Ein Blog über Ubuntu, Linux, Android und IT
Fedora 12: Installation von Software ohne Admin-Rechte möglich!
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!Das Thema ging noch nicht durch die deutsche Presse bzw. Blogosphäre, daher mache ich mal den Anfang. Im brandneuen Fedora 12 gibt es eine recht ärgerliche konzeptionelle Schwachstelle. Jeder Desktop-User kann ohne die Abfrage einer Autorisierung Software im System installieren.
Signierte Pakete aus signierten Paketquellen lassen sich in den Standardeinstellungen von PolicyKit ohne Root-Rechte installieren. Dieses Verhalten stößt nun einigen Anwendern übel auf und sorgt für viel Wind im oben verlinkten Bug-Report. Wer die übliche Einstellung wieder haben will, der sollte von Hand die Datei /var/lib/polkit-1/localauthority/20-org.d anlegen und folgendes…
[NoUsersInstallAnythingWithoutPassword] Identity=unix-user:someone;unix-user:someone_else Action=org.freedesktop.packagekit.* ResultAny=auth_admin ResultInactive=auth_admin ResultActive=auth_admin
…als Inhalt einfügen. Weiter Informationen zu dieser Änderung finden sich mittlerweile auch in den Release Notes.
[UPDATE 20.11.2009] Laut Berichten in diversen Medien wurde dieses Verhalten nun mit einem Update wieder auf den alten Stand gebracht. Somit braucht man auf jeden Fall wieder Root-Rechte, um Software installieren zu können. [/UPDATE]
Das könnte Euch auch gefallen...
Anzeige...
| Artikel drucken | Dieser Beitrag wurde von Christoph am 19. November 2009 um 16:06 veröffentlicht und unter GNU/Linux abgelegt. Du kannst allen Antworten zu diesem Beitrag durch RSS 2.0 folgen. Du kannst eine Antwort schreiben oder einen Trackback von deiner eigenen Seite hinterlassen. |
Virtuelle Wächterkarte für Linux mit Ofris
vor 2 Stunden - Keine Kommentare
Anfang August ging das Programm Ofris durch die Blogosphäre. Mit diesem Programm kann man ein Linux-System für den Einsatz in einem Internet-Cafe oder einer öffentlichen Surfstation vorbereiten. Der Clou, nach einem Neustart wird der Inhalt des Home-Verzeichnisses oder aller Home-Verzeichnisse aus einer Kopie zurückgespielt. Das Programm ähnelt also der Funktion von Wächterkarten oder Programmen wie
UltraVPN mit Ubuntu/Linux verwenden
vor 2 Monaten - 9 Kommentare
Vor einiger Zeit habe ich ja schon einmal einen kostenlosen VPN-Zugang ItsHidden.com vorgestellt, doch laut dem letzten Kommentar klappt es mit dem Dienst gerade nicht. Mangels Zugangsdaten kann ich das derzeit nicht nachprüfen, doch mit UltraVPN gibt es einen ebenfalls kostenlosen Ersatz zu ItsHidden.com. Der Dienst setzt auf Spenden wie auch freie Software und verfolgt
Das Sicherheitskonzept von Linux verbessern
vor 8 Monaten - 25 Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
Mit
Malware in .deb Paket von gnome-look.org
vor 8 Monaten - 19 Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
Zur
Sichere Passwörter mit PwdHash für Google Chrome bzw. Chromium
vor 9 Monaten - 19 Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
Ob
Verschlüsseltes $HOME! Und was ist mit SWAP?
vor 11 Monaten - 34 Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
Privatsphäre
Was mit alten USB-Sticks machen? Spenden!
vor 1 Jahr - 5 Kommentare
Bei mir Zuhause finden sich mehrere USB-Sticks, die ich praktisch nicht mehr brauche. Vor ein paar Jahren war ein 128MB-Stick noch ein riesiger Speicher, doch seitdem ein paar GB Daten auf solch einen Stick gehen und sie so praktisch sind wie der LaCie iamaKey, liegen diese alten Dinger bei mir nur rum. Also was macht
Kostenloser VPN-Zugang via ItsHidden.com und Ubuntu
vor 1 Jahr - 9 Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
In
Shutdown für unprivilegierten Benutzer unter Jaunty mit PolicyKit
vor 1 Jahr - Keine Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
Zu
Firefox mit “Porn-Modus” im Eigenbau
vor 1 Jahr - 20 Kommentare
Dieser Beitrag wurde vor mehr als sechs Monaten veröffentlicht. Bedenke bitte, dass die hier angebotene Information nicht mehr aktuell und gültig sein könnte. Informiere dich daher bitte auch an anderer Stelle über dieses Thema. Sollten sich neue Informationen ergeben haben, so kannst du mich auch gerne auf diese über einen Kommentar hinweisen. Vielen Dank!
Google
in über 120 Videos mit mehr als elf Stunden Laufzeit die wichtigsten Funktionen des freien Bildbearbeitungs- programms und gibt auch zahlreiche Tipps aus seinem tiefgreifenden Erfahrungsschatz.
eine Linux-Unterstützung. Er ist vollständig “plug and play”-fähig und funktioniert nicht nur unter den bekannten Linux-Distributionen sondern auch auf zahlreichen Linuxderivaten, welche auf vielen Netbooks installiert sind. Selbst Nutzer eines MAC OS X können diesen DVB-T Empfänger verwenden.
an. Die Webcam aus dem Hause Microsoft tut unter aktuellen Linux-Distributionen problemlos ihren Dienst.
vor 9 Monaten
Solch ein Verhalten muss erstmal verdaut werden. Die frage ist: Warum sollte man einem signiertem Paket aus einer signierten Paketquelle den nicht trauen?
In welcher Form schwächt es das Sicherheitskonzept vom System, wenn da keine ausdrückliche Erlaubnis von “root” eingeholt werden muss?
Mfg Oliver
vor 9 Monaten
Weil auf einem Multiuser-System nicht jeder User Software installieren soll. Ich hab gerade keine virtuelle Maschine mit Fedora 12 parat. Was passiert, wenn man eine .rpm Datei aus den Quellen von Fedora runterlädt und via Doppelklick installiert? Kommt da nun gar keine Abfrage mehr?
vor 9 Monaten
Das ist wohl wahr. Allerdings muss ich hinzufügen: Zumindest mache ich das so bei mir: Ich arbeite als normaler Desktop-user, jeder andere wird als Unprivilegierter-user angelegt, der sowieso kein recht hat der System zu verwalten. (wieso sollte er es auch haben?)
Was ein User darf und was nicht lässt sich glücklicherweise Haar-genau definieren!
vor 9 Monaten
Um das noch ein bisschen weiter auszuarbeiten: Auf Linux-Maschinen sollte der User Schreibzugriff nur in $HOME und /tmp haben. Um in allen anderen Bereichen schreiben zu dürfen, sollten administrative Rechte eingefordert werden. Ich denke der Admin eines Fedora-System hat wenig Freude daran, wenn ein User lustigerweise einen Haufen Serverdienste installiert.
vor 9 Monaten
Also eine wirkliche Schwachstelle ist es nicht. Nur ein User der angemeldet und vor dem Rechner sitzt kann Software in der GUI installieren. Das kann zum Beispiel nicht von einem Skript ausgenutzt werden – PolicyKit sei Dank. Zum Vergleich: sudo lässt sich sehr leicht ausnutzen.
Nun ist die Frage, ob das eine sinnvolle Änderung ist: ich denke ja. In 99 % der Fälle arbeitet ja nur eine Person mit dem Rechner. Genau dann ist die Änderung sinnvoll. Sie ist nur nicht sinnvoll, wenn es mehr als einen User gibt und der Besitzer nicht möchte, dass alle Software installieren können. Das kann man dann sogar auch über die UI ausschalten (zumindest in KDE weiß ich dass es geht). Für den Fall große Installation und Admin: das ist bei den Haaren herbeigezogen. Kein Admin installiert Fedora 12. Dafür gibt es RHEL und das wird das Verhalten bestimmt nicht ändern
vor 9 Monaten
Original u. Blogtext:
… create a file in /var/lib/polkit-1/localauthority/20-org.d …
… der sollte von Hand die Datei /var/lib/polkit-1/localauthority/20-org.d anlegen …
Sorry für die Erbsenzählerei!
vor 9 Monaten
Eigentlich sollte ein
pklalockdown –lockdown org.freedesktop.packagekit.package-install
reichen, um die Aktion rückgängig zu machen.
vor 9 Monaten
@ Ximion
Ja, das funktioniert, sollte aber nicht so benutzt werden, da es mit dem Erscheinen v. polkit 0.95-1 nicht mehr funktioniert.
Die längere, ausführliche Version (http://fpaste.org/hiIg/) funktioniert auch mit polkit-final.
vor 9 Monaten
Das “Problem” wird in einem der nächsten Fedora-Updates behoben. Auf der Mailingliste gab es dazu eine offizielle Aussage.
Siehe https://www.redhat.com/archives/fedora-devel-list/2009-November/msg01445.html
Gruß, Christopher
vor 9 Monaten
Hi Christopher, danke für den Hinweis. Hatte das schon vor ein paar Stunden oben im Artikel als Update eingetragen.
vor 9 Monaten
Hallo Christoph,
um Deine Frage aus Kommentar #2 zu beantworten: Es gilt nicht für heruntergeladene Pakete, sondern nur Pakete, die direkt aus den Paketrepositories installiert werden.
Ich verstehe die ganze Aufregung nicht ganz, bei Ubuntu kann ja jeder Benutzer in der Standardkonfiguration mit sudo – also ebenfalls ohne root-Passwort – alles machen. Aber ich stimme dir zu: Benutzer sollten nicht einfach Pakete installieren dürfen, es gibt genug Gründe, das zu verbieten (Multiuser-Setups, Kiosksysteme, etc).
Was mich an der Sache stört ist die Art und Weise, wie der PackageKit-Entwickler reagiert. Er sagt, er habe das schließlich schon “vor 9 Monaten öffentlich diskutiert“. Dumm nur, dass an der Debatte nur 2 Leute beteiligt waren und der andere ihm widersprochen hat. Es dann doch einfach einzuführen ist schon ein starkes Stück, aber leider bezeichnend für diesen Entwickler.
vor 9 Monaten
>…bei Ubuntu kann ja jeder Benutzer in der Standardkonfiguration mit sudo – also ebenfalls ohne root-Passwort – alles machen.
Nein, nur der erste Benutzer ist von Haus aus in der admin-Gruppe, alle restlichen Benutzer werden nicht automatisch in diese gruppe eingefügt. Es geht auch nicht um das “root-Passwort”, bei Ubuntu gibt es kein Passwort für root, es sei denn man setzt Eines.
> Aber ich stimme dir zu: Benutzer sollten nicht einfach Pakete installieren dürfen, es gibt genug Gründe, das zu verbieten (Multiuser-Setups, Kiosksysteme, etc).
Darum drehte sich ja die ganze Aufregung. Es kann und darf nicht sein, dass Anwender Software installieren dürfen.