Sudo-Probleme

[marind]

Hallihallo,

komischerweise auf zwei Rechnern mit frisch installiertem Buster begegnen mir Probleme mit kde su.

Möchte ich bspw. mit der KDE-Partitonsverwaltung arbeiten, kann ich mich ganz normal als User mit dem Sudo Passwort einloggen, erhalte dann aber im Arbeitsprozess die Meldung

.

Gleiches passiert mir bei Synaptic.
Ich bin aber als User in der sudo-Gruppe gelistet:

Code: Alles auswählen

martin@Z390M:~$ groups
martin cdrom floppy sudo audio dip video plugdev kvm netdev bluetooth lpadmin 
martin@Z390M:~$ 

Bei der Installation folgte ich den Empfehlungen, einen admin-Account und einen User-Account mit zwei verschiedenen Passwörtern einzurichten.

Hab' ich mir da 'was zerschossen? Und wenn ja, was?

Gruß
Marind

[willy4711]

Hallihallo,
Möchte ich bspw. mit der KDE-Partitonsverwaltung arbeiten, kann ich mich ganz normal als User mit dem Sudo Passwort einloggen, erhalte dann aber im Arbeitsprozess die Meldung....

Gleiches passiert mir bei Synaptic.
I

die KDE Partitionsverwaltung ist ein Teil für den Mülleimer. Benutze gparted
Viele Programme werden seit einiger Zeit über das PolicyKit gesteuert, um Rootrechte zu erlangen.

Sudo ist dafür nicht mehr nötig, wenn nicht sogar obsolet.

Die Policies für die Programme findest du in
/usr/share/polkit-1/actions/
Leider ist das - wie so vieles sehr schlampig gemacht. Mal hat einen Anwendung eine Policy, mal nicht.

Synaptic startest du z.B. mit synaptic-pkexec .
Warum der Standard pkexec synaptic in kde nicht funktioniert in Xfce sehr wohl bleibt ein Geheimnis der Entwickler.

gparted startet man in KDE ohne pkexec und wird dann nach dem Root-PW gefragt.
in Xfce mit pkexec gparted.

Alles nicht gerade konsistent.
Literatur darüber zum Einlesen:
https://www.freedesktop.org/software/po ... kit.8.html

Man kann sich auch eigene Policies erstellen. Aber ich stehe mit KDE inzwischen auf Kriegsfuß, und habe keine Lust,
mich da in die W(Irrnis) tiefer einzuarbeiten.
In Xfce, meinem Produktivsystem ist sudo gksu und was es da sonst noch so gibt sein fast 2 Jahren gepurgt.

Deshalb halt nur ein mehr oder weniger oberflächlicher Tipp, wie du dich orientieren kannst.

Du könntest mal nachsehen,ob das bei dir alles vorhanden ist (KDE Installation):

Code: Alles auswählen

dpkg -l *pol* |grep ii
ii  gir1.2-polkit-1.0            0.105-25     amd64        GObject introspection data for PolicyKit
ii  libpolkit-agent-1-0:amd64    0.105-25     amd64        PolicyKit Authentication Agent API
ii  libpolkit-backend-1-0:amd64  0.105-25     amd64        PolicyKit backend API
ii  libpolkit-gobject-1-0:amd64  0.105-25     amd64        PolicyKit Authorization API
ii  libpolkit-qt-1-1:amd64       0.112.0-6    amd64        PolicyKit-qt-1 library
ii  libpolkit-qt5-1-1:amd64      0.112.0-6    amd64        PolicyKit-qt5-1 library
ii  libsepol1:amd64              2.8-1        amd64        SELinux library for manipulating binary security policies
ii  policykit-1                  0.105-25     amd64        framework for managing administrative policies and privileges
ii  policykit-1-gnome            0.105-7      amd64        authentication agent for PolicyKit
ii  polkit-kde-1                 4:5.14.5-1   all          transitional dummy package
ii  polkit-kde-agent-1           4:5.14.5-1   amd64        KDE dialogs for PolicyKit

[prox]

@marind,

auf meinen beiden Rechnern ist zur Zeit auch Debian Buster mit KDE installiert. Ich habe noch mal das Ausführen von synaptic und spaßenshalber GParted in einer meiner Installationen von Debian Buster unter KDE ausprobiert - funktioniert: Ich gebe dabei nach dem Start dieser beiden Programme jeweils mein root-Passwort ein, danach erscheint die Benutzeroberfläche des jeweiligen Programms ohne eine Fehlermeldung

Welche iso-Datei hast Du verwendet, um davon das Installationsmedium für Debian Buster zu erstellen? Schaue hierzu in die Datei README.txt im obersten Verzeichnis Deines Installationsmediums. In meiner README.txt steht:

Code: Alles auswählen

Debian GNU/Linux 10.0.0 "Buster" - Official amd64 NETINST
                               20190706-10:23

Meine Debian-Buster-mit-KDE-Installationen beruhen auf dieser Version und Variante der iso-Dateien für Debian Buster.

Gruß,

prox

[uname]

@marind bzgl. sudo:
Auch wenn wie oben geschrieben sudo eigentlich nicht verwendet wird, wird der Fehler wahrscheinlich in /etc/sudoers liegen, die du als root mit visudo editieren musst. Es bringt nämlich gar nichts, wenn man in der Gruppe sudo bzw. %sudo ist und die Gruppe über /etc/sudoers keine oder die falsche Berechtigung hat. Poste evtl. interessante Inhalte aus /etc/sudoers .

[willy4711]

Zumindest bei synaptic ist das Root-PW durch die Policy zwingend erforderlich.
Man kann dies natürlich innerhalb der Policy ändern.
/usr/share/polkit-1/actions/com.ubuntu.pkexec.synaptic.policy schreibt:

Code: Alles auswählen

[.......]
<defaults>
      <allow_any>auth_admin</allow_any>
      <allow_inactive>auth_admin</allow_inactive>
      <allow_active>auth_admin</allow_active>
    </defaults>
    <annotate key="org.freedesktop.policykit.exec.path">/usr/sbin/synaptic</annotate>
    <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>

Ich kann mir nicht vorstellen, dass man das mit irgendwelchem Sudo- Gedöns umgehen kann.

[willy4711]

Habe gerade mal einen Test gemacht :
Gparted wird bei mir (ist so vorgegeben) mit dem Befehl

Code: Alles auswählen

/usr/sbin/gparted %f

gestartet.
Danach kommt die Abfrage des Root- PW.
Wenn ich nun die Policy /usr/share/polkit-1/actions/org.gnome.gparted.policy ändere
von

Code: Alles auswählen

<allow_active>auth_admin</allow_active>

in

Code: Alles auswählen

<allow_active>yes</allow_active>

ist es im Anschluss egal, wie ich Gpartd starte
gparted oder pkexec gparted

Aber der ursprüngliche Startbefehl funktioniert nicht mehr. /usr/sbin/gparted %f
ImTerminal sieht das dann so aus:

Code: Alles auswählen

willy@debianxfce:~$ gparted
localuser:root being added to access control list
======================
libparted : 3.2
======================
localuser:root being removed from access control list
willy@debianxfce:~$ pkexec gparted
======================
libparted : 3.2
======================
willy@debianxfce:~$ /usr/sbin/gparted %f
localuser:root being added to access control list
======================
libparted : 3.2
======================
Could not stat device %f - Datei oder Verzeichnis nicht gefunden.
localuser:root being removed from access control list

Mal wieder ein Beispiel für Inkonsistenz: Die Policy existiert (Ich hab sie nicht da eingefügt). Ǵestartet wird aber über einen Befehl,
der mit der Policy nicht richtig funktioniert. In der Vergangenheit kam beim Starten von Gparted aus dem Anwendungsmenü aus irgend welchen Gründen ( %f ??) -auch die Nachfrage nach dem Einhängen von Irgendwelchen nicht gemounteten Laufwerken, wo ich dann das Root- PW eingeben sollte. Hab den Startbefehl für Gparted jetzt geändert und die Policy wieder in den "Normalzustand" versetzt : pkexec gparted.

[halo44]

@marind

Bist Du Mitglied der Gruppe adm?

Code: Alles auswählen

adduser Benutzername adm

als root ausführen.

Gruss H.

[willy4711]

Bist Du Mitglied der Gruppe adm?

Das hat damit nichts zu tun.

als root ausführen.

Das geht aus dem Terminal heraus, ist ja wohl nicht Sinn der Sache.

Terminal als User (die Fenster mit der PW_ Abfrage kommen in einer unendlich--Schleife)

Code: Alles auswählen

partitionmanager
Executing:  "/usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu" "-c KDE_FULL_SESSION=true XDG_RUNTIME_DIR=/run/user/1000 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus partitionmanager --dontsu"
org.kde.kdesu: Daemon not safe (not sgid), not using it.

sh: 1: dmidecode: not found
Loaded backend plugin:  "pmlibpartedbackendplugin"
"Using backend plugin: pmlibpartedbackendplugin (1)"
"Scanning devices..."
"LibParted Exception: Error opening /dev/sda: Keine Berechtigung"
"Could not access device „/dev/sda“"
"Scan finished."

Als root ausgeführt , kommt dann die Meldung dass er die Parttion nicht lesen kann, und ich util-linux sowie e2fsprogs installieren soll
Die sind natürlich per default installiert.

Code: Alles auswählen

root@debian:/home/willy# partitionmanager
QStandardPaths: wrong ownership on runtime directory /run/user/1000, 1000 instead of 0
QStandardPaths: wrong ownership on runtime directory /run/user/1000, 1000 instead of 0
sh: 1: dmidecode: not found
Loaded backend plugin:  "pmlibpartedbackendplugin"
"Using backend plugin: pmlibpartedbackendplugin (1)"
"Scanning devices..."
getting smart status failed for  "/dev/sda" :  Die Operation wird nicht unterstützt
blkid: unknown file system type  ""  on  "/dev/sda2"
"Device found: ATA VBOX HARDDISK"
"Partition „/dev/sda2“ is not properly aligned (first sector: 58722302, modulo: 2046)."
"Scan finished."
"Tag 'table' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'tr' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'tr' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'tr' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."
"Tag 'td' is not defined in message {<__kuit_internal_top__><para>No support tools were found for file systems curren...}."

Fazit: Purgen und gparted installieren ist die Lösung der Wahl

[KP97]

Ich vergrößere das Wirrwarr noch etwas:
Wenn KDE mit Wayland läuft, können keine grafischen Programme als root gestartet werden. Das wurde bei Wayland explizit ausgeschaltet.
Wenn man das trotzdem will, muß man Hand anlegen. Das hatte hier im Forum @MartinV mal beschrieben.
@Willy
Xfce hat noch kein Wayland (und hoffentlich kommt das auch nicht so schnell), daher funktioniert das alles so wie von Dir beschrieben.

[halo44]

Bist Du Mitglied der Gruppe adm?

Das hat damit nichts zu tun.

als root ausführen.

Das geht aus dem Terminal heraus, ist ja wohl nicht Sinn der Sache ...

marind zeigt in seinem Eröffnungspost, daß er keine Systemverwalterrechte hat. Wird er Mitglied der Gruppe adm, kann er Anwendungen ausführen, indem er sich mit seinem Benutzerpasswort ausweist. Als Nichtmitglied muß er das root-Passwort eingeben.

Mein Hinweis auf die Ausführung als root bezog sich auf den Befehl adduser und nicht auf die Ausführung der GUIs gparted und synaptic.

Gruss H.

[TomL]

marind zeigt in seinem Eröffnungspost, daß er keine Systemverwalterrechte hat.

Das ist im Regelfall bei Debian so eingerichtet, wenn man im Installer ein root-Password vergibt... und das in der Folge so beizubehalten, wie Debian das vorschlägt, ist imho eine richtig gute Entscheidung.

Wird er Mitglied der Gruppe adm, kann er Anwendungen ausführen, indem er sich mit seinem Benutzerpasswort ausweist.

Man muss sich darüber im Klaren sein, dass das ein Sicherheitsrisiko ist und in Abhängigkeit vom eigenen Benutzungs- und Surfverhalten gibt man u. U. damit die Kontrolle über die Sicherheit seines PCs faktisch aus der Hand.

Als Nichtmitglied muß er das root-Passwort eingeben.

Ja, das ist der Debian-Default-Weg und ich würde dieser Empfehlung folgen. Sofern "sudo" überhaupt installiert ist, ist beim mir "apt remove sudo" immer der erste Befehl auf dem installierten System. Es gibt imho auch nichts überflüssigeres als kde-su..... Willy hat imho 'ne gute Lösung beschrieben.

Jm2c

[willy4711]

Wird er Mitglied der Gruppe adm, kann er Anwendungen ausführen, indem er sich mit seinem Benutzerpasswort ausweist. Als Nichtmitglied muß er das root-Passwort eingeben

Das ist total falsch !
Die Gruppe adm hat folgende Rechte (https://wiki.debian.org/SystemGroups)

adm: Group adm is used for system monitoring tasks. Members of this group can read many log files in /var/log, and can use xconsole. Historically, /var/log was /usr/adm (and later /var/adm), thus the name of the group.

Auf keinen Fall kannst du mit dieser Gruppenzugehörigkeit Anwendungen, die Root- Rechte verlangen ausführen.

marind zeigt in seinem Eröffnungspost, daß er keine Systemverwalterrechte hat.

Nee er zeigt, dass das Programm partitionmanager eine Macke hat wie so vieles in KDE. Wie schon gesagt, starten kannst du es nur über die Konsole als Root.

[halo44]

Wird er Mitglied der Gruppe adm, kann er Anwendungen ausführen, indem er sich mit seinem Benutzerpasswort ausweist. Als Nichtmitglied muß er das root-Passwort eingeben

Das ist total falsch ...

Warum kann ich dann Dateien wie fstab, grub.cfg, Konfigurationsdateien in /etc usw. editieren, verändern und schreiben, wenn dazu mein Benutzerpasswort verlangt wird? Bin ich nicht Mitglied der Gruppe adm, wird das root-Passwort hierfür von mir verlangt. Zumindest das "total" hättest Du Dir schenken können!

Gparted und Synaptic nutze ich ohne Passworteingabe, weil ich mir dies über PolicyKit eingerichtet habe.

Gruss H.

[willy4711]

Warum kann ich dann Dateien wie fstab, grub.cfg, Konfigurationsdateien in /etc usw. editieren, verändern und schreiben, wenn dazu mein Benutzerpasswort verlangt wird?

Kannst du definitiv nicht (Bild). Wahrscheinlich hast du in der /etc/sudoers da was eingestellt.

[halo44]

... Kannst du definitiv nicht (Bild). Wahrscheinlich hast du in der /etc/sudoers da was eingestellt.

Diesen Fehler bekomme ich, wenn ich nicht Mitglied der Gruppe adm bin. Sieht allerdings bei mir anders aus, weil ich mit Kwrite und nicht nano editiere.

In der /etc/sudoers habe ich nur verschiedene Skripte eingestellt, die ich mit sudo ohne Passworteingabe nutzen will, z.B.

halo44 ALL = NOPASSWD: /Daten-1/Skripte/rechner-r-sichern.sh, /Daten-1/Skripte/rechner-r-laden.sh, \

Gruss H.

[willy4711]

Ich bin Mitglied von adm.
Keine Ahnung, was da bei dir verbogen ist.
Vom logischen und aus Sicherheitssicht fände ich das auch extrem gefährlich, da so Root praktisch ausgehebelt ist, da
adm dann das System nach belieben zerschießen kann. ---> Root wird dann nicht mehr gebraucht ????

Den Fehler bekomme ich mit jedem beliebigen Editor, es sei denn, ich starte den explizit über eine Policy mit pkexec.
Wenn da nicht so wäre, wäre Debian einen höchst unsichere Sache.
Bei dir hat ein ungebetener Besucher praktisch Root- Rechte.
Und ich bin mir sehr sicher, dass die Gruppe adm damit nichts zu tun hat.

Edit:

Sieh dir den Beitrag unter diesem von marind an. Da ist die Lösung, wenn man mit sudo arbeitet, und nicht in der Gruppe adm.

[marind]

Vielen Dank für Eure zahlreichen bedenkenswerten Tipps!

@willy4711 & TomL: KDE Partitionsverwaltung is wech - gparted installiert

@prox: Ich hatte die erste DVD genommen, bei mir steht deshalb:

Debian GNU/Linux 10.0.0 "Buster" - Official amd64 DVD Binary-1
20190706-10:24

@uname: Voilà

Code: Alles auswählen

Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults        !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Beste Grüße
Marind

[halo44]

... Den Fehler bekomme ich mit jedem beliebigen Editor, ...

Mit meinem Hinweis, daß ich Kwrite zum editieren nehme, wollte ich nur erklären warum meine Fehlermeldung anders aussieht:

Es sollte nicht heißen, daß Kwrite das Mittel der Wahl ist.

... Und ich bin mir sehr sicher, dass die Gruppe adm damit nichts zu tun hat.

Wo Du recht hast, hast Du recht. Ich habe meinen Nutzer mal aus der adm Gruppe entfernt. Danach konnte ich immer noch mit meinem Nutzerpasswort editieren. Die Gruppe adm ist also tatsächlich nicht der Grund, warum ich das darf.

Danach habe ich den Nutzer aus der Gruppe sudo entfernt. Jetzt wird von mir das root-Passwort verlangt. Also ermöglicht mir die Mitgliedschaft in der Gruppe sudo die Rechte mit meinem Userpassword auszuüben. Klar das System verknüpft mit meiner Mitgliedschaft in sudo, wie ich mich ausweisen kann.

Friede

Gruss H.

[willy4711]

Jo Friede.War denn Krieg ?:mrgreen:

Was bei mir aber die Frage aufwirft , welche Berechtigungen denn nun tatsächlich durch die Gruppe adm vergeben werden.
ich kann z.B. systemctl (angehängte Optionen) ohne PW als user ausführen.
Für Journalctl bin ich in der Gruppe systemd-journal damit ich im Terminal und in gnome-logs ohne PW-Eingabe auskomme.
Ich werde mal, wenn ich Zeit und vor allem Lust habe; etwas rum testen und berichten.

Ergänzung:
Ich habe mir in Xfce für nano, mousepad und tilx eigene Policies erstellt.
Sehr praktisch. Kann so über Thunar - Benutzerdefinierte Aktionen- diese Programm direkt als Root aufrufen
und Dateien bearbeiten. PW habe ich aber gelassen, weil ich der Meinung bin, dass das herumfummeln
in Systemdateien nicht "aus Versehen" passieren sollte. Das PW ist da immer noch ein Mahnung: Achtung ! Aufpassen.

[prox]

@willy4711 & TomL: KDE Partitionsverwaltung is wech - gparted installiert

Ich habe mal die KDE-Partitionsverwaltung (Paket "partitionmanager") unter Debian Buster installiert und versucht, mich an der KDE-Partitionsverwaltung anzumelden. Nach Eingabe des root-Passworts friert die Anmeldemaske ein. Nach einer Weile erscheint ein Fenster, in dem in der Überschrift steht "Die Anwendung kdesu reagiert nicht." Klicke ich auf den Button "Programm kdesu beenden", erscheint das Fenster, das der Threadersteller in seinem Erstpost hier eingestellt hat.

Habe anschließend /var/log/* nach dem Begriff "kdesu" mittels grep durchsucht. Hierbei fiel mir folgendes Suchergebnis auf:

Code: Alles auswählen

auth.log:Jul 17 16:08:57 punk sudo:     xxx : user NOT in sudoers ; TTY=pts/2 ; PWD=/home/xxx ; USER=root ; COMMAND=/usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu_stub -
auth.log:Jul 17 16:08:57 punk sudo:     xxx : user NOT in sudoers ; TTY=pts/1 ; PWD=/home/xxx ; USER=root ; COMMAND=/usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu_stub - 

"xxx" steht hier für meinen normalen Benutzeraccount. Den habe ich anonymisiert.

Die Datei /etc/sudoers bearbeite ich lieber nicht, da reichen aktuell meine Kenntnisse nicht für aus.

Aber der Threadersteller hat ja jetzt GParted installiert, und an dieses Programm sollte er sich wahrscheinlich erfolgreich anmelden können, weil das ja in meiner Debian-Buster-Installation klappt.

[willy4711]

Ich finde inzwischen das ganze Sudo - Zeugs mehr als verwirrend.
Mag ja sein, dass es in Netzwerk- Umgebungen für das eine oder andere gut ist.
Da gibt es dann noch kdesu, kdesudo gksu gksudo eine /etc/sudoers und was weiß ich nicht noch alles.
Gnome (mit X-server) hat es ja wenigsten etwas auf die Reihe bekommen.
Aber in KDE herrscht das blanke Chaos.

Ich war an sich auch immer ein KDE Fan. Habe es aber jetzt nur noch aus Interesse, und sehe mal ab und zu rein.

Ich bin froh wie sonst was, Xfce ohne sudo nutzen zu können.

Da sind die Regeln klar:

Programm als Root nur über pkexec + Policy. Fertig.
Wenn man unbedingt will, kann man auch sein eigenes PW verlangen - oder gar keines.
Sehr flexibel und genau definiert.

In KDE würde ich aber die Finger davon lassen, da dort einiges "unter der Haube" verbogen wurde.

[prox]

Ich hatte unter Debian Jessie oder der Vorgängerversion davon (beides als stable-Release benutzt) auch enorme kdesu-Probleme, ich glaube, ich musste damals synpatic mittels gtksu starten, nur damit konnte ich synaptic als root in KDE starten. Andere Programme, die root-Rechte brauchten in KDE, konnte ich auch nicht mit kdesu starten.

Stimmt, Willy4711, da ist wohl der Wurm drin, in diesem kdesu/sudo-Zeugs.

[marind]

@prox:
ja, bei mir ist das auch ein paar Mal eingefroren.
@willy4711:
KDE hat für manche Zwecke ein paar nette Schräubchen, an denen sich drehen lässt, beispielsweise für Darstellungsprobleme bei hochauflösenden Displays (und ja, die Beiträge sind schon älter ... )
https://lwn.net/Articles/619784/
https://osbn.de/forum/viewtopic.php?f=15&t=1887
Ich habe ein X1 von Lenovo und nach meinem letzten Stand eignet sich KDE dafür am besten. Aber ich lasse ich gern eines Besseren belehren.
Gruß
Marind