debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

Systemd v239 breaks su (and sudo)

https://debianforum.de/forum/viewtopic.php?t=170115

Seite 1 von 1

Systemd v239 breaks su (and sudo)

Verfasst: 25.06.2018 20:16:28
von dufty2
https://lwn.net/Articles/758128/

Jo, da werd' ich wohl in Zukunft auf mein geliebtes
$ su -
verzichten müssen und wieder hübsch brav via
Strg-Alt-F1
auf der virtuellen Konsole als user 'root' anmelden dürfen.

Moderne Zeiten ;)

PS
Werd braucht denn noch root, ist doch eh alles vollautomatisiert ...

Re: Systemd v239 breaks su (and sudo)

Verfasst: 25.06.2018 20:33:00
von Lord_Carlos
Warum musst du denn NoNewPrivileges= benutzten?

Re: Systemd v239 breaks su (and sudo)

Verfasst: 25.06.2018 20:40:25
von TomL
Find ich gut ... :THX: ... imho ein längst überfälliger Schritt in die richtige Richtung zur Verbesserung der Sicherheit. Nur frag ich mich, ob dafür dann auch entsprechend das PolKit aufgewertet wird. Ich nutze das Polkit jetzt schon länger so umfassend, dass ich "sudo" schon ewig ausgemustert habe und auf meinem PC auch auf die Eingabe von "su" verzichten könnte... ich kann mich sowieso kaum daran erinnern, wann ich das das letzte Mal getan habe.... :roll:

Nur eines ist mir bei der Meldung unklar, wie wird das künftig geregelt, wenn ich mich heute via SSH und mit Keyfiles als User auf meinem Server anmelden kann, um dann da via "su" zu root zu wechseln? Ist da dann eine direkte root-Anmeldung vorgesehen... dessen Einrichtung in der sshd.conf ja heute meistens nicht empfohlen wird?

Re: Systemd v239 breaks su (and sudo)

Verfasst: 25.06.2018 21:04:00
von DeletedUserReAsG
TomL hat geschrieben: ↑ zum Beitrag ↑
25.06.2018 20:40:25
 Nur eines ist mir bei der Meldung unklar, wie wird das künftig geregelt, wenn ich mich heute via SSH und mit Keyfiles als User auf meinem Server anmelden kann, um dann da via "su" zu root zu wechseln?
In dem Fall setzt du die besagte Option einfach nicht. Das ist ’ne Sache für Leute, die eben kein su o.Ä. benötigen.

Abgesehen davon: direkter Root-Login via ssh mit Schlüsseln (also nicht via Passwort) ist schon in Ordnung.

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 00:19:21
von schwedenmann
Hallo


Komisch, ist wohl ne fake-news, oder wir haben den 1.April

Habe systemd 239-1 drauf (Debian-unstavbe) und kann trotzdem in der Konsole per su zu root werden.


Man sollte eben dem Inet , vor allen den blogs nicht allzu vertrauen.

mfg
schwedenmann

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 05:50:12
von Blackbox
schwedenmann hat geschrieben: ↑ zum Beitrag ↑
26.06.2018 00:19:21
Habe systemd 239-1 drauf (Debian-unstavbe) und kann trotzdem in der Konsole per su zu root werden.
Ich habe Debian Sid installiert und ebenfalls keine Probleme mit systemd 239! - Da wollte sich wohl ein systemd-Hasser wichtig machen?

Code: Alles auswählen

ii  libpam-systemd:amd64                 239-1                          amd64        system and service manager - PAM module
ii  libsystemd0:amd64                    239-1                          amd64        systemd utility library
ii  systemd                              239-1                          amd64        system and service manager
ii  systemd-sysv                         239-1                          amd64        system and service manager - SysV links

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 06:56:14
von DeletedUserReAsG
schwedenmann hat geschrieben: ↑ zum Beitrag ↑
26.06.2018 00:19:21
 Man sollte eben dem Inet , vor allen den blogs nicht allzu vertrauen.
In diesem Fall: falsch, das ist ’ne offizielle Info des Hauptentwicklers von systemd – der kann man schon trauen. Man sollte nur genau lesen, und auch mal ’ne halbe Minute über das Gelesene nachdenken. Da steht nicht, dass nun irgendwas umgestellt wurde und su et al. nicht mehr funktionieren würden. Da steht nur, dass es nun die Option gibt, eine solche Rechteausweitung zu verhindern – wenn man das denn will.

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 11:33:03
von TomL
niemand hat geschrieben: ↑ zum Beitrag ↑
25.06.2018 21:04:00
In dem Fall setzt du die besagte Option einfach nicht. Das ist ’ne Sache für Leute, die eben kein su o.Ä. benötigen. Abgesehen davon: direkter Root-Login via ssh mit Schlüsseln (also nicht via Passwort) ist schon in Ordnung.
Jetzt überlege ich schon eine ganze Zeit, was dann (meine) Best-Practice sein wird. Auf den Desktop-PCs hab ich keinen Zweifel, da wird der Wechsel nach root auf jeden Fall deaktiviert. Beim Server bin ich noch unschlüssig. Einerseits gibt dort sowieso keine lokalen Anmeldungen, und andererseits resultiert aus der "su"-Methode eine 3-stufige Sicherheit: 1. ohne Key-File geht gar nix, 2. mein Pwd muss bekannt sein, aber selbst damit ist 'man' noch rechtelos, 3. auf dem Server muss zusätzlich das root-PWD bekannt sein.

Aber egal... ist ja noch ne ziemliche Zeit hin, bis ich das entscheiden muss.... :roll:

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 16:46:32
von geier22
Das steht während des gerade vollzogenen Upgrades (siduction):

Code: Alles auswählen

systemd (239-1) unstable; urgency=medium

  DynamicUser=yes has been enabled for systemd-journal-upload.service,
  systemd-journal-gatewayd.service, systemd-timesyncd.service,
  systemd-networkd.service and systemd-resolved.service.
  This means it is no longer necessary to statically allocate a
  systemd-journal-upload, systemd-journal-gateway, systemd-timesync,
  systemd-network and systemd-resolve user and you can now safely remove
  those system users along with their associated groups.
Wäre schön, wenn dies mal einem nicht verstehenden user gedeutet werden könnte.

su geht nach wie vor.

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 17:21:30
von DeletedUserReAsG
geier22 hat geschrieben: ↑ zum Beitrag ↑
26.06.2018 16:46:32
 Wäre schön, wenn dies mal einem nicht verstehenden user gedeutet werden könnte.
Was ist unklar? Einige Sachen, für die vorher ’n eigener User benötigt wurde, brauchen nun keinen mehr. Die entsprechenden Accounts können entsorgt werden.
geier22 hat geschrieben: ↑ zum Beitrag ↑
26.06.2018 16:46:32
 su geht nach wie vor.
Warum sollte es auch nicht?

Re: Systemd v239 breaks su (and sudo)

Verfasst: 26.06.2018 20:26:54
von dufty2
niemand hat geschrieben: ↑ zum Beitrag ↑
26.06.2018 17:21:30
geier22 hat geschrieben: ↑ zum Beitrag ↑
26.06.2018 16:46:32
 Wäre schön, wenn dies mal einem nicht verstehenden user gedeutet werden könnte.
Was ist unklar? Einige Sachen, für die vorher ’n eigener User benötigt wurde, brauchen nun keinen mehr. Die entsprechenden Accounts können entsorgt werden.
Also wer sich für "DynamicUser" interessiert, kann Lennarts ausführlichen Blogpost dazu mal lesen:
http://0pointer.net/blog/dynamic-users- ... stemd.html

Warum wohl "NoNewPrivileges" nicht so schnell default wird, man muss halt man in sein /bin (und /usr/bin) gucken:
Ok, neben dem vielleicht nicht ganz so wichtigen su gibt es da noch z. B. ein
mount bzw. umount
Aber die weitere Entwicklung bleibt spannend.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/