Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
... imho ein längst überfälliger Schritt in die richtige Richtung zur Verbesserung der Sicherheit. Nur frag ich mich, ob dafür dann auch entsprechend das PolKit aufgewertet wird. Ich nutze das Polkit jetzt schon länger so umfassend, dass ich "sudo" schon ewig ausgemustert habe und auf meinem PC auch auf die Eingabe von "su" verzichten könnte... ich kann mich sowieso kaum daran erinnern, wann ich das das letzte Mal getan habe.... 
In dem Fall setzt du die besagte Option einfach nicht. Das ist ’ne Sache für Leute, die eben kein su o.Ä. benötigen.TomL hat geschrieben:25.06.2018 20:40:25Nur eines ist mir bei der Meldung unklar, wie wird das künftig geregelt, wenn ich mich heute via SSH und mit Keyfiles als User auf meinem Server anmelden kann, um dann da via "su" zu root zu wechseln?
Ich habe Debian Sid installiert und ebenfalls keine Probleme mit systemd 239! - Da wollte sich wohl ein systemd-Hasser wichtig machen?schwedenmann hat geschrieben:26.06.2018 00:19:21Habe systemd 239-1 drauf (Debian-unstavbe) und kann trotzdem in der Konsole per su zu root werden.
Code: Alles auswählen
ii libpam-systemd:amd64 239-1 amd64 system and service manager - PAM module
ii libsystemd0:amd64 239-1 amd64 systemd utility library
ii systemd 239-1 amd64 system and service manager
ii systemd-sysv 239-1 amd64 system and service manager - SysV linksIn diesem Fall: falsch, das ist ’ne offizielle Info des Hauptentwicklers von systemd – der kann man schon trauen. Man sollte nur genau lesen, und auch mal ’ne halbe Minute über das Gelesene nachdenken. Da steht nicht, dass nun irgendwas umgestellt wurde und su et al. nicht mehr funktionieren würden. Da steht nur, dass es nun die Option gibt, eine solche Rechteausweitung zu verhindern – wenn man das denn will.schwedenmann hat geschrieben:26.06.2018 00:19:21Man sollte eben dem Inet , vor allen den blogs nicht allzu vertrauen.
Jetzt überlege ich schon eine ganze Zeit, was dann (meine) Best-Practice sein wird. Auf den Desktop-PCs hab ich keinen Zweifel, da wird der Wechsel nach root auf jeden Fall deaktiviert. Beim Server bin ich noch unschlüssig. Einerseits gibt dort sowieso keine lokalen Anmeldungen, und andererseits resultiert aus der "su"-Methode eine 3-stufige Sicherheit: 1. ohne Key-File geht gar nix, 2. mein Pwd muss bekannt sein, aber selbst damit ist 'man' noch rechtelos, 3. auf dem Server muss zusätzlich das root-PWD bekannt sein.niemand hat geschrieben:25.06.2018 21:04:00In dem Fall setzt du die besagte Option einfach nicht. Das ist ’ne Sache für Leute, die eben kein su o.Ä. benötigen. Abgesehen davon: direkter Root-Login via ssh mit Schlüsseln (also nicht via Passwort) ist schon in Ordnung.
Code: Alles auswählen
systemd (239-1) unstable; urgency=medium
DynamicUser=yes has been enabled for systemd-journal-upload.service,
systemd-journal-gatewayd.service, systemd-timesyncd.service,
systemd-networkd.service and systemd-resolved.service.
This means it is no longer necessary to statically allocate a
systemd-journal-upload, systemd-journal-gateway, systemd-timesync,
systemd-network and systemd-resolve user and you can now safely remove
those system users along with their associated groups.
Was ist unklar? Einige Sachen, für die vorher ’n eigener User benötigt wurde, brauchen nun keinen mehr. Die entsprechenden Accounts können entsorgt werden.geier22 hat geschrieben:26.06.2018 16:46:32Wäre schön, wenn dies mal einem nicht verstehenden user gedeutet werden könnte.
Warum sollte es auch nicht?
Also wer sich für "DynamicUser" interessiert, kann Lennarts ausführlichen Blogpost dazu mal lesen:niemand hat geschrieben:26.06.2018 17:21:30Was ist unklar? Einige Sachen, für die vorher ’n eigener User benötigt wurde, brauchen nun keinen mehr. Die entsprechenden Accounts können entsorgt werden.geier22 hat geschrieben:26.06.2018 16:46:32Wäre schön, wenn dies mal einem nicht verstehenden user gedeutet werden könnte.