RaspberryOS ab jetzt nicht mehr mit 'passwortlosem sudo'
-
Ja, kann man natürlich
Und wo/wie?
Und wo/wie?
Müsste ich auch nachschauen. Soweit ich weiß gibt es aber die Datei
/etc/sudoers.d/010_pi-nopasswd
über die das geregelt wird.
Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen. -
Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen
Deswegen werde ich mich nicht damit beschäftigt haben 😀
In raspi-config wäre das besser aufgehoben
kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
Ja, kann man natürlich
Und wo/wie?
-
Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen
Deswegen werde ich mich nicht damit beschäftigt haben 😀
In raspi-config wäre das besser aufgehoben
In raspi-config wäre das besser aufgehoben
Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf. -
Immerhin laufen ja ein paar Befehle zumindest bei der Installation auch über sudo.
Und verwendet iob diag nicht auch sudo?Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch
'You may have to enter the password serverall times' (oder so ähnlich) erwähnt.Kann man das passwortlose sudo eigentlich auch bei alten Versionen disablen?
Ja, kann man natürlich. Man kann auch die sogenannte 'grace time' einstellen, in der dann nicht nochmal nach dem PW gefragt wird. Bisher war da RaspberryOS aber auch seeeeeehr lax bei den Voreinstellungen.
Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch
Das wird bei Befehlen die der js-controller ev absetzt schwierig ...
Ich rege an dass du mit deinem Wissen das mal mit @apollon77 / @bluefox abklärst ob das wo klemmen kann / wird.
Und persönlich find ich den Zwang zur Passworteingabe eher schwachsinnig. Ich hab da dann nur wenige Alternativen:
- bei jedem Sch.. ein sicheres langes Passort einzutippen
Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln - das Passwort auf aqwert o.ä. zu ändern
- gleich nach dem Einloggen die ganze Session auf sudo zu haben
- passwortloses sudo wieder zu erlauben
Das erste finde ich unzumutbar
2 und 3 sind ein extremes Sicherheitloch
bleibt nur 4 ...Na ja - mal abwarten und Tee trinken
Vielleicht überseh ich da ja was.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
- bei jedem Sch.. ein sicheres langes Passort einzutippen
-
In raspi-config wäre das besser aufgehoben
Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf.Na dann sollte ich vielleicht nach meinem Urlaub die SSD noch ein weiteres mal bügeln und initial installieren. Dann sehe ich gleich was alles nicht geht. Muss ich mir überlegen.
Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
In raspi-config wäre das besser aufgehoben
Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf.Na dann sollte ich vielleicht nach meinem Urlaub die SSD noch ein weiteres mal bügeln und initial installieren. Dann sehe ich gleich was alles nicht geht. Muss ich mir überlegen.
Dann sehe ich gleich was alles nicht geht.
Wie geschrieben sollte alles gehen! Warum auch nicht??
Das Vorgehen bei sudo mit Passwort ist nahezu überall Standard.
Lediglich RaspberryOS war da bisher nicht streng genugWenn RasPiOS jetzt endlich nachziehen, ist es nicht anders als die anderen Linuxe
-
Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch
Das wird bei Befehlen die der js-controller ev absetzt schwierig ...
Ich rege an dass du mit deinem Wissen das mal mit @apollon77 / @bluefox abklärst ob das wo klemmen kann / wird.
Und persönlich find ich den Zwang zur Passworteingabe eher schwachsinnig. Ich hab da dann nur wenige Alternativen:
- bei jedem Sch.. ein sicheres langes Passort einzutippen
Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln - das Passwort auf aqwert o.ä. zu ändern
- gleich nach dem Einloggen die ganze Session auf sudo zu haben
- passwortloses sudo wieder zu erlauben
Das erste finde ich unzumutbar
2 und 3 sind ein extremes Sicherheitloch
bleibt nur 4 ...Na ja - mal abwarten und Tee trinken
Vielleicht überseh ich da ja was.Das wird bei Befehlen die der js-controller ev absetzt schwierig ...
Das ist aber ja grundsätzlich nichts neues für alles was nicht RaspberryOS ist.
VMs, LXCs usw waren noch nie komplett ohne Passwort für sudo.
Ich wüsste nicht, warum es dann zu wirklichen Problemen kommen sollte, wenn RaspberryOS jetzt das übliche Verhalten einführt.Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln
Dafür gibt es ja die 'grace time'. Stell dir die auf mehrere Stunden, dann haste solange Ruh'.
Oder du stellst es wieder auf passwordless. - bei jedem Sch.. ein sicheres langes Passort einzutippen
-
OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend.
Ja, für den user iobroker gibt es eine passend konfigurierte sudoers.
Deswegen gehört der ja auch z. B. nicht in die Gruppe 'sudo' rein.Beim Aufruf von 'iob diag' wird dann aber mindestens einmal nach dem Passwort gefragt werden.
Ich hatte auch schon überlegt ganz zu anfang eine solche Abfrage zu provozieren, damit dann im weiteren Ablauf (bei gesetzter grace time) keine Unterbrechung erfolgt. -
OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.
Ich könnte es also hier umstellen, wenn ich wollte.
-
Jep
Wahrscheinlich ist es aber sicherer nur jene suso Befehle die man häufiger braucht (z.B. shutdown) explizit mit NOPASSW einzutragen - sofern das nicht eh der Default ist. Bei seltenen Befehlen wird man mit Pwd leben können.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
Jep
Wahrscheinlich ist es aber sicherer nur jene suso Befehle die man häufiger braucht (z.B. shutdown) explizit mit NOPASSW einzutragen - sofern das nicht eh der Default ist. Bei seltenen Befehlen wird man mit Pwd leben können.der user iobroker darf das alles schon ohne passwort
inhalt der datei
/etc/sudoers.d/iobrokeriobroker ALL=(ALL) ALL iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg iobroker ALL=(ALL) NOPASSWD: /usr/bin/make iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat iobroker ALL=(ALL) NOPASSWD: /usr/bin/df iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefundenich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
der user iobroker darf das alles schon ohne passwort
inhalt der datei
/etc/sudoers.d/iobrokeriobroker ALL=(ALL) ALL iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg iobroker ALL=(ALL) NOPASSWD: /usr/bin/make iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat iobroker ALL=(ALL) NOPASSWD: /usr/bin/df iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefundenich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644Das wird in der installer_library.sh so angelegt.
-
der user iobroker darf das alles schon ohne passwort
inhalt der datei
/etc/sudoers.d/iobrokeriobroker ALL=(ALL) ALL iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg iobroker ALL=(ALL) NOPASSWD: /usr/bin/make iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat iobroker ALL=(ALL) NOPASSWD: /usr/bin/df iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefundenich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644@OliverIO
Ja ich weiß
Hatte ich weiter oben schon gepostet.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren AnmeldenSupport us
330
Online32.8k
Benutzer82.7k
Themen1.3m
Beiträge