User wechseln - Weg vom Nutzer root oder Nutzer iobroker
-
@siggi0904
Leg einen neuen user an, pack den in die Gruppen 'iobroker' und 'sudo' rein, künftig den nutzen, fertig.sudo adduser siggi0904 sudo adduser siggi0904 sudo sudo adduser siggi0904 iobroker -
@Siggi0904 Es schadet dann auch nix, einmal iobroker zu stoppen, den Fixer drüberlaufen zu lassen und wieder zu starten. erst recht, wenn man möglicherweise auch mal als root unterwegs war.
Gruss, Jürgen
-
Der Systemuser 'iobroker' ist in diesen Gruppenmitglied:
echad@chet:~ $ groups iobroker iobroker : iobroker tty dialout audio video bluetooth i2c gpioMein Hauptuser schaut so aus:
echad@chet:~ $ groups echad adm dialout cdrom sudo audio video plugdev games users input render netdev gpio i2c spi iobroker -
@thomas-braun also mein aktueller user iobroker sieht so aus:
iobroker@iobroker:~$ groups iobroker iobroker : iobroker tty dialout cdrom floppy sudo audio dip video plugdev netdev -
In der Gruppe 'sudo' muss/darf der z. B. nicht sein. Der iobroker ist ja eigentlich in seinen Rechten beschränkt, wird allerdings durch die Mitgliedschaft in 'sudo' durchbrochen.
-
@thomas-braun danke für die Info.
Wie bekomme ich den user iobroker da wieder aus der Gruppe sudo raus?
Aktuell sieht es mit dem neuen User so aus:
iobroker@iobroker:~$ groups iobroker iobroker : iobroker tty dialout cdrom floppy sudo audio dip video plugdev netdev iobroker@iobroker:~$ groups mario mario : mario sudo iobroker iobroker@iobroker:~$ -
sudo deluser iobroker sudoUnd ich würde die Kiste danach mal durchstarten, die Rechte werden nur beim ersten login gezogen.
-
@thomas-braun okay, startet gerade neu.
Sieht jetzt so aus:
mario@iobroker:~$ groups iobroker iobroker : iobroker tty dialout cdrom floppy audio dip video plugdev netdev mario@iobroker:~$ groups mario mario : mario sudo iobroker mario@iobroker:~$Was mich wundert, dass bei dir noch weitere Gruppen gibt.
Bist du auf einem Raspberry? Z.B. adm, render, etc.
Sind noch weitere Gruppen nötig? -
@siggi0904 sagte in User wechseln - Weg vom Nutzer root oder Nutzer iobroker:
Bist du auf einem Raspberry?
Ja. 'adm' wird z. B. für das Lesen von LogFiles benötigt:
echad@chet:/opt/iobroker $ ls -la /var/log/ total 5432 drwxr-xr-x 7 root root 4096 Mar 26 00:00 . drwxr-xr-x 11 root root 4096 Feb 21 05:08 .. -rw-r--r-- 1 root root 25212 Mar 25 23:05 alternatives.log drwxr-xr-x 2 root root 4096 Mar 25 23:04 apt -rw-r----- 1 root adm 36214 Mar 26 18:17 auth.log -rw-r----- 1 root adm 479627 Mar 25 23:56 auth.log.1 -rw-r----- 1 root adm 42185 Mar 18 23:17 auth.log.2.gz -
@thomas-braun brauch ich den auch?
Wie hast du den angelegt? Bzw. wie gehst du mit dem user um? -
Wie hast du den angelegt? Bzw. wie gehst du mit dem user um?
Der user wurde direkt vom Raspberrypi Imager im Rahmen der Installation angelegt. Daher bekommt der automatisch alle notwendigen Gruppenzugehörigkeiten verpasst.
Die Funktionen der Gruppen kann man hier nachlesen:
-
-
@thomas-braun okay, die von dir gezeigten Dateien haben bei mir die gleichen Rechte.
Sieht bei mir so aus:
mario@iobroker:/opt/iobroker$ cat /etc/passwd | sort _apt:x:104:65534::/nonexistent:/bin/false avahi:x:107:111:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false backup:x:34:34:backup:/var/backups:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin Debian-exim:x:103:113::/var/spool/exim4:/usr/sbin/nologin games:x:5:60:games:/usr/games:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin iobroker:x:1000:1000:iobroker,,,:/home/iobroker:/bin/bash irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin mario:x:1001:1001:Mario Siegmann,,,:/home/mario:/bin/bash messagebus:x:105:109::/var/run/dbus:/bin/false news:x:9:9:news:/var/spool/news:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin root:x:0:0:root:/root:/bin/bash sshd:x:106:65534::/run/sshd:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync systemd-coredump:x:999:999:systemd Core Dumper:/:/sbin/nologin systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false sys:x:3:3:sys:/dev:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin mario@iobroker:/opt/iobroker$ -
Der user 'iobroker' sieht als Systemuser eigentlich so aus:
iobroker:x:1001:1001::/home/iobroker:/usr/sbin/nologinDer bekommt also keine shell zum login.
-
@thomas-braun ja, dies wird meiner Verwendung begrüdet sein.
Kann man das reparieren oder sollte man das so lassen? -
Kannste eintragen, dann ist ein anmelden als 'iobroker' nicht mehr möglich.
Also stattiobroker:x:1000:1000:iobroker,,,:/home/iobroker:/bin/bashdann
iobroker:x:1000:1000:iobroker,,,:/home/iobroker:/usr/sbin/nologin -
@thomas-braun wenn es so für den iobroker richtig ist, würde ich das machen.
Du hattest ja mal irgendwo geschrieben, dass dies aus Sicherheitsgründen so sein sollte.Wie passe ich das an?
-
@siggi0904 sagte in User wechseln - Weg vom Nutzer root oder Nutzer iobroker:
Wie passe ich das an?
Mit einem Editor. Ich mag für so Kleinigkeiten
nanoganz gerne.sudo nano /etc/passwd -
@thomas-braun ja, ich nutze auch nano. Der ist nicht so umständlich.
Bei deinem iobroker systemuser sind aber keine Kommata enthalten.
Was hat das für eine Bedeutung? -
@siggi0904 sagte in User wechseln - Weg vom Nutzer root oder Nutzer iobroker:
Was hat das für eine Bedeutung?
Sind bei dir Überbleibsel aus der Verwendung als Standarduser.
Das sind die Felder für 'Voller Name', Telefonummer, Raumnummer usw.
Bei demmariohast du deinen vollen Namen angegeben.
Die Systemuser als rein digitale Wesen brauchen das nicht, mein 'iobroker' ist ja nie als Standarduser verwendet worden.
