NEWS
Änderungen iob CLI/Installer/Fixer mit Root Accounts
-
@meister-mopper sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Es sei denn, man beachtet diesen Umstand in allen scripts und den states, oder liege ich da falsch?
Das muss dann aber auch in anderen Systemen (cloud-Services usw.) auch berücksichtigt sein. Das hast du aber nicht alles in der Hand.
Dadurch kommt es ja zu diesen Fehlern, das Dinge mit 1-2 Stunden Versatz durchgeführt werden. Oder so merkwürdige Netzwerkfehler, weil Pakete aus der Zukunft verworfen werden. Das ist ein ganz komplexes Thema.@thomas-braun ich Frage, weil ich alle meine Server seit Jahren nur in UTC laufen lasse, somit muss ich mir nie Gedanken mache wegen Zeitumstellung etc .... , klar beim scripten muss man aufpassen, aber das erstmal nebensache.
-
@thomas-braun sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Aber das BootTarget ist bestimmt 'graphical.target' und nicht 'multi-user.target'.
Mit googels Hilfe würde ich sagen, das stimmt, wobei ich noch nicht genau verstanden habe was da genau hinterhängt und wo der vorteil bei multiuser.target ist
proxmox@ioB-Prod-Testsystem:~$ systemctl get-default graphical.targetMan kann bei Linux-Systemen in verschiedene 'run level' bzw boot.targets booten.
Server laufen in RunLevel3 bzw. 'multi-user', weil die halt keine graphische Oberfläche benötigen.
Nur wenn du Briefe schreiben willst, Games zocken willst, einen Browser verwenden willst benötigst du eine GUI.
Sonst nicht.
Mit 'multi-user.target' wird also weniger Code ausgeführt, das spart Ressourcen und ist sicherer, weil Code der nicht läuft nicht abstürzen kann und keine Angriffsvektoren eröffnet. -
@thomas-braun ich Frage, weil ich alle meine Server seit Jahren nur in UTC laufen lasse, somit muss ich mir nie Gedanken mache wegen Zeitumstellung etc .... , klar beim scripten muss man aufpassen, aber das erstmal nebensache.
@lindi200000 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
somit muss ich mir nie Gedanken mache wegen Zeitumstellung
Äh, genau DAZU ist doch die Datei 'tzdata' gedacht. Die macht das alles automatisch für die Zukunft und für die Vergangenheit und wird akribisch aktuell gehalten. Damit das aber alles richtig funktioniert muss die Zeitzone auch gesetzt sein.
Vielleicht reden wir aber auch aneinander vorbei. Die RTC/Echtzeituhr auf einem Linux sollte natürlich auf UTC stehen. Die aktuelle lokale Zeit ist aber immer auf Basis der tzdata-Datei eine berechnete Zeit.
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
/usr/bin/pkttyagent
Das kommt von Polkit. Der Code bei den systemd.services ist aber eigentlich gar nicht angepackt worden. Jedenfalls nicht von mir. Was ist denn das da für ein System?
@thomas-braun sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Das kommt von Polkit. Der Code bei den systemd.services ist aber eigentlich gar nicht angepackt worden. Jedenfalls nicht von mir. Was ist denn das da für ein System?
@apollon77
Kannst du was dazu sagen ob der Code geändert wurde, ich hatte bisher keine Fehlermeldungen beim iob fix. -
@thomas-braun sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Das kommt von Polkit. Der Code bei den systemd.services ist aber eigentlich gar nicht angepackt worden. Jedenfalls nicht von mir. Was ist denn das da für ein System?
@apollon77
Kannst du was dazu sagen ob der Code geändert wurde, ich hatte bisher keine Fehlermeldungen beim iob fix.Da wird eine Authentifizierung getriggert, weil an den .service-Dateien erstmal nur der root herummachen darf.
Auf Systemen mit einem laufenden DesktopEnvironment poppt dann da ein Fenster auf, auf headless-Kisten erscheint eine Abfrage in der Konsole.
Istpolkitdinstalliert?apt policy polkitd -
Da wird eine Authentifizierung getriggert, weil an den .service-Dateien erstmal nur der root herummachen darf.
Auf Systemen mit einem laufenden DesktopEnvironment poppt dann da ein Fenster auf, auf headless-Kisten erscheint eine Abfrage in der Konsole.
Istpolkitdinstalliert?apt policy polkitdtobias@iobroker:~$ apt policy polkitd polkitd: Installed: (none) Candidate: 122-3 Version table: 122-3 500 500 http://deb.debian.org/debian bookworm/main amd64 Packages tobias@iobroker:~$ -
tobias@iobroker:~$ apt policy polkitd polkitd: Installed: (none) Candidate: 122-3 Version table: 122-3 500 500 http://deb.debian.org/debian bookworm/main amd64 Packages tobias@iobroker:~$@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Installed: (none)
Dann weißte ja jetzt, warum die Datei vermisst wird
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Installed: (none)
Dann weißte ja jetzt, warum die Datei vermisst wird
@thomas-braun
Warum ging das bisher? Oder wurde jetzt was geändert? -
@thomas-braun
Warum ging das bisher? Oder wurde jetzt was geändert?@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Warum ging das bisher?
Keine Ahnung. polkitd ist eigentlich ein default-Paket. Kommt bei jeder Installation mit.
Oder wurde jetzt was geändert?
An der Stelle aktuell nichts.
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Warum ging das bisher?
Keine Ahnung. polkitd ist eigentlich ein default-Paket. Kommt bei jeder Installation mit.
Oder wurde jetzt was geändert?
An der Stelle aktuell nichts.
@thomas-braun
Hmm komisch, dann wohl bei mir nicht als Standard installiert.
Ausgabe jetzt mit Abfrage:========================================================================== Checking autostart (5/5) ========================================================================== ==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ==== Authentication is required to stop 'iobroker.service'. Authenticating as: tobias Password: ==== AUTHENTICATION COMPLETE ==== Enabling autostart... Autostart enabled! ========================================================================== Your installation was fixed successfully Run iobroker start to start ioBroker again! ========================================================================== tobias@iobroker:~$ -
@thomas-braun
Hmm komisch, dann wohl bei mir nicht als Standard installiert.
Ausgabe jetzt mit Abfrage:========================================================================== Checking autostart (5/5) ========================================================================== ==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ==== Authentication is required to stop 'iobroker.service'. Authenticating as: tobias Password: ==== AUTHENTICATION COMPLETE ==== Enabling autostart... Autostart enabled! ========================================================================== Your installation was fixed successfully Run iobroker start to start ioBroker again! ========================================================================== tobias@iobroker:~$@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Ausgabe jetzt mit Abfrage:
Ja, genau die Ausgabe meinte ich.
Liegt aber auch vielleicht am LXC. Mag sein, dass hier kein polkitd installiert wird.
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Ausgabe jetzt mit Abfrage:
Ja, genau die Ausgabe meinte ich.
Liegt aber auch vielleicht am LXC. Mag sein, dass hier kein polkitd installiert wird.
@thomas-braun
Blöde Frage vielleicht, aber müsste man dann nicht prüfen ob polkitd installiert ist? Bin ja nicht der einzige mit einem LXC. -
@thomas-braun
Blöde Frage vielleicht, aber müsste man dann nicht prüfen ob polkitd installiert ist? Bin ja nicht der einzige mit einem LXC.@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Blöde Frage vielleicht, aber müsste man dann nicht prüfen ob polkitd installiert ist?
Ist es i.d.R. auf vollständigen Installationen. Muss man mal schauen, ob das bei allen LXCs nicht vorhanden ist..
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Blöde Frage vielleicht, aber müsste man dann nicht prüfen ob polkitd installiert ist?
Ist es i.d.R. auf vollständigen Installationen. Muss man mal schauen, ob das bei allen LXCs nicht vorhanden ist..
@thomas-braun sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Blöde Frage vielleicht, aber müsste man dann nicht prüfen ob polkitd installiert ist?
Ist es i.d.R. auf vollständigen Installationen. Muss man mal schauen, ob das bei allen LXCs nicht vorhanden ist..
Hab auch einen LXC mit Ubuntu, bei mir ist es installiert und die Authentifizierung bei iob fix funktioniert auch.
proxmox@ioB-Prod-Testsystem:~$ apt policy polkitd polkitd: Installed: 0.105-33 Candidate: 0.105-33 Version table: *** 0.105-33 500 500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages 100 /var/lib/dpkg/status -
@thomas-braun sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Blöde Frage vielleicht, aber müsste man dann nicht prüfen ob polkitd installiert ist?
Ist es i.d.R. auf vollständigen Installationen. Muss man mal schauen, ob das bei allen LXCs nicht vorhanden ist..
Hab auch einen LXC mit Ubuntu, bei mir ist es installiert und die Authentifizierung bei iob fix funktioniert auch.
proxmox@ioB-Prod-Testsystem:~$ apt policy polkitd polkitd: Installed: 0.105-33 Candidate: 0.105-33 Version table: *** 0.105-33 500 500 http://archive.ubuntu.com/ubuntu jammy/main amd64 Packages 100 /var/lib/dpkg/status@feuersturm
Ist aber Ubuntu und kein Debian, nur ein kleiner Unterschied :innocent:
Keine Ahnung, ist mir jedenfalls nie aufgefallen. Muss ich einfach in meine Installation Routine aufnehmen und das Problem ist behoben. -
@feuersturm
Ist aber Ubuntu und kein Debian, nur ein kleiner Unterschied :innocent:
Keine Ahnung, ist mir jedenfalls nie aufgefallen. Muss ich einfach in meine Installation Routine aufnehmen und das Problem ist behoben.Meine ganzen Debianse haben das aber natürlich auch an Bord. Sind aber alles keine LXCs.
-
Meine ganzen Debianse haben das aber natürlich auch an Bord. Sind aber alles keine LXCs.
@thomas-braun
Ich werde Ende kommender Woche mein PC komplett neu installieren. Sollte polkitd fehlen melden ich mich nochmals. -
Hi All,
wir haben in letzter Zeit intern und auch mit einigen Nutzern länger darüber diskutiert ob es gut oder schlecht ist ioBroker mit einem Root Nutzer zu betreiben und zu administrieren. Alles in allem ist wird es in der Industrie als "Best practice" angesehen den Root Nutzer nur dann zu nutzen wenn es nötig ist. Daher möchten wir Euch gern unterstützen sicherer zu arbeiten.
Wir haben uns daher entschieden, mit großer Unterstützung durch Thomas Braun (@Thomas-Braun), hier ein bisschen expliziter zu werden und die üblichen "Ausreden" warum jemand Root nutzt mit Unterstützung nicht mehr so einfach zu machen :-) Nur in Docker bleibt alles beim alten weil dort ist Root quasi Standard und normalerweise kein echter Root.
Die neueste Version des Installers/Fixers bringen daher die folgenden Neuerungen mit:
- Der Installer prüft ein paar Dinge und gibt Meldungen aus - läuft aber durch. Am Ende kommt ggf die Empfehlung "iob fix" direkt nach dem Re-Login auszuführen um die im folgenden beschriebenen Themen zu beheben.
- Zu beginn wird geprüft ob der Fixer mit Root oder einem User "iobroker" gestartet wird und wenn ja, wird angeboten einen neuen User anzulegen mit dem die Administration künftig gemacht wird. Dieser neue User kommt gleich in die relevanten Gruppen. Dann einfach mit dem User neu einloggen und den Fixer neu starten.
- Der Fixer prüft als nächstes ob das System einen Desktop hat und bietet an dies zu ändern, da in den meisten Fällen ioBroker eh auf einem Server läuft und eine Nutzeroberfläche nur unnötig Speicher frisst.Es ist auch im Zweifelsfall ein Angriffspunkt weniger falls jemand unabsichtlich ins System einbricht (z.b. durch eine nicht bedachte Port-Weiterleitung).
- Der Fixer prüft danach die eingestellte Zeitzone weil es auch hier immer mal wieder zu Effekten kommt das Zeitsteuerungen versetzt laufen wenn der Server die falsche Zeitzone hat. Man kann Sie direkt korrigieren.
All das bis eben genannte kann man, wenn man wirklich will, komplett ignorieren und mit Nein beantworten. Dann bleibt alles beim alten. Aber: Der User hat sich entschieden das zu tun und weiss hoffentlich was es bedeutet.
Um auch bestehenden Installationen zu helfen hier sicherer zu werden werden nach einem "iob fix" nach den Updates auch alle "iob" Kommandos auf eine potentielle Root-Nutzung hinweisen. Wer unbedingt so weiter arbeiten will der kann bei den "iob" Kommandos den Parameter "--allow-root" anhängen und alles wird wie bisher ausgeführt. Aber überlegt bitte wirklich ob es Root sein muss. Auch hier gilt dies nicht bei Docker.
Die meisten Distributionen heutzutage nutzen bereits standardmässig eigene User und sollten von der ganzen Thematik nicht betroffen sein. Bei LXC Containern kommt es oft vor das es standardmässig nur Root gibt. Hier kann man einen mit den hier verfügbaren Werkzeugen einfach anlegen.
Wir hoffen das wir mit der Entscheidung nicht für zu großen Unmut in der Community sorgen und Ihr diesen Schritt generell versteht. Wir haben viel Aufwand investiert um Euch den Umstieg zu einem "sauberen Setup" so einfach wie möglich zu machen. Wenn jemand wirklich mit Root weiter arbeiten will kann er dies auch mit dem Zusatzparameter.
Bei Fragen oder Diskussionen bitte hier im Thread fragen. Danke
Ingo, das ioBroker-Team (und Thomas)
@apollon77 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Nur in Docker bleibt alles beim alten weil dort ist Root quasi Standard
auch bei docker stellen viele profi images auch im container auf eigene userid/groupid um. allerdings, wenn dann die uid/gid nicht mit der außenwelt übereinstimmt, gibt es probleme mit den nach außen gemappten volumes.
-
@apollon77 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Nur in Docker bleibt alles beim alten weil dort ist Root quasi Standard
auch bei docker stellen viele profi images auch im container auf eigene userid/groupid um. allerdings, wenn dann die uid/gid nicht mit der außenwelt übereinstimmt, gibt es probleme mit den nach außen gemappten volumes.
@oliverio sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
auch bei docker stellen viele profi images auch im container auf eigene userid/groupid um.
So sollte es ja auch sein.
-
@oliverio sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
auch bei docker stellen viele profi images auch im container auf eigene userid/groupid um.
So sollte es ja auch sein.
@thomas-braun
das wollte ich damit ausdrücken.
du hast halt bei nutzern größeres problempotential,
aber geringeren sicherheitsvorteil, da der root/user im container eigentlich nicht ausbrechen kann
620
Online32.4k
Benutzer81.4k
Themen1.3m
Beiträge