Neuer ioBroker-Blog online: Monatsrückblick März/April 2026

Homoran

@Thomas-Braun sagte:

Wurde auch Zeit,

Jepp!

Kann man das passwortlose sudo eigentlich auch bei alten Versionen disablen?

Das

@Thomas-Braun sagte:

disables passwordless sudo by default

Klingt so.
Hab mir da nie Gedanken zu gemacht 😱

Thomas Braun

@mcm1957 sagte:

Immerhin laufen ja ein paar Befehle zumindest bei der Installation auch über sudo.
Und verwendet iob diag nicht auch sudo?

Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch
'You may have to enter the password serverall times' (oder so ähnlich) erwähnt.

Kann man das passwortlose sudo eigentlich auch bei alten Versionen disablen?

Ja, kann man natürlich. Man kann auch die sogenannte 'grace time' einstellen, in der dann nicht nochmal nach dem PW gefragt wird. Bisher war da RaspberryOS aber auch seeeeeehr lax bei den Voreinstellungen.

Homoran

@mcm1957 sagte:

Kannst du mal checken was das für ioBroker bedeutet?
Immerhin laufen ja ein paar Befehle zumindest bei der Installation auch über sudo.
Und verwendet iob diag nicht auch sudo?

Das läuft auch alles unter armbian, das schon immer ein Passwort brauchte

Homoran

@Thomas-Braun sagte:

Ja, kann man natürlich

Und wo/wie?

Thomas Braun

@Homoran sagte:

Und wo/wie?

Müsste ich auch nachschauen. Soweit ich weiß gibt es aber die Datei
/etc/sudoers.d/010_pi-nopasswd
über die das geregelt wird.
Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen.

Homoran

@Thomas-Braun sagte:

Aber pass da auf, man kann sich da ratzfatz die Zugänge komplett wegsensen

Deswegen werde ich mich nicht damit beschäftigt haben 😀

In raspi-config wäre das besser aufgehoben

OliverIO

@Homoran

Und die sudoers Datei immer nur mit visudo bearbeiten.
Wenn da Fehler drin sind, ist der systemzugang weg. Visudo prüft das vor dem Speichern.

https://wiki.ubuntuusers.de/sudo/Konfiguration/

Thomas Braun

@Homoran sagte:

In raspi-config wäre das besser aufgehoben

Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf.

mcm1957

@Thomas-Braun sagte:

Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch

Das wird bei Befehlen die der js-controller ev absetzt schwierig ...

Ich rege an dass du mit deinem Wissen das mal mit @apollon77 / @bluefox abklärst ob das wo klemmen kann / wird.

Und persönlich find ich den Zwang zur Passworteingabe eher schwachsinnig. Ich hab da dann nur wenige Alternativen:

• bei jedem Sch.. ein sicheres langes Passort einzutippen
  Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln
• das Passwort auf aqwert o.ä. zu ändern
• gleich nach dem Einloggen die ganze Session auf sudo zu haben
• passwortloses sudo wieder zu erlauben

Das erste finde ich unzumutbar
2 und 3 sind ein extremes Sicherheitloch
bleibt nur 4 ...

Na ja - mal abwarten und Tee trinken
Vielleicht überseh ich da ja was.

mcm1957

@Thomas-Braun sagte:

@Homoran sagte:

In raspi-config wäre das besser aufgehoben

Da ist es ja drin. Jedenfalls in aktueller Version müsste das dann drin sein.
Wenn du dein System regelmäßig auf Stand hältst hast du den heute veröffentlichten Stand schon drauf.

Na dann sollte ich vielleicht nach meinem Urlaub die SSD noch ein weiteres mal bügeln und initial installieren. Dann sehe ich gleich was alles nicht geht. Muss ich mir überlegen.

Homoran

@mcm1957 sagte:

Dann sehe ich gleich was alles nicht geht.

Wie geschrieben sollte alles gehen! Warum auch nicht??

Das Vorgehen bei sudo mit Passwort ist nahezu überall Standard.
Lediglich RaspberryOS war da bisher nicht streng genug

Wenn RasPiOS jetzt endlich nachziehen, ist es nicht anders als die anderen Linuxe

mcm1957

Hier der Inhalt von /etc(/sudoers.d/010_pi-nopasswd

xx ALL=(ALL) NOPASSWD: ALL

xx ist dabie der Hauoptuser. Da wird also das generelle NOPASSWD gesetzt.

Thomas Braun

@mcm1957 sagte:

Das wird bei Befehlen die der js-controller ev absetzt schwierig ...

Das ist aber ja grundsätzlich nichts neues für alles was nicht RaspberryOS ist.
VMs, LXCs usw waren noch nie komplett ohne Passwort für sudo.
Ich wüsste nicht, warum es dann zu wirklichen Problemen kommen sollte, wenn RaspberryOS jetzt das übliche Verhalten einführt.

Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln

Dafür gibt es ja die 'grace time'. Stell dir die auf mehrere Stunden, dann haste solange Ruh'.
Oder du stellst es wieder auf passwordless.

mcm1957

OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.

Thomas Braun

@mcm1957 sagte:

ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend.

Ja, für den user iobroker gibt es eine passend konfigurierte sudoers.
Deswegen gehört der ja auch z. B. nicht in die Gruppe 'sudo' rein.

Beim Aufruf von 'iob diag' wird dann aber mindestens einmal nach dem Passwort gefragt werden.
Ich hatte auch schon überlegt ganz zu anfang eine solche Abfrage zu provozieren, damit dann im weiteren Ablauf (bei gesetzter grace time) keine Unterbrechung erfolgt.

Thomas Braun

Ich könnte es also hier umstellen, wenn ich wollte.

mcm1957

Jep
Wahrscheinlich ist es aber sicherer nur jene suso Befehle die man häufiger braucht (z.B. shutdown) explizit mit NOPASSW einzutragen - sofern das nicht eh der Default ist. Bei seltenen Befehlen wird man mit Pwd leben können.

OliverIO

@mcm1957

der user iobroker darf das alles schon ohne passwort

inhalt der datei
/etc/sudoers.d/iobroker

iobroker ALL=(ALL) ALL
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot
iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start
iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop
iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount
iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount
iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run
iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get
iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt
iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg
iobroker ALL=(ALL) NOPASSWD: /usr/bin/make
iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap
iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat
iobroker ALL=(ALL) NOPASSWD: /usr/bin/df
iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig
ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker
ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker
ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker
ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *

zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefunden

ich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644

Thomas Braun

@OliverIO

Das wird in der installer_library.sh so angelegt.

mcm1957

@OliverIO
Ja ich weiß
Hatte ich weiter oben schon gepostet.