MoonKid
Anmeldungsdatum: 9. Februar 2012
Beiträge: 1379
|
Ich habe ein eigenes Script, dass bei KDE-Anmeldung service ssh start ausführen und nach einer definierten Zeit wieder mit stop beenden soll.
Dafür braucht es natürlich sudo. Wie realisiere ich das mit dem KDE-Autostart. Die Abfrage des Passwortes wollte ich mir ja eigentlich sparen.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
MoonKid schrieb: Wie realisiere ich das mit dem KDE-Autostart. Die Abfrage des Passwortes wollte ich mir ja eigentlich sparen.
Die Abfrage des Passworts kommt von sudo und nicht von KDE - sudo/Konfiguration sollte dir weiterhelfen.
|
MoonKid
(Themenstarter)
Anmeldungsdatum: 9. Februar 2012
Beiträge: 1379
|
redknight sudo/Konfiguration sollte dir weiterhelfen.
Vermutlich habe ich mich unkonkret ausgedrückt. Der Wiki-Artikel beschreibt, wie ich meinem Normalo-User grundsätzlich sudo-Rechte für z.B. service ssh einrichten könnte.
Das ist absolut inakzeptabel. Somit könnte jedes Schadprogramm, das mit einfachen Userrechten läuft einen sshd aufmachen.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
MoonKid schrieb: Vermutlich habe ich mich unkonkret ausgedrückt.
Nö, hast Du nicht . Der Wiki-Artikel beschreibt, wie ich meinem Normalo-User grundsätzlich sudo-Rechte für z.B. service ssh einrichten könnte.
Richtig. Das möchtest Du ja. Du möchtest diesen einen Befehl zwar mit sudo, aber ohne passwortabfrage ausführen Das ist absolut inakzeptabel. Somit könnte jedes Schadprogramm, das mit einfachen Userrechten läuft einen sshd aufmachen.
Jedes Schadprogramm in einem bestimmten Benutzerkontesxt. Das ist immer der Fall, wenn man Rechte an user delegiert.
|
MoonKid
(Themenstarter)
Anmeldungsdatum: 9. Februar 2012
Beiträge: 1379
|
Ok, ich muss wohl doch mal weiter ausholen und erklären, was ich wirklich tun möchte: Beim Hochfahren der Kiste soll automatisch (ohne dass ich ein Passwort eingeben muss) sshd gestartet werden.
Nach einer festen Zeit (z.B. 10 Minunten) soll das Script nach einem bestimmten Prozess suchen (unison).
Wenn der nicht läuft, soll sshd wieder beendet werden.
Läuft er doch, soll das Script warten und in festen Zeiten (z.B. 2 Minunte) erneut nachschauen, ob der Prozes noch da ist. Hintergrund:
unison nutze ich zum synchronisieren von Dateien zwischen PC und Netbook. Gehe ich mit dem Netbook raus oder komme gerade wieder, muss ich mit meinem PC syncen. D.h.: Beide Kisten einschalten, sshd starten, unison auf dem Netbook anschmeißen und durchlaufen lassen, sshd auf dem PC wieder beenden. Etwas umständlich - liese sich teilautomatisieren.
Ich möchte den PC einfach anmachen (nur Knöpfchen drücken!), mein Home-Büro (wo der PC steht) in Richtung gemütliche Couch mit meinem Netbook in der Hand verlassen, ...
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
Welchen Agriffsvektor befürchtest du in deinem Heimnetzwerk durch einen ständig laufenden SSH-Server auf dem PC im Heimbüro?
|
HmpfCBR
Anmeldungsdatum: 22. Mai 2007
Beiträge: 4597
Wohnort: Leipzig
|
MoonKid schrieb: Beim Hochfahren der Kiste soll automatisch (ohne dass ich ein Passwort eingeben muss) sshd gestartet werden.
Der SSH-Server wird, wenn du das nicht explizit deaktiviert hast wie andere installierte Dienste auch automatisch beim Systemstart gestartet.
unison nutze ich zum synchronisieren von Dateien zwischen PC und Netbook. Gehe ich mit dem Netbook raus oder komme gerade wieder, muss ich mit meinem PC syncen. D.h.: Beide Kisten einschalten, sshd starten, unison auf dem Netbook anschmeißen und durchlaufen lassen, sshd auf dem PC wieder beenden. Etwas umständlich - liese sich teilautomatisieren.
Ich möchte den PC einfach anmachen (nur Knöpfchen drücken!), mein Home-Büro (wo der PC steht) in Richtung gemütliche Couch mit meinem Netbook in der Hand verlassen, ...
Wieso lässt du den SSH-Server auf dem PC nicht einfach laufen?
|
MoonKid
(Themenstarter)
Anmeldungsdatum: 9. Februar 2012
Beiträge: 1379
|
Hab den automatischen Start deaktiviert - aus Sicherheitsgründen.
Ich denke auch, dass PostSnowden potentielle "Angriffsvektoren" bekannt sein sollten. Jeder laufende Dienst ist ein Risiko. Das galt auch schon PräSnowden. Verstehe nicht, warum ich das hier erklären muss.
Router die sich nicht vollständig kontrollieren lassen, BlackBox-Kabelmodems, exposed hosts, Android-Geräte im Lokalen Netz, eine Win8 Kiste, unixoide Schadsoftware wird auch immer realer, Unwissenheit des Admins (also ich!), ...
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
Wenn du deinen Geräten im Intranet nicht vertrauen kannst ist dein Sicherheitskonzept sowieso lückenhaft - da hilft auch ein nur bei Bedarf laufender SSH-Server wenig.
|
HmpfCBR
Anmeldungsdatum: 22. Mai 2007
Beiträge: 4597
Wohnort: Leipzig
|
Du kannst so vorgehen: SSH-Konfiguration härten. Cron-Job schreiben, der alle 10 Minuten ein Skript ausführt, welches prüft ob die Synchronisierung beendet wurde und dann ggf. den SSH-Server stoppt. Den SSH-Server wieder automatisch beim Systemstart starten lassen.
|
keenPlan
Anmeldungsdatum: 13. März 2015
Beiträge: 38
|
Mir fällt da spontan und ungetest ein, du könntest dein Script mit/in /usr/bin/startkde aufrufen (Schreibst es einfach irgendwo ganz Anfang mit rein.). Ich hatte das auch mal für irgendwas so gemacht.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21733
Wohnort: Lorchhausen im schönen Rheingau
|
MoonKid schrieb: Ok, ich muss wohl doch mal weiter ausholen und erklären, was ich wirklich tun möchte:
Das fordert Richtig fragen eigentlich für den Startbeitrag. Solltest Du auch mittlerweile wissen. Beim Hochfahren der Kiste soll automatisch (ohne dass ich ein Passwort eingeben muss) sshd gestartet werden.
Wie HmpfCBR richtig sagt, dafür is der init-daemon da. Nach einer festen Zeit (z.B. 10 Minunten) soll das Script nach einem bestimmten Prozess suchen (unison). [...]
Das wiederum löst eins der Probleme, die Du vorher hattest. Du brauchst passwortlos (in deinem Skript) lediglich das Beenden des Dienstes erlauben 😉 Vorgehen wurde ja bereits beschrieben. MoonKid schrieb: Hab den automatischen Start deaktiviert - aus Sicherheitsgründen.
Ich denke auch, dass PostSnowden potentielle "Angriffsvektoren" bekannt sein sollten. Jeder laufende Dienst ist ein Risiko.
Wenn Du einem abgehangenen und durchgesehen Dienst wie OpenSSH nicht traust, solltest Du Inselsysteme bauen. Abgesehen davon, dass der ANgriffsvektor auch dann da ist, wenn Unison läuft. Also entwede rvertraust Du deinem SSH-Setup oder du solltest anders syncen
|