https://www.heise.de/news/Raspberry-Pi-OS-6-2-Update-verspricht-mehr-Sicherheit-11258279.html

Das wird in der installer_library.sh so angelegt.

der user iobroker darf das alles schon ohne passwort

inhalt der datei
/etc/sudoers.d/iobroker

iobroker ALL=(ALL) ALL
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot
iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start
iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop
iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount
iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount
iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run
iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get
iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt
iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg
iobroker ALL=(ALL) NOPASSWD: /usr/bin/make
iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap
iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat
iobroker ALL=(ALL) NOPASSWD: /usr/bin/df
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig
ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker
ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker
ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker
ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *

zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefunden

ich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644

Ich könnte es also hier umstellen, wenn ich wollte.

@mcm1957 sagte:

ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend.

Ja, für den user iobroker gibt es eine passend konfigurierte sudoers.
Deswegen gehört der ja auch z. B. nicht in die Gruppe 'sudo' rein.

Beim Aufruf von 'iob diag' wird dann aber mindestens einmal nach dem Passwort gefragt werden.
Ich hatte auch schon überlegt ganz zu anfang eine solche Abfrage zu provozieren, damit dann im weiteren Ablauf (bei gesetzter grace time) keine Unterbrechung erfolgt.

@mcm1957 sagte:

Das wird bei Befehlen die der js-controller ev absetzt schwierig ...

Das ist aber ja grundsätzlich nichts neues für alles was nicht RaspberryOS ist.
VMs, LXCs usw waren noch nie komplett ohne Passwort für sudo.
Ich wüsste nicht, warum es dann zu wirklichen Problemen kommen sollte, wenn RaspberryOS jetzt das übliche Verhalten einführt.

Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln

Dafür gibt es ja die 'grace time'. Stell dir die auf mehrere Stunden, dann haste solange Ruh'.
Oder du stellst es wieder auf passwordless.

xx ALL=(ALL) NOPASSWD: ALL

xx ist dabie der Hauoptuser. Da wird also das generelle NOPASSWD gesetzt.

@mcm1957 sagte:

Dann sehe ich gleich was alles nicht geht.

Wie geschrieben sollte alles gehen! Warum auch nicht??

Das Vorgehen bei sudo mit Passwort ist nahezu überall Standard.
Lediglich RaspberryOS war da bisher nicht streng genug

Wenn RasPiOS jetzt endlich nachziehen, ist es nicht anders als die anderen Linuxe

@Thomas-Braun sagte:

@Homoran sagte:

In raspi-config wäre das besser aufgehoben

Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf.

Na dann sollte ich vielleicht nach meinem Urlaub die SSD noch ein weiteres mal bügeln und initial installieren. Dann sehe ich gleich was alles nicht geht. Muss ich mir überlegen.

@Thomas-Braun sagte:

Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch

Das wird bei Befehlen die der js-controller ev absetzt schwierig ...

Ich rege an dass du mit deinem Wissen das mal mit @apollon77 / @bluefox abklärst ob das wo klemmen kann / wird.

Und persönlich find ich den Zwang zur Passworteingabe eher schwachsinnig. Ich hab da dann nur wenige Alternativen:

• bei jedem Sch.. ein sicheres langes Passort einzutippen
  Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln
• das Passwort auf aqwert o.ä. zu ändern
• gleich nach dem Einloggen die ganze Session auf sudo zu haben
• passwortloses sudo wieder zu erlauben

Das erste finde ich unzumutbar
2 und 3 sind ein extremes Sicherheitloch
bleibt nur 4 ...

Na ja - mal abwarten und Tee trinken
Vielleicht überseh ich da ja was.

@Homoran sagte:

In raspi-config wäre das besser aufgehoben

Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf.

Und die sudoers Datei immer nur mit visudo bearbeiten.
Wenn da Fehler drin sind, ist der systemzugang weg. Visudo prüft das vor dem Speichern.

https://wiki.ubuntuusers.de/sudo/Konfiguration/

@Thomas-Braun sagte:

Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen

Deswegen werde ich mich nicht damit beschäftigt haben 😀

In raspi-config wäre das besser aufgehoben

@Homoran sagte:

Und wo/wie?

Müsste ich auch nachschauen. Soweit ich weiß gibt es aber die Datei
/etc/sudoers.d/010_pi-nopasswd
über die das geregelt wird.
Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen.

@Thomas-Braun sagte:

Ja, kann man natürlich

Und wo/wie?

@mcm1957 sagte:

Kannst du mal checken was das für ioBroker bedeutet?
Immerhin laufen ja ein paar Befehle zumindest bei der Installation auch über sudo.
Und verwendet iob diag nicht auch sudo?

Das läuft auch alles unter armbian, das schon immer ein Passwort brauchte

@mcm1957 sagte:

Immerhin laufen ja ein paar Befehle zumindest bei der Installation auch über sudo.
Und verwendet iob diag nicht auch sudo?

Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch
'You may have to enter the password serverall times' (oder so ähnlich) erwähnt.

Kann man das passwortlose sudo eigentlich auch bei alten Versionen disablen?

Ja, kann man natürlich. Man kann auch die sogenannte 'grace time' einstellen, in der dann nicht nochmal nach dem PW gefragt wird. Bisher war da RaspberryOS aber auch seeeeeehr lax bei den Voreinstellungen.

@Thomas-Braun sagte:

Wurde auch Zeit,

Jepp!

Kann man das passwortlose sudo eigentlich auch bei alten Versionen disablen?

Das

@Thomas-Braun sagte:

disables passwordless sudo by default

Klingt so.
Hab mir da nie Gedanken zu gemacht 😱

Und da es ja lt. den ioBroker Vorgaben kein Panel geben kann - sprich keine grafische Overfläche an Server - wo diasbled man das auf der Commandline? Im sudoers file? Hab eigentlich null bock bei jedem sudo shutdown erst das Passwort eintippen zu müssen...