RaspberryOS ab jetzt nicht mehr mit 'passwortlosem sudo'
-
Dann wird das Skript angehalten und du darfst dann dein Passwort eingeben. Ist aber auch heute schon der Fall bei eigentlich allen anderen Distributionen. Nur bei RaspberryOS ist/war der Zugriff via sudo ohne Passwort (nur durch Gruppenzugehörigkeit zur sudo-Gruppe) möglich. Im ioB-Installer wurde das durch
Das wird bei Befehlen die der js-controller ev absetzt schwierig ...
Ich rege an dass du mit deinem Wissen das mal mit @apollon77 / @bluefox abklärst ob das wo klemmen kann / wird.
Und persönlich find ich den Zwang zur Passworteingabe eher schwachsinnig. Ich hab da dann nur wenige Alternativen:
- bei jedem Sch.. ein sicheres langes Passort einzutippen
Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln - das Passwort auf aqwert o.ä. zu ändern
- gleich nach dem Einloggen die ganze Session auf sudo zu haben
- passwortloses sudo wieder zu erlauben
Das erste finde ich unzumutbar
2 und 3 sind ein extremes Sicherheitloch
bleibt nur 4 ...Na ja - mal abwarten und Tee trinken
Vielleicht überseh ich da ja was.Das wird bei Befehlen die der js-controller ev absetzt schwierig ...
Das ist aber ja grundsätzlich nichts neues für alles was nicht RaspberryOS ist.
VMs, LXCs usw waren noch nie komplett ohne Passwort für sudo.
Ich wüsste nicht, warum es dann zu wirklichen Problemen kommen sollte, wenn RaspberryOS jetzt das übliche Verhalten einführt.Ich logg mich doch nicht mit ssh keys ein um dann erst zig mal ein sicheres langes Passwort zu tipseln
Dafür gibt es ja die 'grace time'. Stell dir die auf mehrere Stunden, dann haste solange Ruh'.
Oder du stellst es wieder auf passwordless. - bei jedem Sch.. ein sicheres langes Passort einzutippen
-
OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend.
Ja, für den user iobroker gibt es eine passend konfigurierte sudoers.
Deswegen gehört der ja auch z. B. nicht in die Gruppe 'sudo' rein.Beim Aufruf von 'iob diag' wird dann aber mindestens einmal nach dem Passwort gefragt werden.
Ich hatte auch schon überlegt ganz zu anfang eine solche Abfrage zu provozieren, damit dann im weiteren Ablauf (bei gesetzter grace time) keine Unterbrechung erfolgt. -
OK, alles klar - hab grad mal selbst geschecked:
ioBroker konfiguriert sich die von ihm benötigten Rechte bereits jetzt passend. Deswegen gibts offensichtlich auch auf anderen Linuxen kein Problem.
Damit sollte es keinen Einfluss auf ioBroker auf Raspi geben. Nur bei interactiver Arbeit kann da gelegentlich ein Passortprompt kommen. Das wäre dann voll akzeptabel.
Ich könnte es also hier umstellen, wenn ich wollte.
-
Jep
Wahrscheinlich ist es aber sicherer nur jene suso Befehle die man häufiger braucht (z.B. shutdown) explizit mit NOPASSW einzutragen - sofern das nicht eh der Default ist. Bei seltenen Befehlen wird man mit Pwd leben können.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
Jep
Wahrscheinlich ist es aber sicherer nur jene suso Befehle die man häufiger braucht (z.B. shutdown) explizit mit NOPASSW einzutragen - sofern das nicht eh der Default ist. Bei seltenen Befehlen wird man mit Pwd leben können.der user iobroker darf das alles schon ohne passwort
inhalt der datei
/etc/sudoers.d/iobrokeriobroker ALL=(ALL) ALL iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg iobroker ALL=(ALL) NOPASSWD: /usr/bin/make iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat iobroker ALL=(ALL) NOPASSWD: /usr/bin/df iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefundenich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
der user iobroker darf das alles schon ohne passwort
inhalt der datei
/etc/sudoers.d/iobrokeriobroker ALL=(ALL) ALL iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg iobroker ALL=(ALL) NOPASSWD: /usr/bin/make iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat iobroker ALL=(ALL) NOPASSWD: /usr/bin/df iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefundenich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644Das wird in der installer_library.sh so angelegt.
-
der user iobroker darf das alles schon ohne passwort
inhalt der datei
/etc/sudoers.d/iobrokeriobroker ALL=(ALL) ALL iobroker ALL=(ALL) NOPASSWD: /usr/sbin/shutdown iobroker ALL=(ALL) NOPASSWD: /usr/sbin/halt iobroker ALL=(ALL) NOPASSWD: /usr/sbin/poweroff iobroker ALL=(ALL) NOPASSWD: /usr/sbin/reboot iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl start iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemctl stop iobroker ALL=(ALL) NOPASSWD: /usr/bin/mount iobroker ALL=(ALL) NOPASSWD: /usr/bin/umount iobroker ALL=(ALL) NOPASSWD: /usr/bin/systemd-run iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt-get iobroker ALL=(ALL) NOPASSWD: /usr/bin/apt iobroker ALL=(ALL) NOPASSWD: /usr/bin/dpkg iobroker ALL=(ALL) NOPASSWD: /usr/bin/make iobroker ALL=(ALL) NOPASSWD: /usr/bin/ping iobroker ALL=(ALL) NOPASSWD: /usr/sbin/setcap iobroker ALL=(ALL) NOPASSWD: /usr/bin/cat iobroker ALL=(ALL) NOPASSWD: /usr/bin/df iobroker ALL=(ALL) NOPASSWD: /usr/sbin/ldconfig ALL ALL=NOPASSWD: /usr/bin/systemctl start iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl stop iobroker ALL ALL=NOPASSWD: /usr/bin/systemctl restart iobroker ALL ALL=(iobroker) NOPASSWD: /usr/bin/node /opt/iobroker/node_modules/iobroker.js-controller/iobroker.js *zumindest in einer docker instanz
ich weiß leider nicht von woher die datei ursprünglich kommt.
auf gihub hab ich so direkt nichts gefundenich glaub der installer erzeugt die
https://github.com/ioBroker/ioBroker/blob/9d96d9ca07e86c680be7bc183fe931a4f29cb9a2/installer_library.sh#L644@OliverIO
Ja ich weiß
Hatte ich weiter oben schon gepostet.Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren AnmeldenSupport us
253
Online32.8k
Benutzer82.7k
Themen1.3m
Beiträge