Diskussion zum Linux-Werkzeugkasten
-
@negalein Richtig.
Auf
sudo whoamisollte jetzt für den nega auch 'root' zurückgegeben werden.
So kann man blitzschnell bei Bedarf die root-Rechte erhalten und muss nicht dauerhaft mit offenem Visier durch das System pflügen.Ich würde den nega aber noch in diese weiteren Gruppen packen:
adm dialout users -
@thomas-braun sagte in Diskussion zum Linux-Werkzeugkasten:
adm dialout users
das sind die Gruppen?
Wie füge ich den User dazu?
mitadduser nega adm dialout users? -
@negalein
Z. B. so:sudo usermod -aG GRUPPENNAME BENUTZERNAME -
@thomas-braun sagte in Diskussion zum Linux-Werkzeugkasten:
sudo usermod -aG GRUPPENNAME BENUTZERNAME
da will er nicht
nega@ioBroker:~$ sudo usermod -aG adm dialout users nega Usage: usermod [options] LOGIN Options: -b, --badnames allow bad names -c, --comment COMMENT new value of the GECOS field -d, --home HOME_DIR new home directory for the user account -e, --expiredate EXPIRE_DATE set account expiration date to EXPIRE_DATE -f, --inactive INACTIVE set password inactive after expiration to INACTIVE -g, --gid GROUP force use GROUP as new primary group -G, --groups GROUPS new list of supplementary GROUPS -a, --append append the user to the supplemental GROUPS mentioned by the -G option without removing the user from other groups -h, --help display this help message and exit -l, --login NEW_LOGIN new value of the login name -L, --lock lock the user account -m, --move-home move contents of the home directory to the new location (use only with -d) -o, --non-unique allow using duplicate (non-unique) UID -p, --password PASSWORD use encrypted password for the new password -R, --root CHROOT_DIR directory to chroot into -P, --prefix PREFIX_DIR prefix directory where are located the /etc/* files -s, --shell SHELL new login shell for the user account -u, --uid UID new UID for the user account -U, --unlock unlock the user account -v, --add-subuids FIRST-LAST add range of subordinate uids -V, --del-subuids FIRST-LAST remove range of subordinate uids -w, --add-subgids FIRST-LAST add range of subordinate gids -W, --del-subgids FIRST-LAST remove range of subordinate gids -Z, --selinux-user SEUSER new SELinux user mapping for the user account nega@ioBroker:~$ -
Auf was für einer Linux-Distribution bist du da eigentlich unterwegs? Die Befehle für die user-Verwaltung unterscheiden sich ggf.
-
@thomas-braun sagte in Diskussion zum Linux-Werkzeugkasten:
Auf was für einer Linux-Distribution bist du da eigentlich unterwegs?
Ubuntu
-
@negalein
Immer nur eine Gruppe angeben.sudo usermod -aG adm nega sudo usermod -aG dialout nega sudo usermod -aG users nega -
@negalein sagte in Diskussion zum Linux-Werkzeugkasten:
@thomas-braun sagte in Diskussion zum Linux-Werkzeugkasten:
Auf was für einer Linux-Distribution bist du da eigentlich unterwegs?
Ubuntu
Gerade bei ubuntu wundert es mich, da ist der root nämlich schon immer von Haus aus deaktiviert gewesen. Das ist also aktiv und bewusst umgefummelt worden. Klarer Fall von: Macht man nicht.
Sonderfall: Benutzer root
Standardmäßig existiert unter Linux immer ein Konto für den Benutzer root mit der User-ID 0. Dies ist ein Systemkonto mit vollem Zugriff auf das gesamte System und damit auch auf alle Dateien und Einstellungen aller Benutzer.
Bei Ubuntu wird dem Benutzer root allerdings kein Passwort zugewiesen. Dadurch kann sich niemand unter dem Namen "root" anmelden.
Der erste anlegte Benutzer ist unter Ubuntu bzw. dessen Derivaten immer automatisch Mitglied der Gruppe sudo und kann so mit Root-Rechten arbeiten. Wie bei Bedarf weitere Nutzer dieser Gruppe hinzugefügt werden können ist weiter unten im Artikel erklärt.
-
@thomas-braun sagte in Diskussion zum Linux-Werkzeugkasten:
Immer nur eine Gruppe angeben.
Merci
nega@ioBroker:~$ groups nega adm dialout sudo users iobroker -
@thomas-braun
Aufgrund der npm6 Probleme https://forum.iobroker.net/topic/55183/github-installationen-mit-npm6-sehr-langsam
Gibt es irgendwo eine Anleitung um ein Update von npm6 auf npm8 zu vollziehen?
Sollte so was auch in den Werkzeugkasten, oder sollte man lieber abwarten?
Danke. -
@mcu sagte in Diskussion zum Linux-Werkzeugkasten:
Gibt es irgendwo eine Anleitung um ein Update von npm6 auf npm8 zu vollziehen?
Ich würde immer empfehlen, auch die npm-Version zu fahren, die vom nodeJS-Projekt upstream für das jeweilige Gesamtpaket vorgesehen ist. Für nodeJS@14 ist das halt npm@6.
npm@8 ist erst für nodeJS@16 vorgesehen.Ich würde aber auch nicht eine node@16 für den ioBroker empfehlen wollen.
Ein Dilemma.Aber es gibt wohl Überlegungen nodeJS16 bald zur empfohlenen Version zu machen. U. a. wegen der langsamen Installation von git.
https://forum.iobroker.net/topic/55290/meeting-für-iobroker-core-dev-admin-15-06-22-20-30/4
-
Den Werkzeugkasten habe ich heute entdeckt und finde ihn sehr hilfreich. Natürlich direkt einen Fehler in meiner Installation gefunden. node und npm liegen in /usr/local/bin/* und nicht in /usr/bin/*. Kann man die einfach umziehen, und was ist dabei zu beachten, oder ist eine Neuinstallation notwendig?
Gruß und besten Dank
-
Dann schau mal in den zweiten Link in meiner Signatur. Da steht es ausführlicher drin.
-
@thomas-braun oh, sorry. doch nicht alles gelesen.
...und ja. Es hat geholfen. Danke nochmal.
-
@Thomas-Braun braun
Hättest Du vielleicht auch noch eine Deiner guten Anleitungen für die Absicherung der Komponenten...
IOB, Influxdb, Grafana, SSL-Zertifikat....Hatte mich durch viele Informationen gehangelt, aber abschließend keinen sauberen erzielt. IOB war unter http, aber grafana unter https zu erreichen und so was... Habe zwar keinen Port offen, aber ich fände es gut, wenn es eine brauchbare, einheitliche Empfehlung gäbe.
Gruß, Thomas -
In meinem Docker Container scheint einmal ein
rootuser und dann auch noch einiobrokeruser auf.# cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin _apt:x:100:65534::/nonexistent:/usr/sbin/nologin _rpc:x:101:65534::/run/rpcbind:/usr/sbin/nologin statd:x:102:65534::/var/lib/nfs:/usr/sbin/nologin iobroker:x:1000:1000::/opt/iobroker:/bin/bash -
Ja, das ist vollkommen richtig. In der /etc/passwd stehen alle User des Systems drin.
-
@thomas-braun ich habe das hier wegen der
rootuser Diskussion im Docker Container gepostet.
Sollte man demnach dann Arbeiten im Container nicht unter dem Useriobrokerdurchführen anstatt alsroot, wenn es so einen Benutzer gibt?Was hat es denn eigentlich generell für negative Auswirkungen auf den iobroker, wenn man immer alles als
rootausführt? -
Man sollte einen eigenen User haben bzw. anlegen, also weder root noch iobroker.
Was hat es denn eigentlich generell für negative Auswirkungen auf den iobroker, wenn man immer alles als root ausführt?
Man läuft Gefahr sich das System immer weiter zu verbiegen. Neben den sonstigen Gründen nicht als root durch das System zu stolpern.
-
@thomas-braun ich habe mal auf deine Anregung user angelegt (so wie von dir im Linux Baukasten beschrieben). Aber ich verzweifle irgendwie daran
root@influxdb-grafana:/# su peter peter@influxdb-grafana:/$ sudo bash: sudo: Kommando nicht gefunden. peter@influxdb-grafana:/$ sudo apt upgrade bash: sudo: Kommando nicht gefunden. peter@influxdb-grafana:/$ # apt-get install sudo peter@influxdb-grafana:/$ sudo apt upgrade bash: sudo: Kommando nicht gefunden. peter@influxdb-grafana:/$ apt-get install sudo E: Sperrdatei /var/lib/dpkg/lock-frontend konnte nicht geöffnet werden. - open (13: Keine Berechtigung) E: Erlangen der Sperre für die Dpkg-Oberfläche (/var/lib/dpkg/lock-frontend) nicht möglich; sind Sie root? peter@influxdb-grafana:/$ su root Passwort: root@influxdb-grafana:/# # apt-get install sudo~ root@influxdb-grafana:/# # apt-get install sudo root@influxdb-grafana:/# su peter peter@influxdb-grafana:/$ apt update Paketlisten werden gelesen… Fertig E: Sperrdatei /var/lib/apt/lists/lock konnte nicht geöffnet werden. - open (13: Keine Berechtigung) E: Das Verzeichnis /var/lib/apt/lists/ kann nicht gesperrt werden. W: Problem beim Entfernen (unlink) der Datei /var/cache/apt/pkgcache.bin - RemoveCaches (13: Keine Berechtigung) W: Problem beim Entfernen (unlink) der Datei /var/cache/apt/srcpkgcache.bin - RemoveCaches (13: Keine Berechtigung) peter@influxdb-grafana:/$ sudo apt update bash: sudo: Kommando nicht gefunden. peter@influxdb-grafana:/$ usermod -aG sudo peter usermod: Permission denied. usermod: /etc/passwd konnte nicht gesperrt werden; versuchen Sie es später noch einmal. peter@influxdb-grafana:/$ su root Passwort: root@influxdb-grafana:/# usermod -aG sudo username usermod: Benutzer »username« ist nicht vorhanden. root@influxdb-grafana:/# usermod -aG sudo peter root@influxdb-grafana:/# su peter peter@influxdb-grafana:/$ sudo apt update bash: sudo: Kommando nicht gefunden. peter@influxdb-grafana:/$ groups peter sudo peter@influxdb-grafana:/$ su root Passwort: root@influxdb-grafana:/# groups root root@influxdb-grafana:/#es scheint irgendwas nicht zu klappen mit dem neuen User. Könntest du mir bitte auf die Sprünge helfen?
