Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

[Animefreak79]

Als ich heute seit langem mal wieder thunderbird gestartet habe, stellte ich fest, dass oben im Titel des Fenster in Klammern die Worte als Systemverwalter geschrieben standen. Was mich doch sehr verwundert hat, ich arbeite schließlich nicht als root. Also habe ich mir einfach mal den Prozess angeschaut. Das Ergebnis:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep thunderbird
shinji    2619  0.0  0.0  12784   948 pts/1    S+   21:08   0:00 grep thunderbird
shinji@nerv-kommandozentrale:~$

Läuft also offensichtlich doch nicht mit Rootrechten, wieso steht dort aber dann aber geschrieben, das Programm würde als Systemverwalter ausgeführt? Einer Eingebung zufolge probierte ich mal:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep X
root      1383  1.8  0.9 532060 75860 tty7     Ssl+ 20:56   0:15 /usr/lib/xorg/Xorg :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
shinji    2636  0.0  0.0  12784   948 pts/2    S+   21:10   0:00 grep X
shinji@nerv-kommandozentrale:~$

Hö? Jetzt bin ich verwirrt. Benötigt X nicht seit Debian 9 keine Rootrechte mehr? Ich bin mir sicher, dass dem so ist, und das X bisher bei mir unter Stretch bislang auch nie als root ausgeführt wurde, sondern mit meinem normalen Benutzeraccount. Oder... Bin ich einfach nur paranoid?

[RobertDebiannutzer]

Läuft Xorg bei Debian 9 plötzlich wieder mit Root-Rechten?

Üblicherweise: Nö.

Ich bin mir sicher, dass dem so ist, und das X bisher bei mir unter Stretch bislang auch nie als root ausgeführt wurde, sondern mit meinem normalen Benutzeraccount.

Was hast Du denn geändert?

[Animefreak79]

Was hast Du denn geändert?

Eigentlich nichts, dass ist ja gerade das, was mir so ein Kopfzerbrechen bereitet. Ich benutze nach wie vor lightdm als Loginmanager, hatte schon den Verdacht, dass es irgendetwas damit zu tun hat. Und dann: https://www.debian.org/releases/stable/ ... uires-root Hier steht, dass X nur dann nicht als root läuft, wenn man gdm3 als Loginmanager verwendet. Bin gerade am überlegen, ob ich mir stattdessen mal gdm3 installieren soll, aber eigentlich möchte ich das nicht, weil ich das schlichte Design von lightdm mag. Ich hab schon chkrootkit und rkhunter laufen lassen, aber damit wurde natürlich nichts gefunden. Das einzige, was ich zuletzt geändert habe, war, dass ich mein Netzwerk anstatt mit NetworkManager klassisch über /etc/network/interfaces verwalte, aber daran kann das kaum liegen, oder?

[RobertDebiannutzer]

Hast Du vielleicht libpam-systemd deinstalliert?

Allerdings hätte es laut Deinem Link mit lightdm eh nie funktioniert. Bist Du Dir sicher, dass X bei Dir mit lightdm schon rootless gelaufen ist?
Um zu testen, ob ein anderes Problem vorliegt, kannst Du ja statt gdm3 auch

Code: Alles auswählen

startx

in tty probieren. Das funktioniert auch rootless (steht auch in Deinem Link).

[Animefreak79]

Ja, libpam-systemd ist auf meinem System definitiv installiert. Und... Jetzt bin ich mir ehrlich gesgat nicht einmal mehr hundertptrozentig sicher, ob ich mich nicht doch irre. Denn lightdm ist definitiv nicht gdm3... Um das wirklich auszurpobieren, müsste ich mir wohl tatsächlich gdm3 installieren, was ich aber nicht wirklich möchte, ich bin mir auch sicher, dass dann noch ziemlich viel anderer Kram mitinstalliert wird, da auf meinem System ja XFCE und MATE laufen. gdm3 nutzt doch, wenn ich mich nicht sehr irre, GTK3, wohingegen XFCE und MATE (glaube ich) in erster Linie auf GTK2 basieren.
Auch

Code: Alles auswählen

startx

funktioniert leider nicht ohne root, die Ausgabe von ps sieht (leider) genauso aus, obwohl ich den PC komplett neugestartet habe und mich vorher auch nicht über den Loginmanager angemeldet habe.

/EDIT: Ich habe mal probehalber den Displaymanger komplett entfernt, und dann

Code: Alles auswählen

startx

ausprobiert... In diesem Fall läuft X NICHT mit Rootrechten. Jetzt hab ich mir erstaml wieder lightdm installiert.

[KP97]

Wenn Du alleine Deinen Rechner benutzt, brauchst Du überhaupt keinen Displaymanager, ist nur überflüssiger Kram.
Anweisungen zum Systemstart ohne gibt es einige, ich habe hier in der Vergangenheit auch schon was geschrieben.

[Animefreak79]

Wenn Du alleine Deinen Rechner benutzt, brauchst Du überhaupt keinen Displaymanager, ist nur überflüssiger Kram.
Anweisungen zum Systemstart ohne gibt es einige, ich habe hier in der Vergangenheit auch schon was geschrieben.

Die Idee gefällt mir. Zumal damit das Problem von wegen X mit Rootrechten gelöst ist. Also habe ich kurzerhand lightdm komplett entfernt, lande also beim Start meines Systems jetzt auf tty1. (Außerdem hatte ich irgendwie mal wieder Lust auf KDE verspürt, hab es mir also in der minimalsten Auswahl zusätzlich noch aufgespielt, und bin gerade angenehm überrascht, wie flott diese Arbeitsumgebung doch unter Debian zu Werke geht). Ich hab mir die Sache ganz einfach gemacht. In meiner .bashrc steht jetzt am Ende noch

Code: Alles auswählen

alias mate='startx /usr/bin/mate-session'
alias kde='startx /usr/bin/startkde'

Das spart zumindest mal Tipparbeit. Ein alleiniges startx bringt die Default-Session, also XFCE auf den Schirm. Nun also glücklicherweise

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep X
shinji    1077  0.0  0.0  22312  2508 tty1     S+   19:49   0:00 xinit /usr/bin/mate-session -- /etc/X11/xinit/xserverrc :0 vt1 -keeptty -auth /tmp/serverauth.QdTY3umCaF
shinji    1078  1.1  0.9 521876 74140 tty1     Sl   19:49   0:09 /usr/lib/xorg/Xorg -nolisten tcp :0 vt1 -keeptty -auth /tmp/serverauth.QdTY3umCaF
shinji    1793  0.0  0.0  12784   944 pts/0    S+   20:03   0:00 grep X
shinji@nerv-kommandozentrale:~$

So wünsche ich mir das.^^

[Animefreak79]

Ich starte X jetzt also immer nach dem Hochfahren manuell von der Konsole aus, ohne Login-Manager. Alles ganz gut soweit, demzufolge läuft X also auch mit normalen Benutzerrechten. Trotzdem steht sowohl bei thunderbird als auch bei firefox-esr im Fenstertitel nach wie vor als Systemverwalter obwohl ich ja nun nicht als root unterwegs bin und natürlich auch die Mozilla-Programme nicht mit Rootrechten oder mittels policykit ausführe, weil dies ja null Sinn macht. Der Prozess:

Code: Alles auswählen

shinji@nerv-kommandozentrale:~$ ps augx | grep thunderbird
shinji    1959  0.0  0.0  18376  2496 tty1     S    22:10   0:00 firejail /usr/bin/thunderbird
shinji    1962  0.3  0.0  18384  2356 tty1     S    22:10   0:00 firejail /usr/bin/thunderbird
shinji    1971 44.4  3.3 2009448 268484 tty1   Sl   22:10   0:05 /usr/lib/thunderbird/thunderbird
shinji    2083  0.0  0.0  12784   972 pts/0    S+   22:10   0:00 grep thunderbird
shinji@nerv-kommandozentrale:~$

Wieso steht dann aber im Fenstertitel neben dem Programmnamen noch in Klammern gesetzt als Systemverwalter? Komisch... Als Browser nutze ich den Firefox zwar nur selten, aber trotzdem...

[guennid]

Wenn Du alleine Deinen Rechner benutzt, brauchst Du überhaupt keinen Displaymanager, ist nur überflüssiger Kram.

Na ja, vielleicht nicht ganz: Gibt hier ja Leute die 8-24000 GUIS simultan nutzen - nutzen?

Aber ob lightdm das kann, weiss ich nicht, ich mach's ja schließlich so wie du.

Grüße, Günther

[detix]

...obwohl ich ja nun nicht als root unterwegs bin und natürlich auch die Mozilla-Programme nicht mit Rootrechten oder mittels policykit ausführe...

Code: Alles auswählen

shinji    1959  0.0  0.0  18376  2496 tty1     S    22:10   0:00 firejail /usr/bin/thunderbird

Das Starten mit firejail?

[geier22]

Hö? Jetzt bin ich verwirrt. Benötigt X nicht seit Debian 9 keine Rootrechte mehr? Ich bin mir sicher, dass dem so ist, und das X bisher bei mir unter Stretch bislang auch nie als root ausgeführt wurde, sondern mit meinem normalen Benutzeraccount. Oder... Bin ich einfach nur paranoid?

Ich würde mal sagen, nicht direkt paranoid, sondern eher flüchtig lesend. Aus deinem Link:

2.2.11. Der Xorg-Server erfordert keine root-Rechte mehr
In der Stretch-Version von Xorg ist es möglich, den Xorg-Server als regulärer Benutzer laufen zu lassen (statt wie sonst üblich als root). Dies reduziert das Risiko von Rechteausweitungen aufgrund von Programmfehlern im X-Server. Allerdings müssen einige Voraussetzungen erfülllt werden, damit dies funktioniert:
logind und libpam-systemd werden benötigt.

Das System muss Kernel Mode Setting (KMS) unterstützen. Aufgrunddessen könnte es in einigen Virtualisierungs-Umgebungen (wie z.B. Virtualbox) nicht funktionieren, oder falls der Kernel keinen Treiber für Ihre Grafikkarte enthält.

Der X-Server muss auf der virtuellen Konsole laufen, von der er gestartet wurde.

Nur der Displaymanager gdm3 unterstützt es derzeit in Stretch, X als nicht-privilegierter Benutzer laufen zu lassen. Andere Displaymanager werden X nach wie vor als root laufen lassen. Alternativ dazu können Sie X auch manuell als nicht-root-Benutzer starten, indem Sie in der virtuellen Konsole startx eingeben.

Wenn Xorg als regulärer Benutzer läuft, werden die Logdateien unter ~/.local/share/xorg/ verfügbar sein.

Also alles Sachen, die dein System anscheinend nicht erfüllt.

Wenn man proprietäre Treiber (Nvidia / AMD) installiert hat, dürfte das eh nicht funktionieren.

Normal läuft der X-Server mit root- Rechten auf tty7 , alles andere sind Fake- News

Code: Alles auswählen

# firefox
Running Firefox as root in a regular user's session is not supported.  ($XDG_RUNTIME_DIR is /run/user/1000 which is owned by hans.)

Wäre ja schon mal interessant, was du da mit deinem System veranstaltet hast, wenn diese Anzeige kommt

Und zum Display- Manager:
Es mag ja höchste Befriedigung hervorrufen, wenn man statt einer schnöden
Eingabe des Pw's zum Starten der Oberfläche auf tty1 herum tippen darf. Bei mir jedenfalls nicht.

Der X-Server muss auf der virtuellen Konsole laufen, von der er gestartet wurde

Und normalerweise läuft die normale Session doch auf tty7 ? Aber ich bin ja auch kein Konsolen-Ritter

Edit 1:
Mit installierten Nvidia-Treibern funktioniert das jedenfalls nicht und die NOUVEAU- Treiber sind bei mir nicht stabil: 40385

Edit 2:

Auch unter Gnome und gdm3 startet X mit Root- Rechten

Code: Alles auswählen

Host: debiangnome Kernel: 4.16.0-2-amd64 x86_64 bits: 64 
  Desktop: Gnome 3.28.2 Distro: Debian GNU/Linux buster/sid 

Code: Alles auswählen

~$ ps aux | grep X
root       882  0.3  0.3 258248 50412 tty2     Sl+  10:51   0:03 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/115/gdm/Xauthority -background none -noreset -keeptty -verbose 3
root      1601  4.0  0.4 312768 78348 tty1     Sl+  10:51   0:43 /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
hans      4877  0.0  0.0  12908  1028 pts/0    S+   11:09   0:00 grep X

[Animefreak79]

Mein Xserver läuft mittlerweile ohne Rootrechte, weil ich wie schon gesagt keinen Displaymanager mehr nutze und X manuell starte. Allerdings Frage ich mich nach wie vor, wieso die Mozillaprograme behaupten, sie würden als Systemverwalter ausgeführt, obwohl ich als Standardnutzer arbeite. Ich benutze keinerlei proprietären Treiber, sondern den freien Treiber von AMD. Festgestellt habe ich, dass firefox und Thunderbird als Systemverwalter angezeigt werden unter Mate, unter Xfce und KDE erscheint diese Anzeige im Fenstertitel nicht.

Sry, dass ich hier Grad nicht korrekt zitiere aber bin mit dem Handy in und damit ein Forum zu bedienen ist echt ein Krampf.

...firejail

Vielen Dank, werde ich ausprobiere, wenn ich zuhause bin... Aber wenn firejail der Grund ist... Läuft die Software nicht wirklich als root, oder?

[guennid]

Es mag ja höchste Befriedigung hervorrufen, wenn man statt einer schnöden
Eingabe des Pw's zum Starten der Oberfläche auf tty1 herum tippen darf. Bei mir jedenfalls nicht.

Es mag ja höchste Befriedigung hervorrufen, wenn man eine schnöde PW-Eingabe vor bunten Bildchen herum tippen darf. Bei mir jedenfalls nicht.

Grüße, Günther

[geier22]

@guennid
Na gut - geb ja zu - ich bin ein GUI-Freak
Aber was ist den von Gnome mit Wayland zu halten? Da hätte doch Animefreak79 keine Bauchschmerzen mehr?

Wissen würde ich aber gerne was Debian-+ bedeutet / ist

Wissen würde ich auch mal gerne - außer der theoretischen Betrachtung - ob bei Privatnutzern Angriffe dieser Art
via unsicherem X-Server - irgendwo / irgendwann dokumentiert sind ????

Code: Alles auswählen

$ ps -aux |grep wayland
Debian-+   606  0.0  0.1 189080  5352 tty1     Ssl+ 12:33   0:00 /usr/lib/gdm3/gdm-wayland-session gnome-session --autostart /usr/share/gdm/greeter/autostart
Debian-+   638  0.0  0.8 224448 33944 tty1     Sl+  12:33   0:00 /usr/bin/Xwayland :1024 -rootless -noreset -listen 4 -listen 5 -displayfd 6
hans      9676  0.0  0.1 189080  5260 tty2     Ssl+ 14:30   0:00 /usr/lib/gdm3/gdm-wayland-session gnome-session
hans      9722  0.1  0.8 225316 34320 tty2     Sl+  14:30   0:00 /usr/bin/Xwayland :0 -rootless -noreset -listen 4 -listen 5 -displayfd 6
hans      9916  0.0  0.0  12784   948 pts/0    S+   14:31   0:00 grep wayland

Edit:

Da ja wohl grundsätzlich die Möglichkeit besteht, X ohne Root- Rechte laufen zu lassen frage ich mich, warum das bei Debian nicht umgesetzt wird (weder in Stretch noch in Buster noch in Siduction) . Es wird ja wohl seine Gründe haben.
Ich jedenfalls will mir mein Produktivsystem deshalb nicht vergurken, wenngleich man es durch die Reinstallation eines
GUI-Monsters ja wohl wieder reparieren könnte.

[halo44]

... Wissen würde ich aber gerne was Debian-+ bedeutet / ist ...

Es werden nur bis 7 Zeichen dargestellt, d.h. hinter Debian- folgen weitere Zeichen. Beispiel: User Guenther wird dargestellt als Guenthe+

Gruss H.

[geier22]

Debian-+ = Debian-gdm
Aha - Neuer User (oder Gnome spezifisch) bisher kannte ich nur Debian-exim (bin Gnome-Frischling)

Die Erklärung hab ich im Forum gefunden:
viewtopic.php?f=12&t=147053
Aber ist das nun sicherer als root (welche Rechte sind den da vorhanden)?

[guennid]

Na gut - geb ja zu - ich bin ein GUI-Freak

Das sei dir auch gegönnt! Ich wollte mit KP97 nur darauf hinweisen, dass man es beim Einzelplatzsystem zumeist nicht wirklich benötigt.

Die Frage ist doch auch, warum nach ca. 20 Jahren so'n bohai um rootless X, wenn doch sowieso alle auf wayland warten. Und in diesem Fall offenbar alle ohne Bauchschmerzen.

Grüße, Günther