Kirjoittaja Aihe: Fedora 24 ja puuttuvan ohjelman automaattinen asennusmysteerio  (Luettu 8968 kertaa)

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Hep!

Fedora 24:ssä jos jokin ohjelma puuttuu, eli ei ole asennettuna ja ajaa ko. ohjelman käynnistyskäskyn (esimerkissä nyt vim -komento) niin ohjelman vaatimat paketit asentuu suoraan itsestään ilman sudo-salasanakyselyä parilla Y/N kysymyksellä.

Esimerkki:
Koodia: [Valitse]
raimo@kone-2 ~ $ vim
bash: vim: command not found...
Install package 'vim-enhanced' to provide command 'vim'? [N/y] y

 * Waiting in queue...
 * Loading list of packages....
The following packages have to be installed:
 vim-common-2:7.4.1868-1.fc24.x86_64 The common files needed by any version of the VIM editor
 vim-enhanced-2:7.4.1868-1.fc24.x86_64 A version of the VIM editor which includes recent enhancements
 vim-filesystem-2:7.4.1868-1.fc24.x86_64 VIM filesystem layout
Proceed with changes? [N/y] y

 * Waiting in queue...
 * Waiting for authentication...
 * Waiting in queue...
 * Downloading packages...
 * Requesting data...
 * Testing changes...
 * Installing packages...
Vim: Warning: Input is not from a terminal

vim -komennon seurauksena on siis se että vim -paketit asentuu ja VIM aukeaa, sudo -salasanaa ei kysytä missään vaiheessa prosessia.
sudo -K komennon ajoin ennen kokeilua, eli siitä ei ole kyse että salasana olisi jo "muistissa".
Jotenkin tuntuu että tämä ei ole ihan niitä turvallisimpia ominaisuuksia?
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

nm

  • Käyttäjä
  • Viestejä: 16426
    • Profiili
Ilmeisesti Fedorassa nykyinen käytäntö on se, että wheel-ryhmän käyttäjät voivat asentaa ohjelmia PackageKitin kautta ilman ylimääräisiä salasanaprompteja.

https://bugzilla.redhat.com/show_bug.cgi?id=1225788
https://pagure.io/fesco/issue/1115

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Ilmeisesti Fedorassa nykyinen käytäntö on se, että wheel-ryhmän käyttäjät voivat asentaa ohjelmia PackageKitin kautta ilman ylimääräisiä salasanaprompteja.

https://bugzilla.redhat.com/show_bug.cgi?id=1225788
https://pagure.io/fesco/issue/1115

Kiitos! Tuo selventää asian, itse en koskaan ole katsonut salasanakyselyjä häiritseviksi.
Mutta nyt kuka vaan ohikulkija voi asennella ohjelmia jos kone on auki.

Edit: Normaaliasennus kuitenkin vatii sudo:n käytön
Koodia: [Valitse]
raimo@kone-2 ~ $ dnf install vim
Error: This command has to be run under the root user.

/etc/sudoers ei valaissut lisää asiaa eli sudo visudo komennolla aukeavasta tiedostosta en löytänyt mitään säätöä ko. asialle.

No olkoonpa noin kun on.
« Viimeksi muokattu: 05.11.16 - klo:19.15 kirjoittanut raimo »
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

av122

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Viimeks Fedoran kanssa räplätessä loin 2 käyttäjää, joista toisella oli sudo-oikeudet mutta toisella ei ollut. Vaikka toi tuntuu hiukan turhalta tai haasteelliselta (idioottimaisuudesta puhumattakaan), niin itelle se sopi. Tosin joutuu muistelemaan 3 eri salasanaa :P

nm

  • Käyttäjä
  • Viestejä: 16426
    • Profiili
Mutta nyt kuka vaan ohikulkija voi asennella ohjelmia jos kone on auki.

Eikö suurempi ongelma ole se, että kuka tahansa ohikulkija pääsee sörkkimään tiedostojasi ja selaintasi. ;)

Tuota varten on näytön lukitus.


Edit: Normaaliasennus kuitenkin vatii sudo:n käytön
Koodia: [Valitse]
raimo@kone-2 ~ $ dnf install vim
Error: This command has to be run under the root user.

Niin dnf vaati root-oikeudet mutta pkcon asentaa ilman salasanakyselyä. Eli PackageKitin operaatiot on sallittu wheel-ryhmän käyttäjille PolicyKitin autentikointisäädöillä. En tiedä tarkemmin missä ne on määritelty, mutta googlettamalla selvinnee.

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Mutta nyt kuka vaan ohikulkija voi asennella ohjelmia jos kone on auki.

Eikö suurempi ongelma ole se, että kuka tahansa ohikulkija pääsee sörkkimään tiedostojasi ja selaintasi. ;)

Tuota varten on näytön lukitus.


Edit: Normaaliasennus kuitenkin vatii sudo:n käytön
Koodia: [Valitse]
raimo@kone-2 ~ $ dnf install vim
Error: This command has to be run under the root user.

Niin dnf vaati root-oikeudet mutta pkcon asentaa ilman salasanakyselyä. Eli PackageKitin operaatiot on sallittu wheel-ryhmän käyttäjille PolicyKitin autentikointisäädöillä. En tiedä tarkemmin missä ne on määritelty, mutta googlettamalla selvinnee.

Jep, kiitos.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

juyli

  • Vieras
... sudo-salasanakyselyä parilla Y/N kysymyksellä.
Fedorassa ei ole oletuksena käytössä määriteltyä sudo-käyttäjää.
Useimmissa jakeluissa vi -editori asentuu oletuksena. Joskus vi on linkki ohjelmaan vim (Vi IMproved) tai päinvastoin.
Koodia: [Valitse]
man vi

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
... sudo-salasanakyselyä parilla Y/N kysymyksellä.
Fedorassa ei ole oletuksena käytössä määriteltyä sudo-käyttäjää.
Useimmissa jakeluissa vi -editori asentuu oletuksena. Joskus vi on linkki ohjelmaan vim (Vi IMproved) tai päinvastoin.
Koodia: [Valitse]
man vi

Fedorassa asennuksen tekevä käyttäjä saa sudo -oikeudet = lisätään wheel ryhmään jos laittaa yhden ruksin paikoilleen.
En nyt muista mitä sillä rivillä lukee, käyttäjänimen/salasanaruutujen alla se kuitenkin on asennusohjelmassa.

vim olikin vain esimerkki asennettavasta ohjelmasta. Aivan yhtä hyvin se olisi voinut olla vaikka gimp tai geany, tai mitä niitä nyt on, ohjelmia. :)
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

av122

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Asennusohjelman viimeisessä vaiheessa pystyy tekemään root-käyttäjän lisäksi tavallisen käyttäjän. Tavallisen käyttäjän luonnin yhteydessä voidaan kyseisestä tilistä tehdä ylläpitäjä. Toi ruksi-valinta on niiden nimilaatikoiden ja salasana kohdan välissä.

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Asennusohjelman viimeisessä vaiheessa pystyy tekemään root-käyttäjän lisäksi tavallisen käyttäjän. Tavallisen käyttäjän luonnin yhteydessä voidaan kyseisestä tilistä tehdä ylläpitäjä. Toi ruksi-valinta on niiden nimilaatikoiden ja salasana kohdan välissä.

root käyttäjää ei ole pakko tehdä (melko Ubuntumaista :) )vaan tiedot voi jättää syöttämättä kunhan muistaa ko. ruksin.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

av122

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Viimeks tein root-käyttäjän ja ylläpito-käyttäjän lisäks ihan tavallisen käyttäjän, jolla ei ollut juuri mitään oikeuksia. Typerää joo, mut pakkohan tota oli kokeilla :P

Tosin oli hiukan hankalaa muistella, mikä käyttäjätunnus ja salasana kuuluu millekin :D

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Viimeks tein root-käyttäjän ja ylläpito-käyttäjän lisäks ihan tavallisen käyttäjän, jolla ei ollut juuri mitään oikeuksia. Typerää joo, mut pakkohan tota oli kokeilla :P

Tosin oli hiukan hankalaa muistella, mikä käyttäjätunnus ja salasana kuuluu millekin :D

Kyllä useamman käyttäjän luominen on hyvinkin perusteltua vaikka olisikin yhden käyttäjän kone.
Toinen käyttäjätunnus saattaa pelastaa päivän tai melkeimpä viikon ongelmatilanteen ilmetessä.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

juyli

  • Vieras
Kyllä useamman käyttäjän luominen on hyvinkin perusteltua vaikka olisikin yhden käyttäjän kone.
Toinen käyttäjätunnus saattaa pelastaa päivän tai melkeimpä viikon ongelmatilanteen ilmetessä.
Sudo-komennon perimmäinen idea on ollut se, että esim. palvelimissa on ollut mahdollisuus sallia tiettyjen käyttäjien käyttää määriteltyjä komentoja, jotka oletuksena ovat vain ylläpidon hallinnassa.  Sudo-käyttäjällä on siis ollut hyvin rajattu oikeus. Canonical halusi laajentaa tätä siten, ettei edes luoda (aktivoida) root-tunnusta, vaan ylläpidosta huolehtii sudo-oikeudet saanut käyttäjä.
Ubuntu ei rajoita sudo-oikeudet omaavaa käyttäjää, vaan hän/se toimii ylläpitäjänä. Tuo sudo voi joskus tuottaa jopa joitakin ongelmia, koska sudo-käyttäjä ei käytä oletuksena root-käyttäjän ympäristömuuttujia.
man sudo on jälleen mm. hyvä komento hieman tarkistaa, millainen komento sudo on.
NAME
     sudo, sudoedit — execute a command as another user


Itse (harvoin) asentaessani uudelleen Fedora-jakelua (Fedorahan minulla on aina käytettävissä koneilla), en ole edes huomannut mahdollisuutta aktivoida jollekulle muulle käyttäjälle täysiä sudo-oikeuksia kaikkiin ylläpitotehtäviin. Mielestäni yleensä yksi käyttäjätunnus riittää järjestelmän ylläpitoon - ja oletuksena se on root (Ubuntua lukuunottamatta).

nm

  • Käyttäjä
  • Viestejä: 16426
    • Profiili
Canonical halusi laajentaa tätä siten, ettei edes luoda (aktivoida) root-tunnusta, vaan ylläpidosta huolehtii sudo-oikeudet saanut käyttäjä.

Käytäntö matkittiin Ubuntuun Mac OS X:stä, koska se sopii tavalliseen työpöytäkäyttöön paremmin kuin erillinen root-tunnus. Windowsin perusasennuksen ylläpito on myös toiminut samalla periaatteella Vistasta lähtien.
« Viimeksi muokattu: 07.11.16 - klo:00.08 kirjoittanut nm »

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Niin no sudo:n antamia oikeuksia saa räätälöityä aika rankasti, ts. käsittääkseni Ubuntussakin onnistuisi, antaa eri käyttäjille eritasoisia sudo-oikeuksia.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

juyli

  • Vieras
Niin no sudo:n antamia oikeuksia saa räätälöityä aika rankasti, ts. käsittääkseni Ubuntussakin onnistuisi, antaa eri käyttäjille eritasoisia sudo-oikeuksia.
Tottakai. Sama sudo-komento se on Ubuntussa kuin muissakin jakeluissa. Vapaa ohjelma kaikkiin *nix-järjestelmiin.
Jopa Ubuntussakin voi palata root-käytäntöön, kunhan aktivoi root-tunnuksen, kuten tein Ubuntu-versiossa Warty 4.10, kun sudon käyttö tuntui tuolloin niin omituiselta.