Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'  (gelezen 5068 keer)

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Gepost op: 2016/08/07, 12:55:07 »
Het is belangrijk dat je de terminal veilig gebruikt, zeker als er rootrechten in het spel zijn. Hierbij dus een nieuwe uitleg over dat onderwerp:
https://sites.google.com/site/computertip/sudo

Doe er je voordeel mee!   :)
« Laatst bewerkt op: 2016/08/25, 17:27:06 door Pjotr »

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #1 Gepost op: 2016/08/07, 13:54:42 »
Gksudo (gksu) wordt al sinds 2009 niet meer onderhouden, de aanbevolen opvolger is pkexec.

Bijvoorbeeld in Ubuntu 16.04.1 kan ik een bestand /usr/share/polkit-1/actions/com.ubuntu.gedit.policy maken met als inhoud:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
 "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd">
<policyconfig>
  <vendor>gedit</vendor>
  <vendor_url>gedit</vendor_url>
  <icon_name>accessories-text-editor</icon_name>
  <action id="org.freedesktop.policykit.pkexec.gedit">
   <description>Run "gedit"</description>
   <message>Authentication is required to run Text Editor</message>
   <defaults>
     <allow_any>auth_admin</allow_any>
     <allow_inactive>auth_admin</allow_inactive>
     <allow_active>auth_admin</allow_active>
   </defaults>
     <annotate key="org.freedesktop.policykit.exec.path">/usr/bin/gedit</annotate>
     <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
   </action> 
</policyconfig>
Nu werkt de opdracht:
pkexec gedit
Pkexec vereist dat er per programma een configuratiebestand is. Zo kan je mogelijk ook een configuratiebestand voor Nautilus maken.
« Laatst bewerkt op: 2016/08/07, 16:31:54 door testcees »
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #2 Gepost op: 2016/08/07, 14:15:12 »
Gksudo (gksu) wordt al sinds 2009 niet meer onderhouden
Onzin. gksu wordt wel degelijk onderhouden, maar zit alleen niet meer in de standaardinstallatie van Ubuntu: http://metadata.ftp-master.debian.org/changelogs//main/g/gksu/gksu_2.0.2-9_changelog

Controleer eerst je feiten voordat je wat roept.

Citaat
de aanbevolen opvolger is pkexec.
Aanbevolen door Ubuntu, maar in de praktijk veel te ingewikkeld en lastig om te gebruiken.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #3 Gepost op: 2016/08/07, 14:42:36 »
Ik ben onder andere op de gksu projectpagina gekeken (bovenaan de pagina):
Citaat van: gksu projectpage
gksu is being replaced by gksu PolicyKit, please take a look at http://live.gnome.org/gksu.
Het is dus geen beslissing van Ubuntu maar van Gnome om gksu te vervangen door PolicyKit.
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #4 Gepost op: 2016/08/07, 14:54:36 »
Ik ben onder andere op de gksu projectpagina gekeken (bovenaan de pagina):
Citaat van: gksu projectpage
gksu is being replaced by gksu PolicyKit, please take a look at http://live.gnome.org/gksu.
Het is dus geen beslissing van Ubuntu maar van Gnome om gksu te vervangen door PolicyKit.
Een besluit van Gnome, dat blijkbaar (nog?) geen effect heeft op de onderhoudsstatus van gksu in de Debianfamilie (waaronder Ubuntu en Linux Mint). Bij Debian wordt gksu zo te zien nog steeds redelijk actief onderhouden, en dat was het punt.

Overigens stel ik vast dat het "gksu PolicyKit"-verhaal (jouw tweede webkoppeling) waarschijnlijk niet meer actueel is: de webkoppeling naar Git is kapot. Dat lijkt me dus een dood spoor.
« Laatst bewerkt op: 2016/08/07, 20:18:48 door Pjotr »

Offline jvecht

  • Lid
    • Just Vecht
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #5 Gepost op: 2016/08/07, 20:30:57 »
Het is goed om wat van de achtergronden te horen via deze discussie. Maar het moet toch niet zo heel moeilijk zijn te begrijpen dat de noodzaak om voor elke applicatie een configuratiebestand te moeten maken bij het gebruik van pkexec een compleet onbegonnen zaak is.

Dat is gewoon een no go. Ik ben blij te horen dat gksu wordt bijgehouden. Dat programma hebben we nodig.

groet,

Just
GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #6 Gepost op: 2016/08/07, 22:06:14 »
Maar het moet toch niet zo heel moeilijk zijn te begrijpen dat de noodzaak om voor elke applicatie een configuratiebestand te moeten maken bij het gebruik van pkexec een compleet onbegonnen zaak is.
Voor goed gebruik van beheerrechten (sudo) is enige kennis nodig, zonder kennis kan verkeerd gebruik van sudo/beheerrechten vervelende gevolgen hebben. Met enige kennis is zo'n configuratiebestand wel te maken (en standaard mee te leveren met Ubuntu).

Gksu is heel grof, pkexec kan middels configuratiebestanden worden afgestemd op gebruik van beheerrechten door grafische programma's. PolicyKit (pkexec) wordt al gebruikt voor de netwerkmanager, updatebeheer, firewall instellingen, Ubuntu softwarecentrum, enz.

Of gksu in de toekomst in de pakketbron blijft? Geen idee, in Ubuntu 16.10 nog wel maar ik vindt (en begrijp) het prima dat Ubuntu gksu (al vanaf 12.10) niet meer standaard installeert.
« Laatst bewerkt op: 2016/08/07, 22:32:25 door testcees »
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #7 Gepost op: 2016/08/07, 22:16:39 »
Het is goed om wat van de achtergronden te horen via deze discussie. Maar het moet toch niet zo heel moeilijk zijn te begrijpen dat de noodzaak om voor elke applicatie een configuratiebestand te moeten maken bij het gebruik van pkexec een compleet onbegonnen zaak is.

Dat is gewoon een no go. Ik ben blij te horen dat gksu wordt bijgehouden. Dat programma hebben we nodig.
Mee eens, en bedankt voor de positieve reactie op m'n tip.   :)
« Laatst bewerkt op: 2016/08/07, 23:07:30 door Ron »

Offline jvecht

  • Lid
    • Just Vecht
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #8 Gepost op: 2016/08/07, 23:40:42 »
Voor goed gebruik van beheerrechten (sudo) is enige kennis nodig, zonder kennis kan verkeerd gebruik van sudo/beheerrechten vervelende gevolgen hebben. Met enige kennis is zo'n configuratiebestand wel te maken (en standaard mee te leveren met Ubuntu).

Maar voor nu moet de gebruiker dat zelf doen en dat zal ook zo blijven voor elke applicatie die niet in de vaste selectie hoort. Ik snap je wel en ik waardeer al je werk die je verzet. Ik denk als technicus net zo extreem binnen mijn eigen vakgebied en vele collega's met mij. En een tel later trok ik ooit, nota bene bij de KEMA, in mijn haast de stekker uit het stopcontact door aan het snoer te trekken. Het was wel geen zware haakse geaarde stekker en bovendien wel een aangegoten exemplaar, maar dat telde niet als excuus. Absoluut niet en ik heb me daar toch een zeer zware reprimande gehad.

Wij experts moeten er rekening mee houden dat heel veel andere mensen expert zijn in een heel andere vakgebied. Dat je geen olifanten in een magnetron moet proberen te persen zijn dan dingen die het normale brein wel moet kunnen bevatten.

groet,

Just
GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021

Offline sidonia

  • Lid
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #9 Gepost op: 2016/08/08, 09:12:42 »
Ik ben maar een simpele gebruiker, en ik ben blij met de informatie die op dit forum gegeven wordt door Pjotr.

Ik begrijp alleen niet, waarom er steeds wanneer Pjotr iets uitlegt voor de simpele gebruiker, er steeds weer commentaar moet komen.

Dit is niet fijn, voor de mensen die dit forum gebruiken om antwoorden te krijgen op hun problemen.
« Laatst bewerkt op: 2016/08/08, 10:33:31 door Ron »

Offline jvecht

  • Lid
    • Just Vecht
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #10 Gepost op: 2016/08/08, 09:15:15 »
Mee eens, en bedankt voor de positieve reactie op m'n tip.   :)

Graag gedaan, Pjotr! Aan jouw werk heb ik en vele anderen heel veel.

groet,

Just
GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021

Offline Ron

  • Forumteam
    • r0n
    • Over Tholen
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #11 Gepost op: 2016/08/08, 10:32:35 »
Ik ben maar een simpele gebruiker, en ik ben blij met de informatie die op dit forum gegeven wordt door Pjotr.
Ik begrijp alleen niet, waarom er steeds wanneer Pjotr iets uitlegt voor de simpele gebruiker, er steeds weer commentaar moet komen.
Dat is een kwestie van benadering.
Je kunt een gegeven benaderen voor een huis (thuis) gebruiker, die de enige gebruiker is, je kunt iets benaderen als een familie computer, en je kunt iets benaderen als bedrijfs-gereedschap.
Alles heeft zijn voor- en nadelen, gezond verstand mag hierbij door iedereen gebruikt worden.

Wanneer ik voor mijzelf spreek:
Alles probeer ik te begrijpen (lukt niet altijd) en daaruit distilleer ik wat ik kan en wil gebruiken.
Mijn Xubuntu's zijn op een aantal punten afwijkend van de "standaard", maar het is wel zoals ik het wil.
Hier heb ik jaren over gedaan, het veranderd nog steeds, maar ik wil niet anders (het kost mij bijna 15 minuten per installatie)...........
Openstandaard Evangelist, OpenSource Promotor, OpenData voorstander.
Xubuntu gebruiker en voorstander
Er is ook nog een andere hobby.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #12 Gepost op: 2016/08/25, 17:30:56 »
Met dank aan xenopeek, die vandaag een uitstekende Engelstalige uitleg heeft geschreven op het forum van Linux Mint, hierbij een uitgebreide Nederlandstalige uitleg van de belangrijke verschillen tussen de verschillende vormen van sudo en gksudo: https://sites.google.com/site/computertip/sudo

Een aanrader!   :)

Mijn Nederlandse uitleg is een vereenvoudigde versie van het Engelse origineel. Dat laatste zit hier:
https://forums.linuxmint.com/viewtopic.php?f=42&t=228412

Tot slot: ik heb ook het beginbericht van dit draadje gewijzigd, waardoor het de nieuwe webkoppeling bevat.
« Laatst bewerkt op: 2016/08/25, 17:46:27 door Pjotr »

Offline midas

  • Lid
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #13 Gepost op: 2016/08/26, 09:38:25 »
Is het daarom ook zo gevaarlijk om applicaties te draaien met sudo-toegang? Ik denk daarbij aan een virusscanner en om bijvoorbeeld Bleachbit maar weer te noemen? Door deze in sudo te draaien heb je kans je hele rechtensysteem om zeep te helpen. Een bijkomend maar zwaar probleem.
Linux Mint 20.2 Cinnamon

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #14 Gepost op: 2016/08/26, 10:36:44 »
Is het daarom ook zo gevaarlijk om applicaties te draaien met sudo-toegang?
Inderdaad: grafische toepassingen wil je nimmer draaien met sudo; uitsluitend met gksudo.....

De auteur van het oorspronkelijke, uitgebreidere Engelstalige artikel, xenopeek, heeft dit proefondervindelijk vastgesteld.  Namelijk door de opdracht printenv te draaien bij elke beschreven opdracht, de uitvoer op te slaan en die te vergelijken met meld.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #15 Gepost op: 2016/08/26, 11:42:25 »
Ik denk daarbij aan een virusscanner en om bijvoorbeeld Bleachbit maar weer te noemen?
Geen probleem omdat Bleachbit (as root) gebruik maakt van su-to-root:
man su-to-root
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #16 Gepost op: 2016/08/26, 12:51:25 »
Om te voorkomen dat dit draadje ontspoort richting die kwalijke BleachBit-rotzooi: hierbij het verzoek om het in het vervolg in dit draadje te houden bij sudo / gksudo.....  :)
« Laatst bewerkt op: 2016/08/26, 12:53:00 door Pjotr »

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #17 Gepost op: 2016/08/26, 16:52:19 »
Ik begrijp alleen niet, waarom er steeds wanneer Pjotr iets uitlegt voor de simpele gebruiker, er steeds weer commentaar moet komen.
"Commentaar" is in wezen oordeelvrij (neutraal) maar wordt, vaak ten onrechte als (negatieve) kritiek gezien waardoor draadjes ontsporen. Dat terwijl er vaak alleen een toevoeging, aanvulling of alternatief benoemd wordt. Moet altijd kunnen denk ik.
Pkexec vereist dat er per programma een configuratiebestand is. Zo kan je mogelijk ook een configuratiebestand voor Nautilus maken.
Voor de huis-tuin-en-keuken gebruiker is dit zwaar over-de-top. Onbruikbaar eigenlijk.
Inderdaad: grafische toepassingen wil je nimmer draaien met sudo; uitsluitend met gksudo.....
Daarom is dat eigenlijk ook de meest simpele oplossing voor dit probleem: geen grafische apps onder sudo gebruiken. Voor een teksteditor zou je nano kunnen gebruiken (vim is voor de diehards), voor bestandsbeheer bv Midnight Commander.




Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #18 Gepost op: 2016/08/26, 17:32:13 »
geen grafische apps onder sudo gebruiken. Voor een teksteditor zou je nano kunnen gebruiken (vim is voor de diehards), voor bestandsbeheer bv Midnight Commander.
Kan inderdaad ook, maar er is niks mis met gksudo..... Nog steeds prima bruikbaar in *buntu 16.04, zodat je ook veilig sommige *grafische* toepassingen kunt starten met rootrecht.

Het is evenveel moeite om Midnight Commander te installeren, als om gksu te installeren.  :)
« Laatst bewerkt op: 2016/08/26, 17:35:32 door Pjotr »

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #19 Gepost op: 2016/08/26, 20:52:49 »
Pkexec vereist dat er per programma een configuratiebestand is. Zo kan je mogelijk ook een configuratiebestand voor Nautilus maken.
Voor de huis-tuin-en-keuken gebruiker is dit zwaar over-de-top.
Eens, misschien was Nautilus een verkeerd voorbeeld. Het is niet aan huis-tuin-en-keuken gebruikers maar aan ontwikkelaars om een pkexec-configuratiebestand mee te leveren zodat huis-tuin-en-keuken gebruikers via een grafische omgeving hun computer kunnen beheren.
maar er is niks mis met gksudo.....
Juist wel, huis-tuin-en-keuken gebruikers krijgen met gksudo toegang tot meer mogelijkheden dan nodig zijn om het systeem te beheren maar kan het systeem “eenvoudig” onbruikbaar maken. Nogmaals, ik hoop dat gksudo snel uit de Ubuntu pakketbron kan / gaat.
« Laatst bewerkt op: 2016/08/26, 21:48:04 door testcees »
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #20 Gepost op: 2016/08/26, 21:51:01 »
maar er is niks mis met gksudo.....
Juist wel, huis-tuin-en-keuken gebruikers krijgen met gksudo toegang toe meer mogelijkheden dan nodig zijn om het systeem te beheren maar wel het systeem “eenvoudig” onbruikbaar maken. Nogmaals, ik hoop dat gksudo snel uit de Ubuntu pakketbron kan / gaat.
Volstrekte onzin. Het enige praktische effect van de verwijdering van gksu uit de standaardinstallatie van Ubuntu, jaren geleden, is een enorme toename van het misbruik van sudo voor grafische programma's. Wat natuurlijk bijzonder vervelende schadelijke neveneffecten heeft.

Als gksu zelfs uit de pakketbronnen zou worden verwijderd, wat overigens gelukkig totaal niet aan de orde is, zou het grafische misbruik van sudo alleen maar verder toenemen.
« Laatst bewerkt op: 2016/08/26, 22:04:34 door Pjotr »

Offline Ron

  • Forumteam
    • r0n
    • Over Tholen
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #21 Gepost op: 2016/08/26, 21:52:40 »
Om gksudo te gebruiken, moet je toch ook in de lijst van gebruikers staan, die dit mogen?
Of gooi ik nu dingen door elkaar?
Openstandaard Evangelist, OpenSource Promotor, OpenData voorstander.
Xubuntu gebruiker en voorstander
Er is ook nog een andere hobby.

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #22 Gepost op: 2016/08/26, 22:06:09 »
Om gksudo te gebruiken, moet je toch ook in de lijst van gebruikers staan, die dit mogen?
Of gooi ik nu dingen door elkaar?
Je hoeft daarvoor alleen maar lid te zijn van de sudo-groep.... De volgende opdracht zou de groepsleden moeten laten zien:
getent group sudo
« Laatst bewerkt op: 2016/08/26, 22:27:36 door Pjotr »

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #23 Gepost op: 2016/08/26, 22:43:31 »
Het enige praktische effect van de verwijdering van gksu uit de standaardinstallatie van Ubuntu, jaren geleden, is een enorme toename van het misbruik van sudo voor grafische programma's.
Een ander praktisch effect van de verwijdering van gksu uit de standaardinstallatie van Ubuntu, jaren geleden, is een toename van “tip-en-truc”-sites gksudo aan te raden om ongeschikte grafische programma’s te blijven gebruiken voor beheertaken
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Tip voor veilig gebruik: over sudo, gksudo en 'sudo -i'
« Reactie #24 Gepost op: 2016/08/26, 23:00:09 »
Het enige praktische effect van de verwijdering van gksu uit de standaardinstallatie van Ubuntu, jaren geleden, is een enorme toename van het misbruik van sudo voor grafische programma's.
Een ander praktisch effect van de verwijdering van gksu uit de standaardinstallatie van Ubuntu, jaren geleden, is een toename van “tip-en-truc”-sites gksudo aan te raden om ongeschikte grafische programma’s te blijven gebruiken voor beheertaken
Zucht.... als je per se tot dat niveau wil afdalen, dan kan ik net zo goed tegenwerpen dat jij in de wiki van Ubuntu-NL hebt geschreven dat je als alternatief voor gksudo, "sudo -i" kan gebruiken (wat helemaal verkeerd is en kwalijke gevolgen kan hebben). Of heb je dat inmiddels al verwijderd?

Maar verder wil ik hier geen woorden aan vuil maken. Aan jou niet, en aan deze onzin niet. Ga eens iemand anders z'n draadje lopen verkl*ten met onproductief en vergezocht negativisme?
« Laatst bewerkt op: 2016/08/26, 23:15:41 door Pjotr »