Änderungen iob CLI/Installer/Fixer mit Root Accounts
-
Hi All,
wir haben in letzter Zeit intern und auch mit einigen Nutzern länger darüber diskutiert ob es gut oder schlecht ist ioBroker mit einem Root Nutzer zu betreiben und zu administrieren. Alles in allem ist wird es in der Industrie als "Best practice" angesehen den Root Nutzer nur dann zu nutzen wenn es nötig ist. Daher möchten wir Euch gern unterstützen sicherer zu arbeiten.
Wir haben uns daher entschieden, mit großer Unterstützung durch Thomas Braun (@Thomas-Braun), hier ein bisschen expliziter zu werden und die üblichen "Ausreden" warum jemand Root nutzt mit Unterstützung nicht mehr so einfach zu machen
Nur in Docker bleibt alles beim alten weil dort ist Root quasi Standard und normalerweise kein echter Root.Die neueste Version des Installers/Fixers bringen daher die folgenden Neuerungen mit:
- Der Installer prüft ein paar Dinge und gibt Meldungen aus - läuft aber durch. Am Ende kommt ggf die Empfehlung "iob fix" direkt nach dem Re-Login auszuführen um die im folgenden beschriebenen Themen zu beheben.
- Zu beginn wird geprüft ob der Fixer mit Root oder einem User "iobroker" gestartet wird und wenn ja, wird angeboten einen neuen User anzulegen mit dem die Administration künftig gemacht wird. Dieser neue User kommt gleich in die relevanten Gruppen. Dann einfach mit dem User neu einloggen und den Fixer neu starten.
- Der Fixer prüft als nächstes ob das System einen Desktop hat und bietet an dies zu ändern, da in den meisten Fällen ioBroker eh auf einem Server läuft und eine Nutzeroberfläche nur unnötig Speicher frisst.Es ist auch im Zweifelsfall ein Angriffspunkt weniger falls jemand unabsichtlich ins System einbricht (z.b. durch eine nicht bedachte Port-Weiterleitung).
- Der Fixer prüft danach die eingestellte Zeitzone weil es auch hier immer mal wieder zu Effekten kommt das Zeitsteuerungen versetzt laufen wenn der Server die falsche Zeitzone hat. Man kann Sie direkt korrigieren.
All das bis eben genannte kann man, wenn man wirklich will, komplett ignorieren und mit Nein beantworten. Dann bleibt alles beim alten. Aber: Der User hat sich entschieden das zu tun und weiss hoffentlich was es bedeutet.
Um auch bestehenden Installationen zu helfen hier sicherer zu werden werden nach einem "iob fix" nach den Updates auch alle "iob" Kommandos auf eine potentielle Root-Nutzung hinweisen. Wer unbedingt so weiter arbeiten will der kann bei den "iob" Kommandos den Parameter "--allow-root" anhängen und alles wird wie bisher ausgeführt. Aber überlegt bitte wirklich ob es Root sein muss. Auch hier gilt dies nicht bei Docker.
Die meisten Distributionen heutzutage nutzen bereits standardmässig eigene User und sollten von der ganzen Thematik nicht betroffen sein. Bei LXC Containern kommt es oft vor das es standardmässig nur Root gibt. Hier kann man einen mit den hier verfügbaren Werkzeugen einfach anlegen.
Wir hoffen das wir mit der Entscheidung nicht für zu großen Unmut in der Community sorgen und Ihr diesen Schritt generell versteht. Wir haben viel Aufwand investiert um Euch den Umstieg zu einem "sauberen Setup" so einfach wie möglich zu machen. Wenn jemand wirklich mit Root weiter arbeiten will kann er dies auch mit dem Zusatzparameter.
Bei Fragen oder Diskussionen bitte hier im Thread fragen. Danke
Ingo, das ioBroker-Team (und Thomas)
-
Known issues
* Der Fixer läuft aktuell über die Fragen drüber und lässt Sie nicht beantworten. Fix in ArbeitFIXEDFAQ
- Erscheint die Meldung
Failed to execute /usr/bin/pkttyagent: No such file or directorysollte das Paketpolkitdnachinstalliert werden.
sudo apt update && sudo apt install polkitdiob diag --delässt die Diagnose (teilweise) auf Deutsch erscheinen. Ohne Option --de bleibt es durchgehend bei Englisch.
- Erscheint die Meldung
-
iob fix lässt sich gerade nicht updaten?
tobias@iobroker:~$ iob stop tobias@iobroker:~$ iob fix library: loaded Library version=2024-10-19 ioBroker or some processes are still running: 1046 iob Please stop them first and try again! tobias@iobroker:~$ -
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Please stop them first and try again!
-
@thomas-braun
Hilf mir mal kurz ich finde den Prozess nicht... -
@shadowhunter23 iob stop
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
@thomas-braun
Hilf mir mal kurz ich finde den Prozess nicht...top | grep 1046
-
@thomas-braun kann man das nicht so ändern das der fixer ioBroker stoppt nachdem er gefragt hat ob er das darf/soll?
-
Hast Recht, da stimmt was im Fixer gerade nicht.
-
@jey-cee sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
kann man das nicht so ändern das der fixer ioBroker stoppt nachdem er gefragt hat ob er das darf/soll?
Das ist der Aufruf von 'iob fix' selber, der da angemeckert wird.
-
@thomas-braun
Ich warte auf deine Rückmeldung bis das Problem behoben ist. -
Hi, Fix sollte durch ein. Da war eine Regex falsch. Sollte jetzt (bzw ggf in paar Mins wegen caches und so) wieder gehen
-
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
@thomas-braun
Ich warte auf deine Rückmeldung bis das Problem behoben ist.Hallo!
Ich habe soeben das gleiche Problem festgestellt. Zunächst hat iob fix mich hingewiesen das ich den Desktop aktiv habe. Die Frage nach Deaktivierung konnte nicht beantwortet werden da das script einfach weiter gelaufen ist und dann die Meldung bringt, alle iob prozesse zu stoppen.
iob diag läst sich nicht ausführen da erst iob fix laufen muß.
Desktop habe ich inzwischen deaktiviert.raspberry pi 4b mit bookworm neu installation; RAM 4GB; Node.js 20.18.0; iob 6.0.11
-
-
@Thomas-Braun
iob fix ohne Probleme durchgelaufen
Pi4 / Bullseye -
@sonnenschein sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
iob fix und iob diag rennen wieder.
was wurde aus
@sonnenschein sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
hat iob fix mich hingewiesen das ich den Desktop aktiv habe. Die Frage nach Deaktivierung konnte nicht beantwortet werden
-
@homoran sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
hat iob fix mich hingewiesen das ich den Desktop aktiv habe. Die Frage nach Deaktivierung konnte nicht beantwortet werden
Sind wir dran.
-
@thomas-braun
Die Option --de ist schon integriert im iob diag oder ist das noch in der Testphase? -
@shadowhunter23 sagte in Änderungen iob CLI/Installer/Fixer mit Root Accounts:
Die Option --de ist schon integriert im iob diag oder ist das noch in der Testphase?
Geht gleich 'live'.
-
Soooo ... ok da hat uns Bash doch noch so den ein- und andere Stock zwischen die Beine geworfen
Also neue version online. Bitte einmal "iob fix" ... (da sollten ggf Fragen noch durchlaufen). Aber beim "iob fix danach" nicht mehr
Auch das --de beim iob diag sollte nach einem "iob fix" tun.
Auch der Installer macht jetzt Dinge leicht anders, aber das ist ok. Beschreibung oben angepasst
