Rechte /boot/cmdline.txt nicht änderbar?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Code
    pi@raspberrypi ~ $ sudo chmod go+w /boot/cmdline.txt
    pi@raspberrypi ~ $ ls -l /boot/cmdline.txt
    -rwxr-xr-x 1 root root 142 Jun 25 19:16 /boot/cmdline.txt


    ??? chmod 777 oder auf /boot geht auch nicht...

  • Das Dateisystem von der /boot/ Partition ist FAT32 (vfat) - bedeutet: es beherrscht nicht die Datei-/Zugriffs- Rechte von Linux.

    Einzige Möglichkeit wäre dies gleich beim Mounten für /boot/ festzulegen


    Wieso möchtest du die Rechte denn ändern?


  • Das Dateisystem von der /boot/ Partition ist FAT32 (vfat) - bedeutet: es beherrscht nicht die Datei-/Zugriffs- Rechte von Linux.

    Einzige Möglichkeit wäre dies gleich beim Mounten für /boot/ festzulegen


    Wieso möchtest du die Rechte denn ändern?


    Oh, ja, leuchtet ein - Danke!

    Na weil ich die gerne via WinSCP (als pi) aus der Ferne editiren können möchte, statt mit sudo nano aus der (putty-) Konsole.

    Aber ich glaube, ich aktiviere einfach den root-account...

  • Bitte tu das nicht. Es ist deutlich, dass du absolut keine Ahnung von dem hast was du tust, und du reißt dir eine RIESEN Sicherheitslücke in das System. Der Pi ist nicht lange seiner wenn du das tust!


  • Bitte tu das nicht. Es ist deutlich, dass du absolut keine Ahnung von dem hast was du tust, und du reißt dir eine RIESEN Sicherheitslücke in das System. Der Pi ist nicht lange seiner wenn du das tust!


    Keine Ahnung? Wie kommst du darauf? Was genau soll den dem armen PI passieren? Da hackt sich einer drauf und bedient dann meine Rollladen fern?

  • Wenn Du Deine Pi aus dem Netz zugreifbar machst bist Du in derselben Box wie jeder, der einen Webserver oder sonstige Dinge ins Netz stellt. Die kümmern sich täglich um ihre Babies, halten sie auf dem aktuellen Codestand und sind auf diversen Securityforen subscribed um Lücken sofort mitzubekommen und dann zu fixen.

    Bist Du bereit auch das alles zu tun?

    Wenn ja - go.
    Wenn nein - benutze lieber ein VPN (z.B. OpenVPN) um auf Deine Pi aus dem Internet zuzugreifen. Dazu gibt es Tutorials hier im Forum.

  • Und aktiviere nicht den root-account sondern lerne vernünftig mit dme Rechtesystem umzugehen.
    Im /boot/ Ordner will man nicht ständig rumspielen, erst Recht nicht für jeden frei, warum du das ganze remote machen möchtest ist das nächste Rätsel, ich vermute, dass du an einer anderen Stelle etwas übersehen hast und die manuelle Änderung im /boot/ Ordner als die einzige Lösung getrachtest. Ziemlich sicher ist sie das nicht.

    Woher ich wissen will, dass du keine Ahnung hast?
    Du hast ernsthaft ein chmod -R 777 /boot/ eingegeben... was muss ich mehr wissen? Ich stelle damit nicht deine Computerkenntnisse, noch deine Fähigkeit das zu lernen oder dich selbst in Frage, ich stelle bloß fest, dass du NOCH keine Ausreichenden Linuxkenntnisse hast. Die kannst du dir bestimmt aneignen. Aber aktuell ist es eine sehr falsche Entscheidung mit deinem aktuellen Kenntnisstand deinen Pi online zu bringen.
    Wie dbv schon sagte, die Gefahr ist nicht, dass jemand den Pi ohne Erlaubnis dafür benutzt wie du ihn benutzen willst, sondern für seine eigenen Sachen: Spam, Viren, illegale Inhalte, Botnetze.

  • Holla...
    <OT*Mit-Klugscheißermodus>
    Also der vorinstallierte pi mit passwortlosem sudo gibt mir mehr Sicherheit, als ein 'offener' root-Account? Das ist so bestenfalls ein Schutz vor mir selbst, denn wer pi geknackt hat, hat mit sudo alle Möglichkeiten, u.a. auch zur Aktivierung des root.
    Also, wenn dann erst mal sudo gescheit konfigurieren. Dazu pi entfernen oder sudo entziehen und einen Account einrichten, dessen Name sich nicht so leicht erraten lässt...

    Dazu sind meine Linux-Kisten (ein yaVDR und ein Ubuntu, welches der RPI ablösen soll) desktoplos und werden u.a. nicht zum surfen verwendet. Einen definierten Zugriff aus dem Internet (über FritzBox) gibt es auch (noch) nicht. Wenn dann über VPN...

    Ich sehe also in einem zugänglichen root-Account bei mir null Sicherheitsprobleme. Der hat ein knackiges, automatisch generiertes, cryptisches Passwort, was allerdings offen auf meinem Win-Desktop in entsprechenden WinSCP & Co. - Links herumfliegt. Wenn, dann führt der Weg also über meinen Laptop (wo ich i.d.R. nur als Standarduser arbeite).

    Das ist so aber auch immer noch um einiges sicherer, als das VPN-Pass. auf dem mobilen Smart-Androiden, welches auch entweder schwach (merkbar) ist oder dort unverschlüsselt herumfliegt. Selbst Parallelatacken auf Desktop-Browser und Smartphone zuwecks Aushebelung des M-TAN-Verfahrens kriegen pfiffige Kollegen ja mittlerweile problemlos hin...
    </OT*Mit-Klugscheißermodus>


    warum du das ganze remote machen möchtest ist das nächste Rätse


    Weil die Kiste(n) im Keller stehen und weder über Tastatur noch Monitor verfügen?


    Woher ich wissen will, dass du keine Ahnung hast?
    Du hast ernsthaft ein chmod -R 777 /boot/ eingegeben...


    Wo genau habe ich das (-R) geschrieben?

    Nur mal so nebenbei: Ich kommen von Apollo Domain/OS über HP-UX...

    Einmal editiert, zuletzt von habichthugo (26. Juni 2014 um 11:49)


  • Weil die Kiste(n) im Keller stehen und weder über Tastatur noch Monitor verfügen?


    Das remote bezieht sich auf /boot/ ändern, nicht darauf den RPi remote zu bedienen!
    Und da bleibt meine Frage nach dem warum.


    Wo genau habe ich das (-R) geschrieben?

    Weil es ohne -R (oder * was genauso schlimm gewesen wäre) nicht den effekt gehabt hätte, den du dir davon laut Beitrag erhofft hast, nämlich andere Rechte auf der Datei cmdline.txt

    Die Kombination deine Beiträge ist extrem verwirrend. Einerseits machst du Anfängerfehler und siehst Zusammenhänge nicht, andererseits hast du anscheinend doch einige Ahnung.

    Das sudo standartmäßig passwortlos ist, war mir nicht vor Augen, finde ich nicht gut. Trotzdem ist es ein Unterschied mit root oder mit Standartaccount mit pw-losem sudo rumzurennen, wenn kein shellzugriff besteht sondern lediglich eine Programmlücke genutzt wurde, so ist der Angreifer dann trotzdem mit normalen Rechten unterwegs und nicht mit sudo. Aber das es mit PW-sudo schöner wäre, da gebe ich dir absolut Recht!


  • Das sudo standartmäßig passwortlos ist, war mir nicht vor Augen, finde ich nicht gut. Trotzdem ist es ein Unterschied mit root oder mit Standartaccount mit pw-losem sudo rumzurennen, wenn kein shellzugriff besteht sondern lediglich eine Programmlücke genutzt wurde, so ist der Angreifer dann trotzdem mit normalen Rechten unterwegs und nicht mit sudo. Aber das es mit PW-sudo schöner wäre, da gebe ich dir absolut Recht!

    Sudo ist IMHO ein Security Fake.
    Selbst wenn in der sudowers passwort gesetzt ist, ist es das User PW was abgefragt wird.
    So wird jeder Honk der das Userpasswort in die Finger bekommt ( zu 90% klebt das unterm Keyboard ) zum root ( wenn er in den sudoers steht ).

    So wird es sicher :
    pi passwort ändern
    root passwort vergeben und/oder root enablen
    mit su root werden
    sshd_config root login disablen
    apt-get purge sudo (so mach ich das )
    oder pi aus der sudoers entfernen (geht auch und dir bleibt die Möglichkeit offen das www-data ein sudowebscript ausführen darf.)

    Wenn ich jetzt root werden möchte gebe ich einfach su in die Konsole ein.
    Dann fragt er nach dem ROOT PASSWORT, nicht nach dem Userpasswort.

    Etwas OT

    Zum SCP Problem :
    Log dich nicht als PI sondern als Root ein dann kannst du die config.txt bearbeiten.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.


  • Da hackt sich einer drauf und bedient dann meine Rollladen fern?

    Jo, das ist geräuschloser, unauffälliger und leichter als mit der Brechstange ;)


    Was spricht den gegen putty/vi/nano was auch immer? Leg dir doch ein ssh schlüssel hin, der beim einloggen nur genau das macht, nicht mehr und nicht weniger - ist mindesstens genauso komfortable wie mit winscp.... Es sei denn du brauchst ein Klicki-bunti-Editor, aber wer von HPUX aus kommt wird den kaum brauchen - gelle? :)

    --
    man ist das System-Anzeigeprogramm für die Handbuchseiten von Linux.


  • Das remote bezieht sich auf /boot/ ändern, nicht darauf den RPi remote zu bedienen!
    Und da bleibt meine Frage nach dem warum.


    Ich komme (mangels Tastatur und Monitor am RPI) nur remote drauf, was soll ich dazu noch sagen? Und nano in 'ner putty/ssh-Konsole ist mir halt zu sperrig.


    Weil es ohne -R (oder * was genauso schlimm gewesen wäre) nicht den effekt gehabt hätte, den du dir davon laut Beitrag erhofft hast, nämlich andere Rechte auf der Datei cmdline.txt


    Wieso sollte es (auf einem ordentlichen Dateiensystem) nicht möglich sein, nur die cmdline.txt rechtemässig frei zu geben?


    Die Kombination deine Beiträge ist extrem verwirrend. Einerseits machst du Anfängerfehler und siehst Zusammenhänge nicht, andererseits hast du anscheinend doch einige Ahnung.


    Wieso? Bin halt mit dem RPI erst seit 'ner Woche unterwegs. Und solche Spezialitäten wie /boot auf FAT sind ja alles andere als üblich unter Linux-Systemen.


    Das sudo standartmäßig passwortlos ist, war mir nicht vor Augen, finde ich nicht gut.


    sudo ist selbst mit Passwort nicht das gelbe. Es sei denn, du benutzt ein langes, knackiges, cryptisches, was du dir dann aber nicht merken kannst (und in der Grundbastelphase nicht immer wieder eintippen willst).

    Ich verstehe deine/eure Problem(e) mit dem Ansatz, unknackbares Passwort (für root), und Remotezugang (aus dem LAN) nicht. Der Weg auf den RPI (als root) führt damit nur über meinen Win-Laptop (Standarduser)...

    Ich komme nicht mehr nach...


    Zum SCP Problem :
    Log dich nicht als PI sondern als Root ein dann kannst du die config.txt bearbeiten.


    Sach ich doch!?


    Was spricht den gegen putty/vi/nano was auch immer? Leg dir doch ein ssh schlüssel hin, der beim einloggen nur genau das macht, nicht mehr und nicht weniger - ist mindesstens genauso komfortable wie mit winscp.... Es sei denn du brauchst ein Klicki-bunti-Editor, aber wer von HPUX aus kommt wird den kaum brauchen - gelle? :)


    Aha, und ssh-Schlüssel ist sicherer als ein ellenlanges, cryptisches Passwort?
    Und die Zeiten wo ich selbst assemblierte Hex-Codes in VT100-Derivate geklopft habe sind glücklicher Weise vorbei. Ja, ich liebe Klicki-bunti!
    btw.: Auch HP-UX hatte einen Desktop (so man wollte) und recht konfortable Editoren. Ging später z.B. via Hummingbird Exceed sogar remote von $M98 aus!

    Einmal editiert, zuletzt von habichthugo (26. Juni 2014 um 13:34)

  • Du verstehst mich weiterhin falsch...
    Warum willst du die comandline.txt direkt vom Desktoprechner ohne den Umweg über den Pi ändern? Ich vermute, dass es hier ein Linux-Tool gibt, das dein Ziel erreicht ohne solche Konstrukte zu benötigen
    Das du remote am RPi arbeitest halte ich für selbstverständlich (außer man nutzt den Pi als Desktopsystem irgendeiner Form) und grummel immer über die Forenneulinge, die meinen, es geht nicht ohne Bildschirm und Tastatur...

    das chmod -R gedöns: Weil du sagtest du hast ein chmod auf /boot gemacht. Das heißt eindeutig, AUF DEN ORDNER. Und dies ist der Hauptgrund warum ich dich für einen Anfänger gehalten habe. Natürlich kannst du mit einem ext oder ext-ähnlichen FS nur die eine Datei ändern, aber nicht mit einem chmod auf den Ordner ohne * oder -R was beides massiv übertrieben wäre, nur mit einem chmod auf die Datei. Das hattest du DEUTLICH nicht so beschrieben. Wenn das ein Versehen war, und du tatsächlich versucht hast nur die Dateirechte zu verändern und das bloß falsch beschrieben hast, dann frage ich mich trotzdem warum du das nicht aufklärst, ich hatte aber eher das Gefühl, dass du den Unterschied nicht verstanden hattest.

    das /boot ein Spezialfall auf dem Pi ist war nicht der Aufhänger, wie ich im obigen Absatz erwähnte. Das war auch mir nicht bekannt.

    Ich habe kaum ein Problem mit deinem Ansatz, aber anfangs klang der anders! Es klang (vermutlich hauptsächlich weil die allermeisten Anfänger das wollen, und ich dich als einen angesehen hatte) danach, dass du deinen Pi online (internet) nutzen willst, und ohne weitere Ahnung root aktivierst und in max 2 Wochen unwissentlich mir eine Mail schickst die mir Viagra anpreist.

    Zu dem Thema sudo:
    Imperator, haben wir die Diskussion nciht shcon 3x geführt? Wir beide?
    Wenn nicht, dann gerne nochmal die Langfassung, aber so geb ich mal die Kurzfassung:
    1. kannst du sudo so konfigurieren, dass es das root-passwort benötigt
    2. ist es auch mit userpasswort sicherer als du es darstellst, denn
    a. Dein Beispiel setzt physikalishcen Zugang voraus, in dem Fall ist alles egal, solange dein Dateisystem nciht verschlüsselt ist kommt ich dann an ALLE DEINE DATEN ganz ohne Passwort, denn dann boote ich einfach ein Linux-Livestick und mounte deine Festplatte
    b. sudo rettet nicht vor geknacktem passwort sondern vor technischen Hacks, in denen über ein Programm mit Sicherheitslücke auf das System zugegrifen wird. In diesem Fall kennt man auch das Userpasswort nicht und kommt nicht an die root-rechte ran.
    Wenn man aber als root Dinge tut und ein damit gestartetes Programm eine Sicherheitslücke hat, so ist der Angreifer sofort root. Außerdem hast du das Problem dass alle angelegten Dateien etc root-Rechte brauchen, nach der intensiven Verwendung von root ist die Nutzung von normalen Usern nicht mehr (ohne langwieruges Aufräumen) möglich.
    Und was das "nervige" ständige Tippen des Passwortes während der Grundkonfiguration angeht: mit der korrekten Konfiguration (und das ist in Ubuntu zumindest Standart) muss man das Passwort nur bei nichtnutzung von sudo für >15min neu eingeben. Wenn man also innerhalb von 15min kein sudo verwendet hat, dann muss man das Passwort nochmal eintippen... uiuiui Dann ist es nicht so viel und nicht so nervig. Das man sudo vor die Befehle schreiben muss... naja, das sollte einem die extrem größere Sicherheit dann schon Wert sein, ist echt nicht so lang, und gut zu tippen. Außerdem überlegt man sich dann vorher ob man sudo dafür braucht oder nicht, und macht damit automatisch weniger kaputt.

  • Na, dann haben sich hier ja wieder alle halbwegs lieb!? :cool:

    Ich denke, ich bleibe bei meiner Lösung mit cryptisch-langem root-Passwort und Zugriff via WinSCP & Co. Ich erlaube mir so sogar Zugriff über Shares (als root!) um mit notepad++ u.ä. meine Scripte zu malträtieren...:shy:

  • Zitat


    Aha, und ssh-Schlüssel ist sicherer als ein ellenlanges, cryptisches Passwort?
    Und die Zeiten wo ich selbst assemblierte Hex-Codes in VT100-Derivate geklopft habe sind glücklicher Weise vorbei. Ja, ich liebe Klicki-bunti!
    btw.: Auch HP-UX hatte einen Desktop (so man wollte) und recht konfortable Editoren. Ging später z.B. via Hummingbird Exceed sogar remote von $M98 aus!

    Bleib mal locker, ich wollte dich nicht angreifen.

    Wenn ich es richtig verstehe, willst du einfach und komfortable die cmdline.txt editieren und das am liebsten mit ein Doppelklick-editieren-speichern und fertig.
    Wie du das machst - scheißegal - und wenn du das über winftp machst ohne Passwort als root - mach wie du meinst. Wie es geht bzw. was am rasbian geändert werden könnte um das so oder so zu machen wurde alles gerade tausendfach besprochen.
    Ich wollte nur eine VAriante hinzufügen:
    Einen public Key in die authorized_keys von root legen und den Eintrag mit z.B.

    Code
    command="/bin/vi /boot/cmdline" ssh-dss AAAAB3NzaC1...


    anpassen.
    Eine Session in Putty mit dem dazugehörigen Private Key speichern und das Editieren der cmdline.txt ist auch nur EIN Klick entfernt. Mit ellenlanger Passphrase sogar in meinen Augen sicherer als ein root account mit passwort.

    Aber wie gesagt mach wie du meinst....

    --
    man ist das System-Anzeigeprogramm für die Handbuchseiten von Linux.


  • Bleib mal locker, ich wollte dich nicht angreifen.


    Hab' ich auch nicht so verstanden.


    Wenn ich es richtig verstehe, willst du einfach und komfortable die cmdline.txt editieren...


    Ja, aber doch nicht nur die. Das wird eine ganze Weile dauern, bis ich meinen Krempel da etabliert habe. U.a. SysV-Init...brrrr...
    Public Key is' auch ok. Ich mag aber nun mal keine Editoren aus der Steinzeit (in 'nem Terminal-Fenster) mehr...

    Einmal editiert, zuletzt von habichthugo (26. Juni 2014 um 14:21)

  • Ich denke es ist hier fehl am Platz noch weiter über Sicherheitskonzepte zu diskutieren. Was hier allerdings noch nicht erwähnt wurde ist dass ein Eindringlich nicht nur Zugriff auf dem PI hätte sondern aufs gesamte LAN - und das stellt wie ich finde eine größere Gefahr dar als "root auf dem PI" zu sein...

    SSH-Key hat btw nichts mit Steinzeit Editoren zu tun

    Aber das nur nebenbei - der TE hat ja bereits selber angemerkt das ein Angreifer auch den pi Account hacken und dann mithilfe sudo's ebenfalls alles machen kann. Demzufolge setze ich mal vorraus das der TE zum einen ein sicheres Password für den Benutzer pi gesetzt hat, und auch einen anderen Weiterleitungsport als der default für SSH nutzt (wenn nicht sollte er das nachholen)


    Mich würde weiterhin interessieren "Wieso" der TE in /boot/ ständig etwas verändern möchte - es gibt nämlich auch andere Wege als sie hier bisher angeschnitten wurden, aber das richtet sich eben danach WAS letztlich überhaupt erreicht werden will... :huh:

  • Aha, und ssh-Schlüssel ist sicherer als ein ellenlanges, cryptisches Passwort?

    Ohne Zweifel ja! (Einzige Voraussetzung: Man benutzt einen sinnvolles Passphrase, muss nicht ellenlang sein, aber 123456 ist auch nicht gut, ganz normales Passwort halt mindestens)
    Warum ist es ohne Zweifel besser? Weil es das 2-Schlüssel-Prinzip erfüllt: Besitz + Wissen.
    Du musst im Besitz des Schlüssels sein UND das Passwort des Schlüssels wissen. Hast du eines davon nciht, kommst du nicht rein.
    -> Es reicht nicht ein passwort zu erraten oder es dir irgendwie abzuluchsen
    -> es reicht nicht dir deinen Schlüssel zu klauen
    Es muss schon beides sein -> massiv sicherer.
    Ob das in deinem Fall nötig ist, da du keinen Internetanschluss am Pi hast, ist Ansichtssache, aber ich finde es einfacher, ich muss garkein Passwort eingeben. ich gebe einmal pro Sitzung am Rechner mein Schlüsselring-Passwort ein und darin ist mein SSH-Schlüssel-Passphrase gespeichert und ich muss garkein Passwort beim zugriff eingeben (Ja ist wieder eine kleine Sicherheitslücke, setzt aber voraus meinen Laptop zu stehnem und dessen Passwort zu haben, denn der Schlüsselring ist wiederum verschlüsselt).
    Und das alles ist Standart, benötigt keine besondere Einrichtung oder so. Nur den ssh-key für den pi muss man selbst konfigurieren.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!