staging.inyokaproject.org

Hallo,

In Debian wurde das Problem mit 'kdesu' gefixt. Siehe https://bugs.launchpad.net/ubuntu/jammy/+source/kubuntu-settings/+bug/1965439

Dort ist auch beschrieben, wie in Kubuntu/Ubuntu das Problem zu lösen ist.

L ö s u n g:

Anlegen einer Datei /etc/sudoers.d/kdesu-sudoers mit diesem Inhalt "Defaults!/usr/lib/*/libexec/kf5/kdesu_stub !use_pty":

# cat /etc/sudoers.d/kdesu-sudoers
Defaults!/usr/lib/*/libexec/kf5/kdesu_stub !use_pty

Ok. - und schon läuft es mit Alt+Umschalt+k auch unter Kubuntu/Ubuntu vom User-Krusader aus.

Darauf sind die Schlauberger wie Tomtomtom u.a. nicht gekommen - blamabel!

Gruß Ch. Hanisch

Nach kdesu fails to authenticate with sudo from testing/unstable ist das ein Workaround, ein dreckiger Hack, damit kdesu eine Schwachstelle in sudo ausnutzen kann. Tolle Lösung.

Das ist keine Lösung. Wenn du den Patch rausnimmst, kann ein potentieller Angreifer (theoretisch jedes Programm) ioctl nutzen, um bspw. sämtliche Tastatureingaben zu manipulieren. Das bedeutet, nicht nur Keylogger sind möglich, sondern auch bewusste Manipulation von Eingaben, die du glaubst richtig zu tätigen.

Ich habe daher dein Vorgehen mit einer Warnungs-Box versehen. Das mag augenscheinlich „funktionieren“, bedeutet aber im schlimmsten Fall vollen root-Zugriff auf das ganze System.

Erstmal ist die hier beschriebene "Lösung" unseres Spezialexperten keine Lösung, sondern ein Workaround. Die eigentlich "Lösung" siehst du im diff des Quelltextes im Link.

Warum das aber keine tatsächlich produktiv anzuwendene Lösung ist wurde ja schon erklärt.

Da ja root den Krusader öffnen darf, ist doch ein simples

root@T480s:~# krusader

die einfachste aller einfachen Lösungen - und das ganz ohne irgend welche Frickeleien im System.

Frieder108 schrieb:

Da ja root den Krusader öffnen darf, ist doch ein simples

root@T480s:~# krusader

die einfachste aller einfachen Lösungen - und das ganz ohne irgend welche Frickeleien im System.

Das geht aber total am Anliegen dieses Threats vorbei. Es geht darum, die Funktion des User-Krusders zum Starten des Root-Krusaders Alt+Umschalt+k weiterhin nutzbar zu haben. Der explizite Start des Krusader als Root steht da gar nicht zur Debatte.

Gruß Ch. Hanisch

Hanisch schrieb:

Der explizite Start des Krusader als Root steht da gar nicht zur Debatte.

Wie dir gesagt wurde und auch aufgefallen sein dürfte ist das schlicht nicht möglich und muss im Projekt selbst geändert werden. Dir werden hier Alternativen angezeigt, was du bis dahin machen kannst, wenn du unbedingt einen grafischen Dateimanager als root brauchst. Anstatt dankbar dafür zu sein, das jemand deinen völlig falschen Ansatz unterstützt und dir Wege aufzeigt, reißt du lieber Sicherheitslücken auf und beharrst sturköpfig auf deinem Anliegen.

Kläre das Upstream, da gibt es ausreichend Mailinglisten und Bugreports rund um kdesu & Co.

Hallo Hanisch,

Stand da nicht auch das dies in "Kinetic" behoben wurde ?

Gruss Lidux

Btw., man könnte in krusader über ActionMan Useractions erstellen. Für krusader mit root-Rechten habe ich das tatsächlich vor längerer Zeit mal interessehalber probiert (ich nutze keine Useractions).

Mit

1

lxqt-sudo dbus-launch --auto-syntax krusader

funktioniert das auch (lxqt-sudo gibt es, wie der Name schon sagt, in LXQt, ursprünglich von agaida 'reingebracht oder sogar geschrieben worden). Ein Vorteil: man kann ein anderes Theme laden, z.B. ein mc nachempfundenes, absichtlich - das ist so häßlich und fällt aus dem Rahmen, daß man krusader so nur solange nutzt wie nötig.

Mit pkexec funktioniert's darüber allerdings nicht, zumindest in meinen Versuchen.

Lidux schrieb:

Stand da nicht auch das dies in "Kinetic" behoben wurde ?

Die Maintainer der Siduction-Distribution (Rolling Release) scheinen die Befürchtungen der Ubuntu-Experten nicht zu teilen, denn sie haben beim Distributions-Upgrade eine Datei (Datum 01.06.22) ins System gestellt:

~$ sudo cat /etc/sudoers.d/kdesu-sudoers
# Workaround for KDE bug https://bugs.kde.org/452532
# To be installed with permissions root:root 440 in /etc/sudoeors.d/

Defaults!/usr/lib/*/libexec/kf5/kdesu_stub !use_pty

Das würde man nun auch bei Ubuntu erwarten.

Gruß Ch. Hanisch

Hanisch schrieb:

Die Maintainer der Siduction-Distribution (Rolling Release) scheinen die Befürchtungen der Ubuntu-Experten nicht zu teilen, denn sie haben beim Distributions-Upgrade eine Datei (Datum 01.06.22) ins System gestellt:

Wenn man jetzt wüsste, wie siduction funktioniert (Experten-Hinweis: Es hat viel mit den ersten drei Buchstaben zu tun)...

Achso, wissen wir ja. Na dann Frage an Spezialexperten Hanisch: Wer sind denn die Maintainer des Pakets bei siduction? Na?

Das würde man nun auch bei Ubuntu erwarten.

Wenn man wüsste, wie Ubuntu funktioniert, würde man das. Natürlich nicht für die aktuelle, bereits herausgekommende Version. Aber da waren wir dann wieder bei "Wenn man wüsste...".

Aber es ist noch einige Zeit bis zum nächsten DebianImportFreeze, so dass da die Hoffnung besteht, dass die Diskussion bei Debian bis dahin soweit ist, die durch die Änderung verursachte Sicherheitslücke wieder zu schließen.

Was ist eigentlich mit diesem Workaround?

• https://forum.ubuntuusers.de/topic/muon-akzeptiert-passwort-nicht/2/#post-9315111

Ist das eine Lösung, oder reißt auskommentieren in der /etc/sudoers nicht genauso Lücken?

Defaults    use_pty

Falls es Lücken reißen sollte, dann wäre dort vielleicht auch ein Warnhinweis nicht ganz schlecht.

Hanisch schrieb:

Lidux schrieb:

Stand da nicht auch das dies in "Kinetic" behoben wurde ?

Die Maintainer der Siduction-Distribution (Rolling Release) scheinen die Befürchtungen der Ubuntu-Experten nicht zu teilen, denn sie haben beim Distributions-Upgrade eine Datei (Datum 01.06.22) ins System gestellt:

~$ sudo cat /etc/sudoers.d/kdesu-sudoers
# Workaround for KDE bug https://bugs.kde.org/452532
# To be installed with permissions root:root 440 in /etc/sudoeors.d/

Defaults!/usr/lib/*/libexec/kf5/kdesu_stub !use_pty

Das würde man nun auch bei Ubuntu erwarten.

Gruß Ch. Hanisch

Hör bitte auf, hier solchen Unsinn zu verbreiten!

Siduction hat damit genau NULL zu tu, das kommt von Debian!

towo2099 schrieb:

Hör bitte auf, hier solchen Unsinn zu verbreiten!

Siduction hat damit genau NULL zu tu, das kommt von Debian!

Natürlich basiert Siduction auf Debian bookworm/sid, aber trotzdem ist diese Datei in Siduction angelegt. Somit hat Siduction doch etwas mit Debian zu tun.

Gruß Ch. Hanisch

von.wert schrieb:

Mit pkexec funktioniert's darüber allerdings nicht, zumindest in meinen Versuchen.

Die beste Methode zum Starten des Root-Krusaders ist wohl:

pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY KDE_SESSION_VERSION=5 KDE_FULL_SESSION=true krusader

Inzwischen hat sich die Diskussion so entwickelt, daß der Start des Krusaders als Root überhaupt in Frage gestellt wird und evtl. sogar verboten werden sollte. Das wäre aber wirklich zu viel des Guten.

Diese Diskussion geht am Anliegen dieses Threats vorbei. Hier soll die Funktion des Aufrufs des Root-Krusaders vom User-Krusader aus mit:

Extras -> Krusader im Systemverwaltungsmodus starten (Alt+Umschalt+k)

wieder verfügbar gemacht werden.

Das ist mit der Datei:

~$ sudo cat /etc/sudoers.d/kdesu-sudoers
# Workaround for KDE bug https://bugs.kde.org/452532
# To be installed with permissions root:root 440 in /etc/sudoeors.d/

Defaults!/usr/lib/*/libexec/kf5/kdesu_stub !use_pty

gelöst - Fertig!

Gruß Ch. Hanisch