Diskussion zum Linux-Werkzeugkasten

patrikp

@thomas-braun oh, sorry. doch nicht alles gelesen.

...und ja. Es hat geholfen. Danke nochmal.

ThomKast

@Thomas-Braun braun

Hättest Du vielleicht auch noch eine Deiner guten Anleitungen für die Absicherung der Komponenten...
IOB, Influxdb, Grafana, SSL-Zertifikat....

Hatte mich durch viele Informationen gehangelt, aber abschließend keinen sauberen erzielt. IOB war unter http, aber grafana unter https zu erreichen und so was... Habe zwar keinen Port offen, aber ich fände es gut, wenn es eine brauchbare, einheitliche Empfehlung gäbe.
Gruß, Thomas

Michael Uray

In meinem Docker Container scheint einmal ein root user und dann auch noch ein iobroker user auf.

# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
_apt:x:100:65534::/nonexistent:/usr/sbin/nologin
_rpc:x:101:65534::/run/rpcbind:/usr/sbin/nologin
statd:x:102:65534::/var/lib/nfs:/usr/sbin/nologin
iobroker:x:1000:1000::/opt/iobroker:/bin/bash

Thomas Braun

@michael-uray

Ja, das ist vollkommen richtig. In der /etc/passwd stehen alle User des Systems drin.

Michael Uray

@thomas-braun ich habe das hier wegen der root user Diskussion im Docker Container gepostet.
Sollte man demnach dann Arbeiten im Container nicht unter dem User iobroker durchführen anstatt als root, wenn es so einen Benutzer gibt?

Was hat es denn eigentlich generell für negative Auswirkungen auf den iobroker, wenn man immer alles als root ausführt?

Thomas Braun

@michael-uray

Man sollte einen eigenen User haben bzw. anlegen, also weder root noch iobroker.

Was hat es denn eigentlich generell für negative Auswirkungen auf den iobroker, wenn man immer alles als root ausführt?

Man läuft Gefahr sich das System immer weiter zu verbiegen. Neben den sonstigen Gründen nicht als root durch das System zu stolpern.

shellyrulestheworld

@thomas-braun ich habe mal auf deine Anregung user angelegt (so wie von dir im Linux Baukasten beschrieben). Aber ich verzweifle irgendwie daran

root@influxdb-grafana:/# su peter
peter@influxdb-grafana:/$ sudo
bash: sudo: Kommando nicht gefunden.
peter@influxdb-grafana:/$ sudo apt upgrade
bash: sudo: Kommando nicht gefunden.
peter@influxdb-grafana:/$ # apt-get install sudo
peter@influxdb-grafana:/$ sudo apt upgrade
bash: sudo: Kommando nicht gefunden.
peter@influxdb-grafana:/$ apt-get install sudo
E: Sperrdatei /var/lib/dpkg/lock-frontend konnte nicht geöffnet werden. - open (13: Keine Berechtigung)
E: Erlangen der Sperre für die Dpkg-Oberfläche (/var/lib/dpkg/lock-frontend) nicht möglich; sind Sie root?
peter@influxdb-grafana:/$ su root
Passwort: 
root@influxdb-grafana:/# # apt-get install sudo~
root@influxdb-grafana:/# # apt-get install sudo
root@influxdb-grafana:/# su peter
peter@influxdb-grafana:/$ apt update
Paketlisten werden gelesen… Fertig
E: Sperrdatei /var/lib/apt/lists/lock konnte nicht geöffnet werden. - open (13: Keine Berechtigung)
E: Das Verzeichnis /var/lib/apt/lists/ kann nicht gesperrt werden.
W: Problem beim Entfernen (unlink) der Datei /var/cache/apt/pkgcache.bin - RemoveCaches (13: Keine Berechtigung)
W: Problem beim Entfernen (unlink) der Datei /var/cache/apt/srcpkgcache.bin - RemoveCaches (13: Keine Berechtigung)
peter@influxdb-grafana:/$ sudo apt update
bash: sudo: Kommando nicht gefunden.
peter@influxdb-grafana:/$ usermod -aG sudo peter
usermod: Permission denied.
usermod: /etc/passwd konnte nicht gesperrt werden; versuchen Sie es später noch einmal.
peter@influxdb-grafana:/$ su root
Passwort: 
root@influxdb-grafana:/# usermod -aG sudo username
usermod: Benutzer »username« ist nicht vorhanden.
root@influxdb-grafana:/# usermod -aG sudo peter
root@influxdb-grafana:/# su peter
peter@influxdb-grafana:/$ sudo apt update
bash: sudo: Kommando nicht gefunden.
peter@influxdb-grafana:/$ groups
peter sudo
peter@influxdb-grafana:/$ su root
Passwort: 
root@influxdb-grafana:/# groups
root
root@influxdb-grafana:/# 

es scheint irgendwas nicht zu klappen mit dem neuen User. Könntest du mir bitte auf die Sprünge helfen?

Homoran

@shellyrulestheworld sagte in Diskussion zum Linux-Werkzeugkasten:

mit dem neuen User. Könntest du mir bitte auf die Sprünge helfen?

hast du den user auch der gruppe sudo hinzugefügt

was sagt groups als user ausgeführt?

shellyrulestheworld

@homoran

root@influxdb-grafana:/# su peter
peter@influxdb-grafana:/$ groups
peter sudo
peter@influxdb-grafana:/$ 

Homoran

@shellyrulestheworld danke

bin kein linux crack. weiss nicht ob der Wechsel mit su genau das selbe bewirkt wie root abmelden und als pezer wieder anzumelden.

Mal sehen was @Thomas-Braun Dazu sagt.

Abgesehen davon sollte peter auch in der Gruppe iobroker sein

Thomas Braun

@shellyrulestheworld

apt policy sudo

sagt?

shellyrulestheworld

@thomas-braun said in Diskussion zum Linux-Werkzeugkasten:

apt policy sudo

Danke

sudo:
  Installiert:           (keine)
  Installationskandidat: 1.9.5p2-3+deb11u1
  Versionstabelle:
     1.9.5p2-3+deb11u1 500
        500 http://ftp.debian.org/debian bullseye/main amd64 Packages
        500 http://security.debian.org bullseye-security/main amd64 Packages

Homoran

@shellyrulestheworld sagte in Diskussion zum Linux-Werkzeugkasten:

Installiert: (keine)

hattest du das nicht als root installiert?

Thomas Braun

@shellyrulestheworld

Joh, was nix installiert kann auch nix ausgeführt werden.

Als root:

apt install sudo

Und dann würde ich die Kiste sauber durchstarten. Und ab dann ist root Tabu!

Homoran

@shellyrulestheworld sagte in Diskussion zum Linux-Werkzeugkasten:

root@influxdb-grafana:/# # apt-get install sudo

edit: hab die doppelten hash nicht gesehen

shellyrulestheworld

@thomas-braun jetzt funktioniert es. Herzlichen dank an Alle

Thomas Braun

@shellyrulestheworld

Und wenn man das direkt bei der Installation so anlegt (aka: Der root bekommt erst gar kein PW) dann funktioniert das auch ohne Klimmzüge outofthebox.

toki1973

Versuche gerade iobroker neu zu installieren - ohne root und neuem debian. Lt. Anleitung soll iobroker selbst nicht unter root installiert werden. Aber damit ds funktioniert muss der User in die sudoers User Gruppe.
Folgendes habe ich probiert:

iobuser@iobrokerNUC:~$ su
Passwort:
root@iobrokerNUC:/home/iobuser# apt-get install adduser
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
adduser ist schon die neueste Version (3.118+deb11u1).
Das folgende Paket wurde automatisch installiert und wird nicht mehr benötigt:
  linux-image-5.10.0-22-amd64
Verwenden Sie »apt autoremove«, um es zu entfernen.
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
root@iobrokerNUC:/home/iobuser# adduser iobuser sudo
bash: adduser: Kommando nicht gefunden.
root@iobrokerNUC:/home/iobuser#

Thomas Braun

@toki1973

Versuch es damit:

usermod -a -G iobroker,dialout,sudo,adm,users iobuser

toki1973

@thomas-braun said in Diskussion zum Linux-Werkzeugkasten:

@toki1973

Versuch es damit:

usermod -a -G iobroker,dialout,sudo,adm,users iobuser

Was macht der Befehl?