Du bist nicht angemeldet.

#1 29.05.2018 06:28:39

fablab
Mitglied

[ok] PCManFM - mount als sudo User ohne Passwort

Hallo Archer,

in meinem Archlinux LXDE System habe ich sudo eingerichtet.

Sudo soll Laufwerke ohne Eingabe eine Passwort mounten können.

Wie richte ich das ein?

Zur Zeit wird ein Passwort abgefragt, erst danach in das mounten möglich.

https://wiki.archlinux.org/index.php/PCManFM

https://wiki.archlinux.org/index.php/PC … ount_drive

Ist das die richtige Anleitung?

Muss die /etc/sudoers nicht bearbeitet werden?

Welche Möglichkeiten gibt es noch?

MfG

fablab

Beitrag geändert von fablab (04.06.2018 11:08:56)

Offline

#2 29.05.2018 16:49:26

fablab
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Ist das die einzige Möglichkeit?

Offline

#3 29.05.2018 19:59:53

stefanhusmann
Moderator

Re: [ok] PCManFM - mount als sudo User ohne Passwort

sudo kann kaine Laufwerke mounten. mount kann dies.

NOPASSWD in der /etc/sudoers  für das mount-Kommando sollte ermöglichen, was du möchtest.

Offline

#4 31.05.2018 05:41:56

fablab
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

https://wiki.archlinux.org/index.php/PC … ount_drive


Hallo Archer,

das gewünschte Feature konnte ich wie folgt einrichten, die zuvor verlinkte Anleitung ist super.

sudo nano  /etc/polkit-1/rules.d/00-mount-internal.rules
polkit.addRule(function(action, subject) {
   if ((action.id == "org.freedesktop.udisks2.filesystem-mount-system" &&
      subject.local && subject.active && subject.isInGroup("storage")))
      {
         return polkit.Result.YES;
      }
});

Dann weiter wie in der Anleitung.

sudo usermod -aG storage username

Was machen die beidern Schritte genau?
An den Userrechten musste ich nichts ändern.

Die Anleitung funktioniert auch mit PCManFM-Qt.

MfG

fablab

Beitrag geändert von fablab (01.10.2018 17:14:40)

Offline

#5 31.05.2018 13:31:13

matthias
Moderator

Re: [ok] PCManFM - mount als sudo User ohne Passwort

fablab schrieb:
sudo usermod -aG storage username

Was machen die beidern Schritte genau?
An den Userrechten musste ich nicht ändern.

sudo hielt ich schon immer für einen überflüssigen Krampf, aber ich glaube, genau das hast du gerade getan - etwa die Rechte der User in der Gruppe storage geändert. Du solltest nicht stumpfsinnig Befehle abtippen, wenn du nicht weisst, was sie bewirken - schon gar nicht bei grundlegenden Fragen der Systemadministration.

Auch im Hinblick auf deine anderen Threads sei dir einmal ein herzhaftes RTFM ans Herz gelegt. Das sagt niemand gern, aber manchmal muss es eben sein. Arch setzt schon etwas Eigeninitiative voraus, und niemand hat wirklich Lust, die Antworten für dich zu googlen. Falls du nicht weisst, was RTFM bedeutet - kannst du googlen.

Offline

#6 31.05.2018 14:00:20

fablab
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Für mich finde ich sudo gut, da hatte ich zuvor auch schon.

Bisher ist Arch für mich nur ein Lernsystem.

RTFWiki

Was mich irritiert, die Gruppe "storage" wurde mich gar nicht mit "groups" angezeigt.
Liegt das daran, weil mein User in der Gruppe "wheel" ist?

Da kommen aber immer wieder Fragen auf.



Auszug, Wiki Ubuntu: Wenn man die Option -G ohne die Option -a verwendet, so wird der entsprechende User den Gruppen hinzugefügt, welche als Liste übergeben werden, und aus allen anderen entfernt! Daher muss man, falls man den User einer Gruppe hinzufügen will, ohne die anderen Gruppenzugehörigkeiten anzutasten, die Optionen -a und -G immer zusammen verwenden, da man sich ansonsten z.B. auch aus der Gruppe admin entfernen könnte (die benötigt wird, um sich Root-Rechte verschaffen zu können).

Bisher kanne ich nur "adduser"

Beitrag geändert von fablab (31.05.2018 14:23:29)

Offline

#7 01.06.2018 01:26:02

efreak4u
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

[/]% groups 
video audio users usbmux

Ich brauche weder eine Gruppe "wheel" noch eine Gruppe "admin" und kann mir trotzdem root-Rechte verschaffen.. und das ganz simpel mit dem Befehl "su"... so ganz ohne sudo-Krims-Krams....

Denk mal drueber nach, fablab... wink

Offline

#8 01.06.2018 10:15:17

fablab
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Hallo efreak4u,

danke, das werde ich tun:

https://bbs.archlinux.de/viewtopic.php?id=31617

Offline

#9 01.06.2018 11:18:17

GerBra
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

fablab schrieb:

Was mich irritiert, die Gruppe "storage" wurde mich gar nicht mit "groups" angezeigt.
Liegt das daran, weil mein User in der Gruppe "wheel" ist?

Da kommen aber immer wieder Fragen auf.

Der Befehl groups zeigt die Gruppenmitgliedschaften des aufrufenden User für die *momentan* angemeldete Sitzungen(Logins) an.
Die meisten Änderungen an User- und Gruppeneinstellungen werden erst bei einem neuen Loginvorgang wirksam, d.h. spätestens wenn der user sich überall (TTY, SSH und Displaymanager/XOrg) *abmeldet und neu* anmeldet.
Das Hinzufügen deines User zu der Gruppe hat also keinen sofortigen Effekt (groups zeigt das nicht an). Erst wenn du eine explizite Loginshell startest mit dem Befehl würde das korrekt ausgelesen, z.B.

$ sudo usermod -aG storage username
$ groups
(zeigt die storage Gruppe *nicht* an)
$ bash -l -c groups
(kleines -L, bewirkt ein neues Login für diese Shell, deshalb liest groups die neuen Einstellungen)

Merksatz: bei Änderungen der User-/Gruppeneinstellungen per usermod/groupmod am Sichersten den User komplett abmelden und neu anmelden (lassen).
Die Mitgliedschaft in der %wheel Gruppe hat darauf keinen Einfluß.

fablab schrieb:

Bisher kanne ich nur "adduser"

Nun, es wäre ja tragisch wenn User und Gruppen nur hinzugefügt werden könnten, deshalb gibt es für beide Datenbestände halt auch entsprechende *mod und *del Kommandos.

efreak4u schrieb:

und das ganz simpel mit dem Befehl "su"

Ha! Niemals nicht su ohne -, -l, oder --login verwenden ;-) Fallstricke vorprogrammiert.
Tip: schau dir mal env mit und ohne explizites Login an (bei früheren Versionen war nicht mal $HOME geändert, richtig böser Fallstrick, ich sage nur .Xauthority... //Edit: und $PATH kann für den unachtsamen root-Admin richtig böse werden...)

Beitrag geändert von GerBra (01.06.2018 11:39:11)

Offline

#10 01.06.2018 18:06:49

k.osmo
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

@ efreak4u

$ groups
wheel users lpadmin wireshark adbusers
$ cat /etc/pam.d/su
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid
auth            required        pam_unix.so
account         required        pam_unix.so
session         required        pam_unix.so
$ cat /etc/pam.d/su-l
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid
auth            required        pam_unix.so
account         required        pam_unix.so
session         required        pam_unix.so

Zu den Umgebungsvariablen hat GerBra alles gesagt…

Offline

#11 03.06.2018 11:33:47

fablab
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

GerBra schrieb:
efreak4u schrieb:

und das ganz simpel mit dem Befehl "su"

Ha! Niemals nicht su ohne -, -l, oder --login verwenden ;-) Fallstricke vorprogrammiert.
Tip: schau dir mal env mit und ohne explizites Login an (bei früheren Versionen war nicht mal $HOME geändert, richtig böser Fallstrick, ich sage nur .Xauthority... //Edit: und $PATH kann für den unachtsamen root-Admin richtig böse werden...)


Hallo GerBra, kannst Du das genauer erläutern?

Jetzt bin ich ohne sudo unterwegs.

MfG

fablab

Offline

#12 03.06.2018 13:13:15

efreak4u
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

@fablab: Die genaue Erlaeuterung hat GerBra doch schon in dem von dir verwendeten Zertifikat gebracht... o_0

Offline

#13 03.06.2018 18:30:48

GerBra
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

fablab schrieb:
GerBra schrieb:

Ha! Niemals nicht su ohne -, -l, oder --login verwenden ;-) Fallstricke vorprogrammiert.
Tip: schau dir mal env mit und ohne explizites Login an (bei früheren Versionen war nicht mal $HOME geändert, richtig böser Fallstrick, ich sage nur .Xauthority... //Edit: und $PATH kann für den unachtsamen root-Admin richtig böse werden...)

Hallo GerBra, kannst Du das genauer erläutern?

Ja, kann ich, anhand eines Beispiels.
su ohne expliziten Loginvorgang übernimmt vom aufrufenden User(bzw. dessen Sitzung) das sog. "Environment", also Parameter/Einstellungen der User-Sitzung. Das kann man sich recht einfach verdeutlichen wenn man mal su ohne und su mit Login aufruft und dort jeweils mit dem Befehl env sich die jeweilige Umgebung anschaut. Beim su ohne Login sind noch etliche Umgebungsvariablen/Verweise auf die "aufrufende" Usersitzung zu finden.
Bei mir sind das z.B. USER, PWD, MAIL, DBUS_SESSION_BUS_ADDRESS, XDG_RUNTIME_DIR und PATH.
Wenn ich also um eine root-Shell zu kriegen einfach nur su eingebe, würde ich - wenn ich mir dessen nicht bewußt wäre - in weiteren Vorgängen nicht zum root-Account passende Umgebungsvariablen verwenden, eben halt z.B. $USER, $MAIL, usw. Ich erwarte eigentlich daß $USER z.B. root wäre, ist es aber nicht. Mit su --login werden diese Variablen bzw. die ganze Umgebung hingegen "richtig" initialisiert/besetzt.

Wie gefährlich so ein "gedankenloses" su sein kann ist recht anschaulich anhand des angesprochenden PATH-Problems zu sehen. Unter eigentlich recht normalen Umständen kann sich ein User root-Rechte verschaffen.

Vorgedanke (und des Pudels Kern): Wenn mehrere gleichlautende Befehle/Programme existieren wird dass verwendet, welches im $PATH (den Suchpfaden) als erstes gefunden wird. Darüber einfach mal nachdenken bevor man/du evtl. weiterliest.

-----------------------


So: mein böser User heißt evilnerd und er möchte seinen Admin mal testen und hätte gerne Root-Rechte auf seinem Rechner, damit neben den laaaangweiligen Büroprogrammen endlich mal supertuxkart installiert werden kann.
Die $PATH-Variable unseres evilnerd lautet nun:

PATH=/home/evilnerd/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/usr/bin/site_perl:/usr/bin/vendor_perl:/usr/bin/core_perl

evilnerd plaziert nun z.B. eigenen Code in /home/evilnerd/bin (erstes Verzeichniss in der Suchliste), z.B. ein Shellskript (darf er ja, da er ja berechtigt ist zum schreiben).

#!/bin/sh
#

echo "I could do everything as root... nanananana na!" > /root/i_was_here

/usr/bin/ls $@

echo "HaHa. ich bin: $(id)"

und nennt dieses Skript ls und macht es ausführbar. Auch andere Befehle sind denkbar, einfach alles was root wohl verwenden würde/könnte.

Nun bringt evilnerd unseren gedankenlosen Admin dazu, mittels su eine Root-Shell zu öffnen:
"Hey Admin, ein ls auf mein /mnt/officedata/ funktioniert nicht oder bringt nur Fragezeichen... Hilfe!!!"
(evilnerd könnte ja wirklich ein "stimmiges" Fehlerbild produzieren, das ist dann schon anspruchsvoll...)
Der ahnungslose Admin (leidenschaftlicher su Nutzer) hämmert nun in das (passenderweise) offene Terminalfenster von evilnerd ein beherztes:

su

ein, bittet evilnerd sich doch bei der Paßworteingabe kurz wegzudrehen (schließlich soll ja nicht jeder das Root-PW kennen!) und verdeckt die PW-Eingabe sicherheitshalber noch mit dem breiten, muckibudengestählen Oberkörper. Dann schaut sich unser Admin das ganze Problem jetzt in seiner Rootshell an:

ls -lh /mnt/officedata

und bekommt folgendes zu sehen:

insgesamt 96K
drwxr-xr-x 2 petersen office 4,0K 14. Aug 2017   Workshops
drwxr-xr-x 2 petersen office 4,0K  3. Jun 17:39  Wichtig
 -rw-r--r-- 1 evilnerd office    0 20. Apr 2017   blumen_gießen_im_buero.doc
HaHa. ich bin: uid=0(root) gid=0(root) Gruppen=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(log)

Statt /usr/bin/ls ist nun das von evilnerd plazierte Skript ausgeführt worden. Evilnerd konnte so z.B. ins eigentlich gesperrte /root/-Verzeichnis reinschreiben, bei wirklich böartigen Dingen kann man so auch leicht sich einen neuen Root(UID 0)-Account anlegen lassen, Daten löschen/manipulieren, einen Atomkrieg auslösen...
Wenn es geschickt gemacht ist, sogar unmerklich und schwer nachweisbar.
Ein: which ls zeigt das auch genau.

Und alles, weil unser gedankenloser Admin ein paar Fehler machte:
a) su eben ohne -, -l oder --login zu starten (dadurch wurde die alte PATH-Einstellung vom evilnerd-Environment übernommen)
b) ls (oder welchen Befehl auch immer) ohne explizite Pfadangabe aufzurufen (/usr/bin/ls hätte diese "Manipulation" garnicht greifen lassen)
c) Einfach su statt schon von Beginn /usr/bin/su (egal ob nun mit oder ohne Login) verwendet, für su könnte evilnerd ja auch schon ein manipuliertes su hinterlegt haben.
d) Generell sollte ein Admin nie irgendetwas aus dem Desktop/Umgebung eines Users "benutzen", z.B. das gerade offene Terminalfenster. Sondern sich (besser) wenigstens über die TTY-Textkonsolen anmelden (daß wäre dann ein vollwertiges Login).
Und ja, am besten hätte man in so einer Umgebung ein noxec für die HOME-Mounts oder Daten-Mounts, aber oftmals sind es ja auch "Normal- oder Defaultumgebungen" ohne weitere Sicherheitsaspekte.

Auf obiges Szenario (speziell eben die "$PATH-Manipulation") sind schon viele "reingefallen" bei kurzen "Testen-wir-den-Admin" Spielen.
Durch einen simplen Zusatz bei su kann dieses Beispiel schon abgewendet werden, deshalb predige ich immer für "su -" statt "su". Kostet nichts, hilft viel...
NB: einen Alias zu setzen für su (der eben su --login aufruft) ist ggf. keine gute Lösung gegen diese "Gedankenlosigkeit", da der definierte Alias ja nicht überall vorhanden sein muß.

Offline

#14 03.06.2018 18:51:15

fablab
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Danke für dein ausführlichen Bericht, das ist ja was fürs Wiki

astrein


Genügt auch ein "su -l" anstelle von "su --login"?

Beitrag geändert von fablab (03.06.2018 19:02:26)

Offline

#15 03.06.2018 19:15:23

GerBra
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

fablab schrieb:

Genügt auch ein "su -l" anstelle von "su --login"?

Ja, siehe die manpage zu su: -, -l und --login bewirken das Gleiche.
Ich nutze automatisch/schlafwandlerisch:

su -
(bzw. <g>)
/usr/bin/su -

Offline

#16 18.08.2019 10:09:52

newcomer
Gast

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Ha! Niemals nicht su ohne -, -l, oder --login verwenden ;-) Fallstricke vorprogrammiert.


Danke für die Info, ich habe das immer falsch gemacht.

#17 18.08.2019 12:18:41

hollex
Mitglied

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Ich habe meinen Root-Account deaktiviert.
Falls es erforderlich sein sollte, nutzte ich dann:

sudo su -l

Offline

#18 18.08.2019 12:37:16

matthias
Moderator

Re: [ok] PCManFM - mount als sudo User ohne Passwort

Die detaillierte Erklärung von Gerbra bleibt so bestehen, aber es gibt keinen Grund, hier jetzt noch mehr als ein Jahr später die persönlichen Präferenzen anzuhängen.

Offline

Fußzeile des Forums