Root-Passwort/sudo

[Chameleon]

Code: Alles auswählen

su
echo $PATH
exit
su -
echo $PATH
exit

sollte es erklären.

Ja, tut es.

Immer wieder spannend, zu sehen, dass es doch ziemliche Unterschiede zwischen den Distris gibt - unter Tumbleweed sieht das so aus

Code: Alles auswählen

leo@localhost:~> su
Passwort: 
localhost:/home/leo # echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

Bei su - hingegen ist die Ausgabe identisch.

Aber mal unabhängig davon, ich verwende eigentlich auch immer su - , allerdings unter Thumbleweed halt auch ganz ab und an halt auch mal nur su.

[thunder11]

Ja, i.e.: ich erkenne keinen Bohai. policykit-1 ist nicht installiert. polkitd gibt's nicht unter chimaera.

Will das jetzt nicht weiter vertiefen.
Mag jeder Sudoern oder nicht - ist mir ziemlich egal.
Aber die Aussage, das Devuan bei einer Standart-Installation (Devuan 5 - Daedalus) das Polkit nicht installiert,
ist schlichtweg falsch:
Was du an deiner Installation herum schraubst, oder nicht, weiß ich natürlich nicht, das ist dann aber höchst individuell.
Ob das nun bei irgendwelchen Uralt- Releases ( ) nicht oder doch der Fall ist, weiß ich nicht- will ich auch nicht wissen.

Code: Alles auswählen

$ dpkg -l *pol*|grep ii
ii  alsa-topology-conf                  1.2.5.1-2    all          ALSA topology configuration files
ii  gir1.2-polkit-1.0                   122-3devuan1 amd64        GObject introspection data for polkit
ii  libatopology2:amd64                 1.2.8-1+b1   amd64        shared library for handling ALSA topology definitions
ii  libpolkit-agent-1-0:amd64           122-3devuan1 amd64        polkit Authentication Agent API
ii  libpolkit-gobject-1-0               122-3devuan1 all          polkit Authorization API
ii  libpolkit-gobject-elogind-1-0:amd64 122-3devuan1 amd64        polkit Authorization API
ii  libsepol2:amd64                     3.4-2.1      amd64        SELinux library for manipulating binary security policies
ii  policykit-1                         122-3devuan1 amd64        transitional package for polkitd and pkexec
ii  policykit-1-gnome                   0.105-8      amd64        authentication agent for PolicyKit
ii  polkitd                             122-3devuan1 amd64        framework for managing administrative policies and privileges
ii  polkitd-pkla                        122-3devuan1 amd64        Legacy "local authority" (.pkla) backend for polkitd
thunder@devuan:~$ uname -a
Linux devuan 6.1.0-11-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.38-4 (2023-08-08) x86_64 GNU/Linux

[tobo]

Muss man in der sudoers noch irgendwas anderes tun, damit nur die dort angegebenen scripte, z.B.:

Code: Alles auswählen

[Benutzer] ALL=(root) NOPASSWD:/usr/local/bin/[script]

vom Benutzer ohne PW als root ausgeführt werden können?

Das ist ok so.
Benutzer bezieht sich auf den Benutzer und %Benutzer würde sich auf die dazugehörige Gruppe (fischig:fischig) beziehen.
ALL erlaubt auf jedem Rechner Zugriff - hier könnte man ALL durch eine kommaseparierte Liste von Hosts ersetzen oder, falls es nur für die vor dir stehende Maschine gelten soll, durch die Ausgabe von `hostname'.

[dasebastian]

Es ist vielleicht ein wenig offtopic, vielleicht auch nicht:

Gerade in Skripten kann ein runuser aus util-linux hin und wieder vielleicht auch praktische Dienste leisten.

[fischig]

ALL erlaubt auf jedem Rechner Zugriff - hier könnte man ALL durch eine kommaseparierte Liste von Hosts ersetzen oder, falls es nur für die vor dir stehende Maschine gelten soll, durch die Ausgabe von `hostname'.

%Benutzer

scheint interessant. bei den ubuntus (s.o.) habe ich nur die Form %users gesehen. Und die wollte ich eigentlich nicht. Nochmals danke!

Aber die Aussage, dass Devuan bei einer Standard-Installation (Devuan 5 - Daedalus) das Polkit nicht installiert,ist schlichtweg falsch

Die Aussage habe ich nicht getroffen.

Ob das nun bei irgendwelchen Uralt- Releases ( ) nicht oder doch der Fall ist,

chimara entspräche oldstable. Alt = uralt. Interessant! Bevor du mit deiner Häme weiter um dich wirfst, könntest du dich vergewissern, inwieweit deine Abneigung anderer Meinungen auch durch Aussagen gedeckt ist. Anmachen kann ich mich selber.

Meiner Erfahrung nach ist es ratsam für mehr oder weniger Nur-User, zu denen ich mich zähle, mit Release-Upgrades abwartend umzugehen, wenn man unangenehme Überraschungen vermeiden will. Hätte ich - auch Wochen nach der Veröffentlichung von daedalus - kein chimaera (vergleichbar oldstable) mehr zur Verfügung gehabt, hätte ich an einer Stelle erst mal ziemlich dumm aus der Wäsche geschaut.

Mag jeder Sudoern oder nicht - ist mir ziemlich egal.

Welches Ziel verfolgst eigentlich mit deiner Beteiligung an diesem Faden?

[TRex]

Zu letzterem:

Mich interessierte mal ein Meinungsbild, wie oft Debian mit oder ohne Root-Passwort installiert wird und warum.

Ich glaub, das hast du so bestellt.

[thunder11]

chimara entspräche oldstable. Alt = uralt. Interessant!

Auch da ist es vollumfänglich vorhanden (Netinstall /XFCE)

Welches Ziel verfolgst eigentlich mit deiner Beteiligung an diesem Faden?

Hier wird immer nur sudo / Root-PW als Alternative diskutiert.
Die meisten wissen gar nicht, wozu das Polikit zu gebrauchen ist, und was es macht.
Ich finde schon, das man das erwähnen muss, bevor man über den Gebrauch von sudo diskutiert,
auch wenn dir das vielleicht nicht passt..
Mit dem Polkit kannst du ziemlich viel ohne sudo und Root-Shell machen. Z.B. gerade auf meinem Rechner:

Code: Alles auswählen

thunder@XFCE:~$ pkexec dmesg --level=err
[    0.094154] x86/cpu: SGX disabled by BIOS.
[    2.327726] hid-generic 0003:0644:8038.0006: No inputs registered, leaving
thunder@XFCE:~$ 

Habe z.B: in der VM nach der Standard - Installation (Devuan chimara) alle folgende Befehle ausgeführt:

Code: Alles auswählen

thunder@devuan:~$ pkexec apt install dkms
thunder@devuan:~$ pkexec sh  /media/cdrom0/VBoxLinuxAdditions.run

Abgefragt wird (natürlich) das Root-PW
auf meinem Rechner funktioniert auch:

Code: Alles auswählen

thunder@XFCE:~$ pkexec apt update && apt full-upgrade

Man kann nicht alles mit pkexec als sudo-Ersatz ausführen.
Schwierigkeiten gibt es z.B. teilweise mit Dateien in /sbin.

EDIT

Was da unter der Haube vom Polkit alles geregelt wird hab ich mal (soweit eine deutsche Beschreibung vorhanden ist) aufgelistet:

Code: Alles auswählen

cat /usr/share/polkit-1/actions/*.* |grep 'description xml:lang="de"' 

---> 41955
für jeder dieser actions gibt es diese Auswahl und das "Feintuning" dazu:
no / yes / auth_self / auth_admin / auth_self_keep / auth_admin_keep

Code: Alles auswählen

<defaults>
      <allow_any>yes</allow_any>
      <allow_inactive>yes</allow_inactive>
      <allow_active>yes</allow_active>
    </defaults>

Wenn man das löscht, wünsche ich viel Spaß mit einem Linux

[Chameleon]

Mich interessierte mal ein Meinungsbild, wie oft Debian mit oder ohne Root-Passwort installiert wird und warum.

mal pauschal geantwortet - ist es nicht so, dass unter "Linux" die Qualität der Sicherheit vom Passwort abhängig ist?

Und ich sag mal so - Debian bietet mir ein extra Passwort für root an - Debian wehrt sich aber nicht dagegen, für root und den User das selbe Passwort zu vergeben.

Das macht vieles einfacher, unterscheidet sich aber trotzdem von der Nutzung von sudo

[fischig]

Stimmt! Und?
edit:
war unfertig.

[tijuca]

Hier wird immer nur sudo / Root-PW als Alternative diskutiert.

So wie manche nicht wissen wozu sudo so gedacht ist bzw. was man damit machen kann.
Hoffentlich habe ich noch genug Chips vorrätig!

[fischig]

Mich interessierte mal ein Meinungsbild, wie oft Debian mit oder ohne Root-Passwort installiert wird und warum.

Ich glaub, das hast du so bestellt.

Stimmt! Warum du jetzt daran erinnerst, erschließt sich mir nicht so recht. Der Smalltalk-Thread hat nach zweimonatiger Pause ohne mein Zutun eine andere Richtung eingeschlagen. Er wurde am 3.9. aufgewärmt von caue.

[tobo]

auf meinem Rechner funktioniert auch:

Code: Alles auswählen

thunder@XFCE:~$ pkexec apt update && apt full-upgrade

Siehe

[Chameleon]

war unfertig.

versteh ich nicht - wenn du dich mit mir austauschen möchtest, dann musst du dich schon auch verständlich ausdrücken.

[fischig]

@Chameleon
Jetzt verständlicher?

[Chameleon]

nöö

[TRex]

Mich interessierte mal ein Meinungsbild, wie oft Debian mit oder ohne Root-Passwort installiert wird und warum.

Ich glaub, das hast du so bestellt.

Stimmt! Warum du jetzt daran erinnerst, erschließt sich mir nicht so recht. Der Smalltalk-Thread hat nach zweimonatiger Pause ohne mein Zutun eine andere Richtung eingeschlagen. Er wurde am 3.9. aufgewärmt von caue.

Weil du jemanden gefragt hast, was er hier denn mache... und wie ich schon in meinem ersten Beitrag von vor zwei Monaten zum Besten gab: hier gibts vermutlich früher oder später Popcorn - weil das Thema quasi danach schreit, zerlegt, verdiskutiert und verheult zu werden. Wildes Aufstapfen mit den Füßen, "ich will aber kein sudo benutzen!", Zurechtrücken der Brille hinter der Zeitung, "früher haben wir das ohne sudo gemacht", und mir fällt keine Persona ein für "wen interessiert schon sudo, wenn es polkit gibt". All das haben wir schon mehr als einmal gehört.

Ich will damit nicht sagen, dass du dir "alles gefallen lassen" musst, aber du bist ja auch schon lange genug dabei um zu ahnen, wo so ein Thread hinführt, der mit einer ganz klar nicht beendbaren Fragestellung anfängt, über ein so emotional diskutiertes Thema, wo jeder was beizutragen hat.

[thunder11]

thunder11 hat geschrieben: ↑ zum Beitrag ↑
05.09.2023 19:03:29
auf meinem Rechner funktioniert auch:

Code: Alles auswählen

 thunder@XFCE:~$ pkexec apt update && apt full-upgrade

Siehe

Hast Recht. Richtig wäre also:

Code: Alles auswählen

pkexec apt update && pkexec apt full-upgrade

Ich hatte das ganz vergessen, da ich für mein Update-Skript ein Policy habe wo sich das
2. Mal PW erledigt (wäre auch ohne PW möglich.) .

[fischig]

Ich hatte eingangs gar keine Frage, sondern um begründete Meinungen gebeten, warum in letzter Zeit vor's „apt get“ häufig ein sudo gesetzt wird, deswegen auch Smalltalk. Dass das so ist, halte ich für ein Faktum und mich interessiert nicht, ob das abartig ist, wenngleich ich's dafür halte, sondern, welche Gründe ein Unbeteiligter dafür sieht, dass das so ist (dass vor jedes apt-get ein sudo gesetzt wird) oder welche ein Beteiligter dafür hat, es zu tun. Ein paar habe ich auch erhalten und damit war das Thema für mich auch erledigt. Nichtsdestoweniger habe ich gerade als Nur-User und Benutzer von sudo jenseits von apt-get noch ein paar sachliche Fragen zum sinnvollen Gebrauch, weil ich auch nach der Einsicht in die manpage immer noch nicht einigermaßen hineichend weiß,

wozu sudo so gedacht ist bzw. was man damit machen kann.

Auch dazu habe ich zuletzt von tobo mir nützlich erscheinende Hinweise bekommen.

hier gibts vermutlich früher oder später Popcorn - weil das Thema quasi danach schreit, zerlegt, verdiskutiert und verheult zu werden.

Damit machst du sudo zum Tabu, über das man sich nicht mehr sachlich austauschen darf, jedenfalls nicht als einfacher Benutzer.

Okay: pkexec- und polkit-Bohai hätte ich mir sparen können, dachte aber nicht, das schon dieses Maß an Ironie so unstatthaft sei, dass ich mich deswegen mit Anwürfen wegen Rumschrauberei, Benutzung von Uralt-Versionen und Nichtbenutzung von polkitd herumschlagen muss.

[TRex]

Damit machst du sudo zum Tabu, über das man sich nicht mehr sachlich austauschen darf, jedenfalls nicht als einfacher Benutzer.

Das mit dem "einfachen Benutzer" bringst du recht häufig an. Mir ist aber nicht klar, was die Abgrenzung bedeuten soll. Ich möchte nämlich widersprechen, was das Tabu betrifft.

Einsteiger und "ganz einfache Nutzer" bis hin zu fortgeschrittenen werden beispielsweise folgende Fragen haben und sie als Threads formulieren:

• Wann brauche ich sudo?
• Wie aktiviere ich sudo für meinen Account?
• Wie richte ich sudo passwortlos für meinen Account ein?
• Wie benutze ich sudo in cron ohne Passwort?

Die Liste ist ja lang... aber die haben alle eine Antwort, selbst die erste (und die hat immerhin noch Potential für unnötige Antworten wie "gar nicht"), nach der der TE ein "[gelöst]" setzen kann. Das fehlt diesem Thread, und darauf bezog sich das Popcorn (insbesondere im Zusammenhang mit anderen nicht-Tabu-Themen wie Editoren, systemd und der richtigen Art, einzurücken).

[rjh]

Für sudo habe ich persönlich noch keinen sinnvollen Anwendungsfall gesehen.

Muss mich tatsächlich selbst korrigieren.

Habe eben unter MacOS ein paar Sachen erledigt (nach einem "Open Core Legacy Patch" Update die EFI Partition gemounted um das chainloading zu Grub wieder mit einzubinden), da fand ich es ganz praktisch mal eben mit sudo zu arbeiten.