Installation "KEINE Installation v. ioB als root User!"

Thomas Braun

@lächelnundwinken

Nein, mit su oder su - kommst du nirgends gescheit hin.

Homoran

@lächelnundwinken nix sudo und nix su!
zumindest bei ioBroker.
Das verbiegt die Rechte genauso wie root

Thomas Braun

@homoran

Nicht nur beim ioBroker. Sobald das LoginPrompt so aussieht:

root@host

ist es falsch.

lächelnundwinken

@thomas-braun
Verstanden. Das war auch mein Gefühl.

lächelnundwinken

@homoran
Nach Anleitung soll so installiert werden:
ioBroker mit dem Befehl
curl -sLf https://iobroker.net/install.sh | bash - installieren.
Da wird nach den Passwort für sudo gefragt. Welcher für den Ablauf auch sicher nötig ist.

Alternativ kann man bestimmt alle Bestandteile manuell installieren. Ich glaube von dem Chat bin ich abgesprungen.

Thomas Braun

@lächelnundwinken sagte in Installation "KEINE Installation v. ioB als root User!":

Da wird nach den Passwort für sudo gefragt. Welcher für den Ablauf auch sicher nötig ist.

Ja, denn es werden hier zusätzliche Paket installiert. Ist ein Job für den root, deswegen die Abfrage via sudo an der Stelle.

Alternativ kann man bestimmt alle Bestandteile manuell installieren.

Klar, du kannst dir das Installerskript anschauen und alles von Hand machen, was da geskriptet ist.

lächelnundwinken

@thomas-braun
Danke für die Ergänzung. Ich bin versorgt.
Nochmals vielen Dank.

ignis-draco

@thomas-braun sagte in Installation "KEINE Installation v. ioB als root User!":

@ignis-draco
Debian verwendet seit Äonen keinen root mehr direkt, das geht da über sudo.

Ich bin jetzt mal etwas kleinlich. Man wird bei der Debian Installation nach einem root Password gefragt. Wenn man da nichts angibt, dann wird sudo installiert. Also ist sudo nur dir zweite Option, nicht die erste.
Und man kann nicht sagen das kein "root mehr direkt" verwendet wird. Wenn du statt Debian Ubuntu geschrieben hättest, dann hätte ich dir recht gegeben (wenn ich mich richtig erinnere).

Thomas Braun

@ignis-draco

Ja, der Installer ist an der Stelle missverständlich. Der Standard ist aber per sudo.

lächelnundwinken

Nur der Vollständigkeit halber. So sieht es aktuell mit Debian 12.5 aus:

... curl -sLf https://iobroker.net/install.sh | bash -
library: loaded
Library version=2024-01-04

==========================================================================

    Welcome to the ioBroker installer!
    Installer version: 2024-01-04
    
    You might need to enter your password a couple of times.

==========================================================================


==========================================================================
    Installing prerequisites (1/4)
==========================================================================

[sudo] Passwort für fritz:

MOD-EDIT :Code in code-tags gesetzt!

Homoran

@lächelnundwinken und?

crunchip

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

Und man kann nicht sagen das kein "root mehr direkt" verwendet wird

Na ja, der "eigentliche root" wird deaktiviert, somit auch keine Möglichkeit per root z. B ne ssh Verbindung aufzubauen.

Mit dem weglassen des root Passwortes wird der darauffolgende angelegte Benutzer durch mittels sudo mit den nötigen Rechten ausgestattet.
So steht es auch im Debian Installer

ignis-draco

@Thomas-Braun "Das Password für den Superuser root sollte nicht leer sein" bedeutet also das es der Standard ist ?

@crunchip also root wird deaktiviert wie denn?

Also die Login shell ist schon mal normal:

und auch in der Shadow Datei ist root noch aktive ( nur kein PW ist gesetzt)

und usermode -L macht auch nichts anderes als das es das Password mittel eines ! ausschaltet.

Und zu der Sache mit ssh. Ein Blick in die sshd_config Manpage sagt.

PermitRootLogin
    Specifies whether root can log in using ssh(1). The argument must be yes, prohibit-password, forced-commands-only, or no. The default is prohibit-password.

Also du kannst ja mal testen. Erzeuge eine ssh-key packe den in die .ssh/authorized_keys Datei deines deaktivierten root benutzt und verbinde dich mit ssh (natürlich mit key) und staune.

P.S. : sorry für meinen Sarkastischen Unterton.

Homoran

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

"Das Password für den Superuser root sollte nicht leer sein" bedeutet also das es der Standard ist ?

Das ist ja das irreführende.

Der Satz bedeutet nur, dass man den root nicht ohne Passwort betreiben könnte und müsste heissen

Das Password für den Superuser root sollte nicht leer sein, wenn root für irgendeinen ganz besonderen Zweck verwendet weden muss/soll

Und ja, Standard ist leer, damit der erste User via sudo due Rootrechte bekommt.

Der Rest passt ja.

ignis-draco

@Homoran

Wie wäre es mit einer Quelle ?

Debian Wiki

Thomas Braun

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

"Das Password für den Superuser root sollte nicht leer sein" bedeutet also das es der Standard ist ?

Ich sage ja, der Text im Installer ist unglücklich/missverständlich.
Wird wohl auf die üblichen 'Grabenkämpfe' bei Debian zurückzuführen sein.
Jedenfalls ist der volle root-account ein Ding aus der Vergangenheit und wird nur aus historischen Gründen da erwähnt, aktuell soll es ohne aktiviertem root installiert werden.
Dazu passen auch die Einstellungen in /etc/passwd und /etc/shadow.
In meiner shadow steht der account auch mit * und nicht mit ! drin.

Log in per ssh ist im default für den root auch nicht möglich.
Man kann es natürlich alles umkrempeln. Sollte der unbedarfte user aber aus bekannten Gründen eben nicht tun.

https://wiki.debian.org/sudo/

ignis-draco

@thomas-braun sagte in Installation "KEINE Installation v. ioB als root User!":

Jedenfalls ist der volle root-account ein Ding aus der Vergangenheit und wird nur aus historischen Gründen da erwähnt, aktuell soll es ohne aktiviertem root installiert werden.
Dazu passen auch die Einstellungen in /etc/passwd und /etc/shadow.
In meiner shadow steht der account auch mit * und nicht mit ! drin.

dann hast du da was geändert.

Log in per ssh ist im default für den root auch nicht möglich.
Man kann es natürlich alles umkrempeln. Sollte der unbedarfte user aber aus bekannten Gründen eben nicht tun.

Ich habe das gerade auf einem ganz frischen "debian-12.1.0-amd64-netinst" ausprobiert (die Bilder kommen auch daher).

Homoran

@ignis-draco selbst das ist missverständlich!
selbstverständlich wird dir per default die Möglichkeit geboten einen login für den root zu erzeugen.

im weiteren steht ja, dass du dazu ein starkes Passwort erzeugen musst.

Wenn dann mit dem defaultmäßig leeren Feld weitergearbeitet wird, gibt es eben keinen root login

Thomas Braun

@ignis-draco

Joh...
The way to go ist aber dennoch der modernere Ansatz per sudo zu arbeiten und den root im Hintergrund schlummern zu lassen.

ignis-draco

Nur das, dass jetzt nicht falsch verstanden wird.
Ich bin selber Pro sudo und verwende es auch auf allen System.
Jedoch ist es faktisch so das es im Debian nicht der Default ist. Auch wenn er es seine sollte (wie bei Ubuntu).
( Werder im Installer noch im Wiki steht was anderes )

Das was ihr meint ist nicht Default sondern best practice.

Was aber nicht stimmt, ist das root "Deaktiviert" ist, dass ist totaler Quatsch denn nur das Password ist nicht gesetzt mehr nicht ein sudo -i root geht und auch kommt man mit ssh-key per ssh als root auf das System.
Im gegen Satz zu z.b. User "daemon" der ist deaktiviert.

Und nur als Beispiel, warum ein root pw gut ist. Wenn es beim Booten zu einem Problem kommt (z.b. Festplatte defekt)
und man in die rescushell muss, kann man sich da nur als root Anmelden. Oder wenn man z.b. /home auf einer anderen Festplatte hat. Auch dort kann es sein das man nicht in den User Account kommt und das System "nur"* über root retten kann. (* Ja es gibt immer einen anderen weg aber häufig ist der aufwendiger, weil Hardware ausgebaut werden muss)