kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Newubunti schrieb: […] Sofern man Ordner öffnet könnte man noch darauf hinweisen, dass man über die linke Navigationsspalte mit Nutzerrechten arbeiten kann, über die Adresszeile über den dortigen Eintrag "Administratoren Wurzelordner" man sich dagegen weiter mit Rootrechten bewegen kann. Über die "Vor"- und "Zurück"-Schaltflächen kommt man von den Nutzerrechten gegebenenfalls zurück zu den Rootrechten. Das muss man erst mal wissen und ist nicht unbedingt intuitiv, kann aber auch ganz praktisch sein.
Ich kann das nicht nachstellen oder verstehe Dich vielleicht auch nicht richtig. Jedenfalls finde ich nach Eingabe des Passwortes zum Betreten eines Ordners mit Root-Rechten an der Bedienung nichts überraschendes, auch wenn ich wechselweise im linken oder rechten Teilfenster navigiere. Woran machst Du fest, dass „man über die linke Navigationsspalte mit Nutzerrechten arbeiten kann“? Es gibt 2 Wege, einen verbotenen Ordner zu betreten:
Man kann ihn über den Eintrag im Kontextmenü „Als Systemverwalter öffnen“ betreten. Dann bekommt man ein neues Fenster. Man kann frech versuchen, ihn einfach als normaler Benutzer zu betreten. Dann Passkontrolle und kein neues Fenster, aber trotzdem Root-Rechte.
Nicht intuitiv bzw. aus meiner Sicht sogar völlig irritierend ist aber, dass ich so gar keine Rückmeldung bekomme, wenn ich etwas mit normalen Nutzerrechten oder etwas mit Root-Rechten mache. Das hätte ich mir schon gewünscht. Lediglich, wenn in der Suchzeile „Administratoren-Wurzelordner“ angezeigt wird, kann man sich wohl sicher sein, dass dann auch Root-Rechte zum Einsatz kommen. Einmal erworbene Root-Rechte kommen aber dann wohl auch immer zum Einsatz, wenn sie benötigt werden. Es ist aus meiner Sicht etwas unklar, was Nautilus macht, aber in keinem Fall läuft er selber als root .
|
Berlin_1946
Supporter, Wikiteam
Anmeldungsdatum: 18. September 2009
Beiträge: 9363
|
kB schrieb:
Rate mal, von welchem Halunken das stammt!
Könnte der vllt in Münster wohnen? 🤣
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Diskussionsbeiträge eingearbeitet und Text ergänzt.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
kB schrieb: Ich kann das nicht nachstellen oder verstehe Dich vielleicht auch nicht richtig. ...
Da ein Bild manchmal mehr als tausend Worte sagen soll, habe ich mal eines hochgeladen. Öffne Nautilus ganz normal. Navigiere links (im Bild grün umrandet) nach "+ Andere Orte" > "Rechner". Rechts-klick auf "etc" > "Als Systemverwalter öffnen". Passworteingabe Es öffnet sich ein neues Nautilus-Fenster in dem in der Adresszeile "Administratoren-Wurzelordner / etc" statt zuvor "Rechner / etc" steht. Kopiere z.B. die Datei fstab über rechts-Klick-Kontextemnü und füge sie im Ordern etc gleich wieder ein. Passwortabfrage Du hast nun in etc neben der fstab eine fstab (Kopie) mit Besitzer und Gruppe root . Bis hierhin nichts "überraschendes"! Navigiere nun im gleichen Nautilus-Fenster, also in dem, in dem in der Adresszeile "Administratoren-Wurzelordner / etc" steht, im linken - im Bild grün umrandeten Bereich - wiederum nach "+ Andere Orte" > "Rechner". Indem Moment indem Du auf "+ Andere Orte" klickst, verschwindet in der Adresszeile das "Administratoren-Wurzelordner". Damit sind "Rootrechte" nun verwschunden. Betrete /etc im gleichen Nautilus-Fenster nun ganz normal über doppel-links-Klick. Kopiere wiederum die fstab über rechts-klick-Kontextmenü und versuche sie einzufügen. Geht aber nicht, "Einfügen" ist nicht auswählbar. Damit ist auch praktisch überprüft, dass die Root-Rechte nun nicht mehr greifen. Klicke nun drei mal auf die "Zurück" (Pfeil nach links) Schaltfläche im immer noch gleichen Nautilus-Fenster. Passworteingabe Du bist wieder zurück in etc mit Root-Rechten, also dort, wo Du ursprünglich mal aus dem anderen Nautilus-Fenster im Hintergrund über rechts-Klick-Kontextmenü "Als Systemverwalter öffnen" hingelangt bist.
Ich würde das - und wollte das übrigens auch nicht - nicht als "überraschend" darstellen, aber in einem Artikel nautilus-admin ist es halt schlicht eine Erklärung der Funktionsweise. Natürlich könnte man auch ab Schritt 11 auch /etc einfach wieder über rechts-klick-Kontextmenü "Als Systemverwalter öffnen" betreten. Dann öffnet man aber wiederum ein neues Fenster. Schließe nun alle Fenster und gehe wieder vor wie oben bis einschließlich Schritt 5: Klicke in der Adresszeile - im Bild rot umrandet - auf "Administratoren-Wurzelordner". Du bist nun in / in der Adresszeile steht nur noch "Administratoren-Wurzelordner". Doppel-links-Klick auf z.B. sys. Du landest in "Administratoren-Wurzelordner / sys". links-Klick in der Adresszeile auf "Administratoren-Wurzelordner". Dann doppel-links-Klick auf etc. Du landest wieder in "Administratoren-Wurzelordner / etc". Wiederhole nun die Schritte 5 bis einschließlich 7. Du erhältst das gleiche Ergebnis wie oben unter Schritt 8.
Beim Navigieren über "Administratoren-Wurzelordner" kann man also die Root-Rechte behalten, beim Navigieren über den linken Navigationsbereich - im Bild grün umrandet - verliert man sie wieder. Kopiere z.B. die fstab - nachdem Du etc als Systemverwalter betreten hast - von /etc in das Homeverzeichnis des Nutzers unter dem Nautilus tatsächlich läuft. Navigiere dabei von /etc aus einmal über die linke Navigationsspalte - im Bild grün umrandet - in das Home-Verzeichnis und einmal über die Adresszeile - rot umrandert - über "Administratoren-Wurzelordner" und dann durchklicken nach /home/Benutzername, so dass in der Adresszeile "Administratoren-Wurzelordner / home / Benutzername"
steht. Im ersten Fall gehört die fstab unter home dann Besitzer und Gruppe Benutzername , im zweiten Fall gehört sie dann Besitzer und Gruppe root . Ich finde, dass kann man schon mal erklären, weil es von dem Verhalten, wenn man Nautilus komplett mit Rootrechten öffnet über z.B. pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY nautilus abweicht. Ich würde übrigens auch noch am Ende des Artikels Links auf die Artikel "sudo", "mit Root-Rechten" arbeiten etc. anfügen. LG,
Newubunti
- Bilder
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Newubunti schrieb: […] Erstmal danke. Ich habe beschlossen, für heute damit nichts weiter zu machen, sondern erst nach einer hoffentlich erholsamen Nacht erneut zu versuchen, es zu verstehen.
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Ich habe (hoffe ich) nun alle Anregungen in den Artikel eingearbeitet und stelle ihn erneut zur Diskussion.
|
karzer
Wikiteam
Anmeldungsdatum: 10. April 2022
Beiträge: 1425
Wohnort: Bad Oeynhausen
|
Wenn man einen im normalen Modus verbotenen Ordner als Systemverwalter betreten hat [...]
Wenn ich das richtig sehe, kann auch im normalen Modus jeder Ordner, nur eben mit eingeschränkten Rechten betreten werden. Daher gibt es doch so etwas wie ein Verbot nicht?
Passkontrolle
Da würde ich doch die Passwortkontrolle bevorzugen.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29455
Wohnort: WW
|
Hallo,
kann auch im normalen Modus jeder Ordner, nur eben mit eingeschränkten Rechten betreten werden.
Nein, nicht jeden. In Ordner mit Dateirechten X00 kommst du nicht rein. Und solche Ordner gibt es tatsächlich, z.B. /var/lib/polkit-1
Also das Recht muss schon mindestens auf X40 stehen. Gruß, noisefloor
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
karzer schrieb: Wenn man einen im normalen Modus verbotenen Ordner als Systemverwalter betreten hat [...]
Wenn ich das richtig sehe, kann auch im normalen Modus jeder Ordner, nur eben mit eingeschränkten Rechten betreten werden. Daher gibt es doch so etwas wie ein Verbot nicht?
Man darf/kann jeden Ordner betreten, für den man auch das Ausführungsrecht hat. Für manche Systemorder fehlt normalen Benutzer aber dieses Recht, beispielsweise auch für das Home-Verzeichnis /root/ des Benutzers root . Man kann dieses Verhalten auch zur Abschottung normaler Benutzerverzeichnisse vor Fremden benutzten, indem man eben das Ausführungsrecht für „alle anderen“ entzieht.
Passkontrolle
Da würde ich doch die Passwortkontrolle bevorzugen.
Das ist zwar länger, aber wieso ist das i.d.F. besser?
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5139
|
Hallo, statt
Wenn man mit einem zweigeteilten Nautilus-Fenster arbeitet...
wäre IMO besser
Bei eingeblendeter Seitenleiste...
Nautilus benennt das im "Hamburger"-Menü selbst "Seitenleiste anzeigen". Dann ist mir mittlerweile noch aufgefallen, dass es bezüglich der Passworteingabe ein Timeout gibt. Da das ja letztlich wohl über Policykit läuft und ich nichts anderes gefunden habe, bin ich über diese Antwort auf stackexchange, auf den folgenden Source-Code gestoßen: https://cgit.freedesktop.org/polkit/tree/src/polkitbackend/polkitbackendinteractiveauthority.c Demnach ist in Policykit derzeit wohl ein Passwort-Timeout von 5 Minuten fest einprogrammiert. Siehe Zeilen 3276-3281, bzw. Suche im Quellcode nach "expiration_seconds":
/* TODO: right now the time the temporary authorization is kept is hard-coded - we
* could make it a propery on the PolkitBackendInteractiveAuthority class (so
* the local authority could read it from a config file) or a vfunc
* (so the local authority could read it from an annotation on the action).
*/
expiration_seconds = 5 * 60;
Ich kann dieses Timeout bestätigen. Nach 5 Minuten ohne Aktion muss man, wenn man einen Ordner als Systemverwalter betreten hat, das Passwort für eine Dateioperation wie Löschen, Kopieren etc. erneut eingeben. Gleiches gilt auch, wenn man den Ordner über die Seitenleiste verlassen hatte, 5 Minuten wartet und dann über die Zurück-Schaltfläche wieder betreten will. Auch dann muss man das Passwort erneut eingeben. Das mit dem Timeout gehört dann im Prinzip auch in den Artikel PolicyKit. LG,
Newubunti
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Newubunti schrieb: […] Dann ist mir mittlerweile noch aufgefallen, dass es bezüglich der Passworteingabe ein Timeout gibt.
Ja, mir auch.
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
karzer schrieb: […] Passkontrolle
überarbeitet
|
kB
Supporter, Wikiteam
(Themenstarter)
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
Newubunti schrieb: […] Bei eingeblendeter Seitenleiste...
Nautilus benennt das im "Hamburger"-Menü selbst "Seitenleiste anzeigen".
überarbeitet
[…] Timeout […] von 5 Minuten fest einprogrammiert
eingearbeitet
[…] Das mit dem Timeout gehört dann im Prinzip auch in den Artikel PolicyKit.
ToDo
|