dort kein root-Passwort vergibt und es ist die Selbe die Ubuntu ausliefert. Als Folge darf dann ein regulärer User (oder jemand der sich als er ausgibt) in dieser Shell alles, nachdem er sein Passwort eigegeben hat.
Will man Ersteres, dann nimmt man die Konfiguration von /etc/sudoers die man bekommt, wenn man sudo nachinstalliert* und trägt dort nur genau die Befehle ein, die man per sudo freigeben möchte.

Genau um diesen philosophischen Unterschied zwischen Minimalismus und Maximalismus und seine technische Umsetzung dreht sich die ganze sudo-Debatte.


*) Das ist nämlich eine andere als die, die man vom Installer ohne root-Passwort bekommt.

[MSfree]

Code: Alles auswählen

sudo apt update && sudo apt full-upgrade && sudo apt autoremove && sudo apt autoclean

Abgesehen von der sudo-Debatte (ich bin auch allergisch gegen sudo), ziehe ich es vor, erstmal nachzusehen, was der alles upgraden will:

Code: Alles auswählen

apt-get update; apt-get dist-upgrade -s

holt erstmal die neue Paketliste und führt nur ein simulilertes (-s) dist-upgrade aus. Erst vor kurzem kursierte hier ein Problem, bei dem ein grub-Upgrade das Booten verhindert hat. Da wäre man froh gewesen, grub erstmal nicht zu aktualisieren, wenn man es rechtzeitig gesehen hätte.

Dann kann ich mich immer noch entscheiden, ob ich das simullierte dann richtig durchlaufen lasse oder vorher einige Pakete vom Upgrade ausschließe, damit mir nichts kaputt gemacht wird.

Ob mit oder ohne sudo würde ich die Kette, die du oben aufgezeigt hast, nicht durchführen. Aber vielleicht bin ich da einfach zu ängstlich

[dasebastian]

Nicht falsch verstehen: das Problem mit sudo ist nicht sudo an sich, sondern die Art, wie die Buntu-Leute es verbogen, und wie sie so ihre User erzogen haben: sehr viele (ehemalige) Buntu-User schreiben es mittlerweile vor alles, was sie in ’ner Shell machen. Und das kann nunmal böse schiefgehen.

Dieses Verhalten kenne ich so in der Art nicht, auch nicht aus dem deutschen Forum, aber vielleicht landen die aus Frust ja dann in einem anderen Forum, egal. Auf diese Art habe ich sudo niemals verwendet.

(...)so konfigurierst, dass der dein User damit nur genau das Update fahren darf, ist damit alles okay – wenn ein Angreifer in dem Fall (...)

Das ist der Weg, der mir im Moment tatsächlich am pragmatischsten erscheint, aber

Dann leg Dir dafür einen Alias in der root- .bash_aliases an

hat natürlich auch was. Ich werde mich nochmal mit der Rechteeinschränkung (?) von sudo beschäftigen und mir dann überlegen, wie's mir am Besten passt. Danke euch erstmal!

[dasebastian]

Ob mit oder ohne sudo würde ich die Kette, die du oben aufgezeigt hast, nicht durchführen. Aber vielleicht bin ich da einfach zu ängstlich

Deinen Einwand kann ich nachvollziehen, aber ganz ehrlich, ich hatte DAMIT nie auch nur ein einziges Problem. Auch die grub-Geschichte hat mich ausgelassen. Glück darf man auch mal akzeptieren...

[TomL]

Deinen Einwand kann ich nachvollziehen, aber ganz ehrlich, ich hatte DAMIT nie auch nur ein einziges Problem.

Das ist bei mir auch nicht anders... niemals gabs Probleme. Und bei mir ist das ja noch viel schlimmer eingestellt, bei mir macht das auf allen System ein Job alle 3 Tage automatisch, sogar bei den Systemen, die ich für Bekannte eingerichtet habe. Nach der Anmeldung ploppt ein Fenster auf und fragt den Anwender "darf ich" und dann passierts ganz automatisch.... bei mittlerweile tausenden von Läufen gabs hinterher nicht ein einziges Mal Probleme. Allerdings sind alle meine Setups wirklich klinisch-reine Debian-Setups.... nix fremdes an Bord. Vielleicht liegts daran... *hmm*

[rockyracoon]

Wechselt ihr jedesmal zu root?

Ja.

su
"password"
apt update
apt upgrade > gucken und nachdenken, bevor ich es absegne
apt autoremove > wenn das Terminal mir das empfiehlt
apt autoclean > gelegentlich

# Wenn ich faul bin, oder noch andere Informationen brauche, öffne ich den Synaptic-Paketmanager mit dem root-password und lasse ihn meine Arbeit machen.

[eggy]

@rockyracoon: "su -" statt "su".

@Lord_Carlos: Im debian wiki kann auch jeder schreiben, der sich nen Account geklickt hat. Dort sind vermutlich nen paar mehr DDs unter den Schreibern als beim wiki vom df.de, aber trotzdem bleibts "community".

Wenn du dein sudo nun so konfigurierst, dass der dein User damit nur genau das Update fahren darf, ist damit alles okay – wenn ein Angreifer in dem Fall die Shell zu fassen bekommt, in der sudos Rechteerweiterung wirkt, kann er allenfalls Updates damit fahren.

Wenn apt und co via sudo ausgeführt werden darf, dann installiert der fiese Angreifer halt nen Paket mit ner Anwendung mit gesetzem SUID-Bit. Und das sorgt dann für den Rest der root-Rechte... update via sudo bringt in Bezug auf Systemabsichern leider nix.

[rockyracoon]

@eggy:

"su -" statt "su"

Nö. Su. Klappt immer bei Updates und erspart mir pro Vorgang einen Klick. Rechne es einmal auf das Jahr um.
Faulheit ist eine Kunst, welche man zelebrieren muß. Die ollen Daoisten nannten das "Wu Wei".

[KP97]

@rockyracoon: "su -" statt "su".

Wenn man wie ich eine Änderung in /etc/environment vorgenommen hat, braucht man die Unterscheidung nicht. Dann sind alle Verzeichnisse im Pfad zugreifbar.

Zum Update:
Ausschlaggebend ist doch der Debian-Zweig. Wenn ich ein Stable habe, gibt es kaum Updates. Zuletzt nach 10.5 und evtl. mal Sicherheitspatches zwischendurch, alles sehr überschaubar.
Bei meinem Sid sieht es schon anders aus, da sind täglich neue Pakete. Aber wie @MSfree schon schrieb, erst gucken dann updaten.

[rockyracoon]

Aber wie @MSfree schon schrieb, erst gucken dann updaten.

Das habe ich geschrieben!
O.K. MSfree hat es zuerst erwähnt.
Bei "Stable" ist das "gucken" sicher nicht so wichtig, als bei "Testing" oder gar "Sid".

"Su / Su -": noch einmal für virtuose Erbsenzähler: https://software.linuxnetz.de/su/ und https://www.linux-community.de/ausgaben ... l-su-sudo/
Ich mache die hochgewagte These (nur Luther war wagemutiger), dass der Unterschied zwischen "su" und "su -" bei einem Single-User bei einem Update keinen Unterschied macht.

P.S.:
Ich weiß nicht, ob das bei anderen Oberflächen anders ist, aber bei Gnome3 wird man beim Schließen des Su-Terminals nochmals gefragt, ob man das möchte. Mit dem Schließen sind dann sicherheitshalber Tür und Tor eines Roots geschlossen.

[Lord_Carlos]

Wenn du dein sudo nun so konfigurierst, dass der dein User damit nur genau das Update fahren darf, ist damit alles okay – wenn ein Angreifer in dem Fall die Shell zu fassen bekommt, in der sudos Rechteerweiterung wirkt, kann er allenfalls Updates damit fahren.

Wenn apt und co via sudo ausgeführt werden darf, dann installiert der fiese Angreifer halt nen Paket mit ner Anwendung mit gesetzem SUID-Bit. Und das sorgt dann für den Rest der root-Rechte... update via sudo bringt in Bezug auf Systemabsichern leider nix.

Und wer ne sudo shell offen stehen hat, wuerde warscheinlich auch ne root shell offen stehen lassen.

[KP97]

... dass der Unterschied zwischen "su" und "su -" bei einem Single-User bei einem Update keinen Unterschied macht.

Da bist Du aber so ziemlich auf dem Holzweg. Wenn dem so wäre, hätten es die User seit der Änderung in Stretch gar nicht mitbekommen. Tatsache ist aber, daß sich z.B. ein update nicht mehr ausführen ließ, weil eine relevante Lib nicht mehr im Pfad war. Nachzulesen hier im Forum in vielen Threads, wenn man die SuFu bemüht.

[rockyracoon]

@KP97:"Stretch"? Wer nutzt das noch?
Wer rechtzeitig ein Dist-Upgrade macht, lebt imho richtig.

[KP97]

@KP97:"Stretch"? Wer nutzt das noch?

Das war nicht meine Aussage. Ab Stretch...bis heute und in Zukunft...

[rockyracoon]

@KP97: Also, ab "Stretch" ist nach Deiner Aussage das Verwenden von "su" statt "su -" bei einem Update nicht zielführend?
Wieso habe ich dann mit Bullseye/Testing bisher dabei keine Probleme erleben dürfen?

Off-Topic-P.S.:
Ich weiß nicht, wie es Euch geht, aber mich nervt beim Thread-Titel das "Updats" kolossal. Bitte, bitte lieber Thread-Starter korrigiere es in "Updates".
Der Plea eines Nerds.

[MSfree]

...Tatsache ist aber, daß sich z.B. ein update nicht mehr ausführen ließ, weil eine relevante Lib nicht mehr im Pfad war.

Mit Libs hat das nichts zu tun. Es gibt halt einige Programme (aka Executables), die nicht im PATH von "su" sind, aber im PATH von "su -". Daß das dein Upgrade versemmeln kann, ist aber unbestritten.

[rockyracoon]

@MSfree: Spannende Information.

einige Programme

Um welche handelt es sich da?

Daß das dein Upgrade versemmeln kann, ist aber unbestritten.

Wie könnte so ein Szenario zum Beispiel aussehen?

[willy4711]

Darf dann mal höflichst noch ne Variante reinwerfen:
Dreizeiler - Skript:

Code: Alles auswählen

#!/bin/bash

pkexec xfce4-terminal -e "aptitude update"
pkexec xfce4-terminal -e "aptitude full-upgrade" 
geany /var/log/aptitude

exit

Dazu passend, die entsprechende Policy:

Code: Alles auswählen

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
 "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/PolicyKit/1/policyconfig.dtd">
<policyconfig>
    <action id="org.freedesktop.policykit.pkexec.xfce4-terminal">
    <description>Run xfce4-terminal program</description>
    <message>Authentication is required to run xfce4-terminal</message>
    <icon_name>accessories-text-editor</icon_name>
    <defaults>
        <allow_any>auth_admin</allow_any>
        <allow_inactive>auth_admin</allow_inactive>
        <allow_active>yes</allow_active>
    </defaults>
    <annotate key="org.freedesktop.policykit.exec.path">/usr/bin/xfce4-terminal</annotate>
    <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
    </action>
</policyconfig>

Das ganze kann man dann noch kombinieren mit dem package-update-indicator
Thread siehe hier:
viewtopic.php?f=2&t=172036
Anmerkung:
Apt /Aptitude oder sonst was bleiben immer stehen und warten auf die Zustimmung für das Update, wenn man da nicht gleich
einen Rattenschwanz von Befehlen hinten dran hängt, oder mit && arbeitet.

Sowie das Terminal geschlossen ist (automatisch sofort nach Beendigung des Updates) , ist auch nix mehr mit vagabundierenden Root- Rechten.
Und was ist sudo? Hab ich nicht.

[rockyracoon]

@willy4711:

Darf dann mal höflichst noch ne Variante reinwerfen:

Nein, meiner Meinung nach störst Du den Thread-Verlauf, indem Du meine höflichen Fragen durchschneidest.
Mich würden erst die Antworten von MSfree und KP97 auf meine Fragen interessieren.
Bitte stelle daher Deinen sicher auch interssanten Beitag zurück.

Und was ist sudo? Hab ich nicht.

Hier: volles D`Accord.

[willy4711]

Nein, meiner Meinung nach störst Du den Thread-Verlauf, indem Du meine höflichen Fragen durchschneidest.

Nun apt /aptitude sind in /usr/bin und damit auch ohne su - zugänglich.
Synaptic hingegen ist in /usr/sbin, da muss man da halt als "normaler" Root den Pfad einsetzten, bzw. die Policy benutzen.
Ich weiß nicht, was es darüber zu diskutieren gibt

Ps. Der Thread- Titel lautete übrigens: Updats (!) richtig machen