Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von Animefreak79 » 25.03.2018 21:17:15

Als ich heute seit langem mal wieder Debianthunderbird gestartet habe, stellte ich fest, dass oben im Titel des Fenster in Klammern die Worte als Systemverwalter geschrieben standen. Was mich doch sehr verwundert hat, ich arbeite schließlich nicht als root. Also habe ich mir einfach mal den Prozess angeschaut. Das Ergebnis:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep thunderbird
shinji    2619  0.0  0.0  12784   948 pts/1    S+   21:08   0:00 grep thunderbird
shinji@nerv-kommandozentrale:~$
Läuft also offensichtlich doch nicht mit Rootrechten, wieso steht dort aber dann aber geschrieben, das Programm würde als Systemverwalter ausgeführt? Einer Eingebung zufolge probierte ich mal:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep X
root      1383  1.8  0.9 532060 75860 tty7     Ssl+ 20:56   0:15 /usr/lib/xorg/Xorg :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
shinji    2636  0.0  0.0  12784   948 pts/2    S+   21:10   0:00 grep X
shinji@nerv-kommandozentrale:~$
Hö? Jetzt bin ich verwirrt. Benötigt X nicht seit Debian 9 keine Rootrechte mehr? Ich bin mir sicher, dass dem so ist, und das X bisher bei mir unter Stretch bislang auch nie als root ausgeführt wurde, sondern mit meinem normalen Benutzeraccount. Oder... Bin ich einfach nur paranoid?
~ Never change a flying system ~

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von RobertDebiannutzer » 25.03.2018 23:09:12

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 21:17:15
Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?
Üblicherweise: Nö.
Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 21:17:15
Ich bin mir sicher, dass dem so ist, und das X bisher bei mir unter Stretch bislang auch nie als root ausgeführt wurde, sondern mit meinem normalen Benutzeraccount.
Was hast Du denn geändert?

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von Animefreak79 » 25.03.2018 23:41:51

RoberDebiannutzer hat geschrieben:Was hast Du denn geändert?
Eigentlich nichts, dass ist ja gerade das, was mir so ein Kopfzerbrechen bereitet. Ich benutze nach wie vor Debianlightdm als Loginmanager, hatte schon den Verdacht, dass es irgendetwas damit zu tun hat. Und dann: https://www.debian.org/releases/stable/ ... uires-root Hier steht, dass X nur dann nicht als root läuft, wenn man Debiangdm3 als Loginmanager verwendet. Bin gerade am überlegen, ob ich mir stattdessen mal Debiangdm3 installieren soll, aber eigentlich möchte ich das nicht, weil ich das schlichte Design von Debianlightdm mag. Ich hab schon Debianchkrootkit und Debianrkhunter laufen lassen, aber damit wurde natürlich nichts gefunden. Das einzige, was ich zuletzt geändert habe, war, dass ich mein Netzwerk anstatt mit DebianNetworkManager klassisch über /etc/network/interfaces verwalte, aber daran kann das kaum liegen, oder?
~ Never change a flying system ~

RobertDebiannutzer
Beiträge: 385
Registriert: 16.06.2017 09:52:36

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von RobertDebiannutzer » 25.03.2018 23:54:38

Hast Du vielleicht Debianlibpam-systemd deinstalliert?

Allerdings hätte es laut Deinem Link mit lightdm eh nie funktioniert. Bist Du Dir sicher, dass X bei Dir mit lightdm schon rootless gelaufen ist?
Um zu testen, ob ein anderes Problem vorliegt, kannst Du ja statt gdm3 auch

Code: Alles auswählen

startx
in tty probieren. Das funktioniert auch rootless (steht auch in Deinem Link).

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von Animefreak79 » 26.03.2018 00:12:22

Ja, Debianlibpam-systemd ist auf meinem System definitiv installiert. Und... Jetzt bin ich mir ehrlich gesgat nicht einmal mehr hundertptrozentig sicher, ob ich mich nicht doch irre. Denn lightdm ist definitiv nicht gdm3... Um das wirklich auszurpobieren, müsste ich mir wohl tatsächlich Debiangdm3 installieren, was ich aber nicht wirklich möchte, ich bin mir auch sicher, dass dann noch ziemlich viel anderer Kram mitinstalliert wird, da auf meinem System ja XFCE und MATE laufen. Debiangdm3 nutzt doch, wenn ich mich nicht sehr irre, GTK3, wohingegen XFCE und MATE (glaube ich) in erster Linie auf GTK2 basieren.
Auch

Code: Alles auswählen

startx
funktioniert leider nicht ohne root, die Ausgabe von ps sieht (leider) genauso aus, obwohl ich den PC komplett neugestartet habe und mich vorher auch nicht über den Loginmanager angemeldet habe.

/EDIT: Ich habe mal probehalber den Displaymanger komplett entfernt, und dann

Code: Alles auswählen

startx
ausprobiert... In diesem Fall läuft X NICHT mit Rootrechten. Jetzt hab ich mir erstaml wieder Debianlightdm installiert.
~ Never change a flying system ~

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von KP97 » 26.03.2018 13:12:54

Wenn Du alleine Deinen Rechner benutzt, brauchst Du überhaupt keinen Displaymanager, ist nur überflüssiger Kram.
Anweisungen zum Systemstart ohne gibt es einige, ich habe hier in der Vergangenheit auch schon was geschrieben.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von Animefreak79 » 26.03.2018 20:05:09

KP97 hat geschrieben:Wenn Du alleine Deinen Rechner benutzt, brauchst Du überhaupt keinen Displaymanager, ist nur überflüssiger Kram.
Anweisungen zum Systemstart ohne gibt es einige, ich habe hier in der Vergangenheit auch schon was geschrieben.
Die Idee gefällt mir. Zumal damit das Problem von wegen X mit Rootrechten gelöst ist. Also habe ich kurzerhand Debianlightdm komplett entfernt, lande also beim Start meines Systems jetzt auf tty1. (Außerdem hatte ich irgendwie mal wieder Lust auf KDE verspürt, hab es mir also in der minimalsten Auswahl zusätzlich noch aufgespielt, und bin gerade angenehm überrascht, wie flott diese Arbeitsumgebung doch unter Debian zu Werke geht). Ich hab mir die Sache ganz einfach gemacht. In meiner .bashrc steht jetzt am Ende noch

Code: Alles auswählen

alias mate='startx /usr/bin/mate-session'
alias kde='startx /usr/bin/startkde'
Das spart zumindest mal Tipparbeit. Ein alleiniges startx bringt die Default-Session, also XFCE auf den Schirm. Nun also glücklicherweise

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep X
shinji    1077  0.0  0.0  22312  2508 tty1     S+   19:49   0:00 xinit /usr/bin/mate-session -- /etc/X11/xinit/xserverrc :0 vt1 -keeptty -auth /tmp/serverauth.QdTY3umCaF
shinji    1078  1.1  0.9 521876 74140 tty1     Sl   19:49   0:09 /usr/lib/xorg/Xorg -nolisten tcp :0 vt1 -keeptty -auth /tmp/serverauth.QdTY3umCaF
shinji    1793  0.0  0.0  12784   944 pts/0    S+   20:03   0:00 grep X
shinji@nerv-kommandozentrale:~$
So wünsche ich mir das.^^
~ Never change a flying system ~

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von Animefreak79 » 18.07.2018 22:15:51

Ich starte X jetzt also immer nach dem Hochfahren manuell von der Konsole aus, ohne Login-Manager. Alles ganz gut soweit, demzufolge läuft X also auch mit normalen Benutzerrechten. Trotzdem steht sowohl bei Debianthunderbird als auch bei Debianfirefox-esr im Fenstertitel nach wie vor als Systemverwalter obwohl ich ja nun nicht als root unterwegs bin und natürlich auch die Mozilla-Programme nicht mit Rootrechten oder mittels Debianpolicykit ausführe, weil dies ja null Sinn macht. Der Prozess:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep thunderbird
shinji    1959  0.0  0.0  18376  2496 tty1     S    22:10   0:00 firejail /usr/bin/thunderbird
shinji    1962  0.3  0.0  18384  2356 tty1     S    22:10   0:00 firejail /usr/bin/thunderbird
shinji    1971 44.4  3.3 2009448 268484 tty1   Sl   22:10   0:05 /usr/lib/thunderbird/thunderbird
shinji    2083  0.0  0.0  12784   972 pts/0    S+   22:10   0:00 grep thunderbird
shinji@nerv-kommandozentrale:~$
Wieso steht dann aber im Fenstertitel neben dem Programmnamen noch in Klammern gesetzt als Systemverwalter? Komisch... Als Browser nutze ich den Firefox zwar nur selten, aber trotzdem...
~ Never change a flying system ~

guennid

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von guennid » 19.07.2018 08:21:54

KP97 hat geschrieben:Wenn Du alleine Deinen Rechner benutzt, brauchst Du überhaupt keinen Displaymanager, ist nur überflüssiger Kram.
Na ja, vielleicht nicht ganz: Gibt hier ja Leute die 8-24000 GUIS simultan nutzen - nutzen? :mrgreen:

Aber ob lightdm das kann, weiss ich nicht, ich mach's ja schließlich so wie du. :wink:

Grüße, Günther

Benutzeravatar
detix
Beiträge: 1699
Registriert: 07.02.2007 18:51:28
Wohnort: MK

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von detix » 19.07.2018 10:15:04

Animefreak79 hat geschrieben: ...obwohl ich ja nun nicht als root unterwegs bin und natürlich auch die Mozilla-Programme nicht mit Rootrechten oder mittels Debianpolicykit ausführe...

Code: Alles auswählen

shinji    1959  0.0  0.0  18376  2496 tty1     S    22:10   0:00 firejail /usr/bin/thunderbird
Das Starten mit Debianfirejail?
Gruß an alle Debianer, und immer daran denken:
Macht ohne Haftung funktioniert nicht!

geier22

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von geier22 » 19.07.2018 10:23:11

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 21:17:15
Hö? Jetzt bin ich verwirrt. Benötigt X nicht seit Debian 9 keine Rootrechte mehr? Ich bin mir sicher, dass dem so ist, und das X bisher bei mir unter Stretch bislang auch nie als root ausgeführt wurde, sondern mit meinem normalen Benutzeraccount. Oder... Bin ich einfach nur paranoid?
Ich würde mal sagen, nicht direkt paranoid, sondern eher flüchtig lesend. Aus deinem Link:
2.2.11. Der Xorg-Server erfordert keine root-Rechte mehr
In der Stretch-Version von Xorg ist es möglich, den Xorg-Server als regulärer Benutzer laufen zu lassen (statt wie sonst üblich als root). Dies reduziert das Risiko von Rechteausweitungen aufgrund von Programmfehlern im X-Server. Allerdings müssen einige Voraussetzungen erfülllt werden, damit dies funktioniert:
logind und libpam-systemd werden benötigt.

Das System muss Kernel Mode Setting (KMS) unterstützen. Aufgrunddessen könnte es in einigen Virtualisierungs-Umgebungen (wie z.B. Virtualbox) nicht funktionieren, oder falls der Kernel keinen Treiber für Ihre Grafikkarte enthält.

Der X-Server muss auf der virtuellen Konsole laufen, von der er gestartet wurde.

Nur der Displaymanager gdm3 unterstützt es derzeit in Stretch, X als nicht-privilegierter Benutzer laufen zu lassen. Andere Displaymanager werden X nach wie vor als root laufen lassen. Alternativ dazu können Sie X auch manuell als nicht-root-Benutzer starten, indem Sie in der virtuellen Konsole startx eingeben.

Wenn Xorg als regulärer Benutzer läuft, werden die Logdateien unter ~/.local/share/xorg/ verfügbar sein.
Also alles Sachen, die dein System anscheinend nicht erfüllt.

Wenn man proprietäre Treiber (Nvidia / AMD) installiert hat, dürfte das eh nicht funktionieren.

Normal läuft der X-Server mit root- Rechten auf tty7 , alles andere sind Fake- News :roll:

Code: Alles auswählen

# firefox
Running Firefox as root in a regular user's session is not supported.  ($XDG_RUNTIME_DIR is /run/user/1000 which is owned by hans.)
Wäre ja schon mal interessant, was du da mit deinem System veranstaltet hast, wenn diese Anzeige kommt

Und zum Display- Manager:
Es mag ja höchste Befriedigung hervorrufen, wenn man statt einer schnöden
Eingabe des Pw's zum Starten der Oberfläche auf tty1 herum tippen darf. Bei mir jedenfalls nicht. :oops:
Der X-Server muss auf der virtuellen Konsole laufen, von der er gestartet wurde
Und normalerweise läuft die normale Session doch auf tty7 ? Aber ich bin ja auch kein Konsolen-Ritter :mrgreen:

Edit 1:
Mit installierten Nvidia-Treibern funktioniert das jedenfalls nicht und die NOUVEAU- Treiber sind bei mir nicht stabil: NoPaste-Eintrag40385

Edit 2:

Auch unter Gnome und gdm3 startet X mit Root- Rechten

Code: Alles auswählen

Host: debiangnome Kernel: 4.16.0-2-amd64 x86_64 bits: 64 
  Desktop: Gnome 3.28.2 Distro: Debian GNU/Linux buster/sid 

Code: Alles auswählen

~$ ps aux | grep X
root       882  0.3  0.3 258248 50412 tty2     Sl+  10:51   0:03 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/115/gdm/Xauthority -background none -noreset -keeptty -verbose 3
root      1601  4.0  0.4 312768 78348 tty1     Sl+  10:51   0:43 /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
hans      4877  0.0  0.0  12908  1028 pts/0    S+   11:09   0:00 grep X
Zuletzt geändert von geier22 am 19.07.2018 11:13:17, insgesamt 5-mal geändert.

Benutzeravatar
Animefreak79
Beiträge: 299
Registriert: 25.11.2017 12:29:51
Lizenz eigener Beiträge: GNU General Public License

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von Animefreak79 » 19.07.2018 10:28:50

Mein Xserver läuft mittlerweile ohne Rootrechte, weil ich wie schon gesagt keinen Displaymanager mehr nutze und X manuell starte. Allerdings Frage ich mich nach wie vor, wieso die Mozillaprograme behaupten, sie würden als Systemverwalter ausgeführt, obwohl ich als Standardnutzer arbeite. Ich benutze keinerlei proprietären Treiber, sondern den freien Treiber von AMD. Festgestellt habe ich, dass firefox und Thunderbird als Systemverwalter angezeigt werden unter Mate, unter Xfce und KDE erscheint diese Anzeige im Fenstertitel nicht.

Sry, dass ich hier Grad nicht korrekt zitiere aber bin mit dem Handy in und damit ein Forum zu bedienen ist echt ein Krampf.
detix hat geschrieben:...firejail
Vielen Dank, werde ich ausprobiere, wenn ich zuhause bin... Aber wenn firejail der Grund ist... Läuft die Software nicht wirklich als root, oder?
~ Never change a flying system ~

guennid

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von guennid » 19.07.2018 14:26:38

geier22 hat geschrieben:Es mag ja höchste Befriedigung hervorrufen, wenn man statt einer schnöden
Eingabe des Pw's zum Starten der Oberfläche auf tty1 herum tippen darf. Bei mir jedenfalls nicht. :oops:
Es mag ja höchste Befriedigung hervorrufen, wenn man eine schnöde PW-Eingabe vor bunten Bildchen herum tippen darf. Bei mir jedenfalls nicht. :oops: :mrgreen:

Grüße, Günther

geier22

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von geier22 » 19.07.2018 14:41:42

@guennid
Na gut - geb ja zu - ich bin ein GUI-Freak :mrgreen:
Aber was ist den von Gnome mit Wayland zu halten? Da hätte doch Animefreak79 keine Bauchschmerzen mehr?

Wissen würde ich aber gerne was Debian-+ bedeutet / ist

Wissen würde ich auch mal gerne - außer der theoretischen Betrachtung - ob bei Privatnutzern Angriffe dieser Art
via unsicherem X-Server - irgendwo / irgendwann dokumentiert sind ????

Code: Alles auswählen

$ ps -aux |grep wayland
Debian-+   606  0.0  0.1 189080  5352 tty1     Ssl+ 12:33   0:00 /usr/lib/gdm3/gdm-wayland-session gnome-session --autostart /usr/share/gdm/greeter/autostart
Debian-+   638  0.0  0.8 224448 33944 tty1     Sl+  12:33   0:00 /usr/bin/Xwayland :1024 -rootless -noreset -listen 4 -listen 5 -displayfd 6
hans      9676  0.0  0.1 189080  5260 tty2     Ssl+ 14:30   0:00 /usr/lib/gdm3/gdm-wayland-session gnome-session
hans      9722  0.1  0.8 225316 34320 tty2     Sl+  14:30   0:00 /usr/bin/Xwayland :0 -rootless -noreset -listen 4 -listen 5 -displayfd 6
hans      9916  0.0  0.0  12784   948 pts/0    S+   14:31   0:00 grep wayland
Edit:

Da ja wohl grundsätzlich die Möglichkeit besteht, X ohne Root- Rechte laufen zu lassen frage ich mich, warum das bei Debian nicht umgesetzt wird (weder in Stretch noch in Buster noch in Siduction) . Es wird ja wohl seine Gründe haben.
Ich jedenfalls will mir mein Produktivsystem deshalb nicht vergurken, wenngleich man es durch die Reinstallation eines
GUI-Monsters :wink: :mrgreen: ja wohl wieder reparieren könnte.

halo44
Beiträge: 703
Registriert: 12.05.2015 15:19:13

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von halo44 » 19.07.2018 15:30:20

geier22 hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 14:41:42
... Wissen würde ich aber gerne was Debian-+ bedeutet / ist ...
Es werden nur bis 7 Zeichen dargestellt, d.h. hinter Debian- folgen weitere Zeichen. Beispiel: User Guenther wird dargestellt als Guenthe+

Gruss H.

geier22

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von geier22 » 19.07.2018 16:02:05

Debian-+ = Debian-gdm
Aha - Neuer User (oder Gnome spezifisch) bisher kannte ich nur Debian-exim (bin Gnome-Frischling)

Die Erklärung hab ich im Forum gefunden:
viewtopic.php?f=12&t=147053
Aber ist das nun sicherer als root (welche Rechte sind den da vorhanden)?

guennid

Re: Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Beitrag von guennid » 19.07.2018 16:23:47

geier22 hat geschrieben:Na gut - geb ja zu - ich bin ein GUI-Freak :mrgreen:
Das sei dir auch gegönnt! Ich wollte mit KP97 nur darauf hinweisen, dass man es beim Einzelplatzsystem zumeist nicht wirklich benötigt.

Die Frage ist doch auch, warum nach ca. 20 Jahren so'n bohai um rootless X, wenn doch sowieso alle auf wayland warten. Und in diesem Fall offenbar alle ohne Bauchschmerzen.

Grüße, Günther

Antworten