crazy-to-bike
Anmeldungsdatum: 11. Oktober 2009
Beiträge: 256
|
Hallo, ich habe Veracrypt so eingerichtet, dass nicht jedes Mal beim Mounen und Unmounten eines Volumes das Benutzerpasswort für die sudo-Rechte abgefragt wird. Also
Benutzergruppe veracrapt angelegt mich der Gruppe hinzugefügt Eintrag in /etc/sudoers: %veracrypt ALL=NOPASSWD: /usr/bin/veracrypt
Das hat prima funktioniert, bis vor zwei oder drei Tagen. Ich meine, es klappt nicht mehr, seit das Update von Veracrypt auf 1.24-Hotfix1 kam. Am Notebook ist noch Veracrypt 1.23 installiert, da funktioniert's noch ohne Benutzerpasswort-Abfrage. Ich verstehe nur nicht den Zusammenhang. Ob ich noch in der Gruppe veracrypt bin und der Eintrag in der /etc/sudoers noch da ist, habe ich schon kontrolliert, das passt alles.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hallo! Ich werde dir vermutlich keine Hilfe anbieten können, da ich kein Veracrypt verwende. Aber grundlegend eine Frage zu deiner Fragestellung: Du hast die Passwortabfrage der Verschlüsselung deaktiviert? Wozu dann verschlüsseln, wenn die Daten frei zugänglich sind? Oder war das etwas mit einem Passwort-Agent, der das für Dauer XY im Speicher behalten hat?
|
dingsbums
Anmeldungsdatum: 13. November 2010
Beiträge: 3532
|
|
dingsbums
Anmeldungsdatum: 13. November 2010
Beiträge: 3532
|
|
TK87
Anmeldungsdatum: 8. Juli 2019
Beiträge: 216
Wohnort: Aachen
|
Also bei mir funktioniert es auch mit 1.24-Hotfix1 immer noch problemlos. ChickenLipsRfun2eat schrieb: Aber grundlegend eine Frage zu deiner Fragestellung: Du hast die Passwortabfrage der Verschlüsselung deaktiviert? Wozu dann verschlüsseln, wenn die Daten frei zugänglich sind?
Natürlich nicht die Passwortabfrage der Verschlüsselung 🤣 . Veracrypt braucht zum mounten Rootrechte, muss also mit sudo ausgeführt werden. Hier wird also erst das sudo -Passwort und anschließend das Passwort zum Entschlüsseln abgefragt, wenn man Veracrypt nicht in die sudoers einträgt.
|
crazy-to-bike
(Themenstarter)
Anmeldungsdatum: 11. Oktober 2009
Beiträge: 256
|
TK87 schrieb: Also bei mir funktioniert es auch mit 1.24-Hotfix1 immer noch problemlos.
hm... aber so was hatte ich auch schon öfters, an Rechner A (ggf. von irgendwem) funktioniert's, bei Rechner B nicht.
Hast du denn Ubuntu 18.04 oder eine andere Distro? TK87 schrieb: Natürlich nicht die Passwortabfrage der Verschlüsselung 🤣 . Veracrypt braucht zum mounten Rootrechte, muss also mit sudo ausgeführt werden. Hier wird also erst das sudo -Passwort und anschließend das Passwort zum Entschlüsseln abgefragt, wenn man Veracrypt nicht in die sudoers einträgt.
Passwortreihenfolge ist umgekehrt, aber sonst ja, genau so. Fragt sich halt noch immer, warum das bei mir (und anderen) nicht mehr klappt. Veracrypt 1.24 wird ja noch immer unter /usr/bin/veracrypt installiert und von dort aufgerufen. Die Gruppe, Gruppenmitgliedschaft und der sudoers-Eintrag sind noch immer unverändert da... Kopf kratz...
|
TK87
Anmeldungsdatum: 8. Juli 2019
Beiträge: 216
Wohnort: Aachen
|
crazy-to-bike schrieb: Hast du denn Ubuntu 18.04 oder eine andere Distro?
Jup, ebenfalls 18.04 Passwortreihenfolge ist umgekehrt, aber sonst ja, genau so.
Das hängt dann wohl eher mit der Art und Weise zusammen, wie du Veracrypt aufrufst und die Partition oder den Container mountest. Ich persönlich mache das über den Befehl
| sudo veracrypt /pfad/zum/container /pfad/zum/einhängepunkt
|
Beziehungsweise über einen .desktop-Starter, der diesen Befehl aufruft. Das bringt uns aber der Lösung deines Problems schon mal einen Schritt weiter. So wie ich das sehe, hast du 2 Optionen, um die abfrage des Sudopassworts wieder abzuschalten:
Den Veracryptstarter anpassen Einen eigenen Starter für das einhängen basteln
|
undine
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3284
|
Hi, ob das ein Bug oder ist das so gewollt? Wie geht man mit einzelnen Containern um? Greetz undine
|
TK87
Anmeldungsdatum: 8. Juli 2019
Beiträge: 216
Wohnort: Aachen
|
undine schrieb: Hi, ob das ein Bug oder ist das so gewollt?
Gute Frage. Fakt ist ja, Ein Sudoerseintrag funktioniert nur dann, wenn das Programm mit sudo aufgerufen wird. Vermutlich hat sich Veracrypt früher einfach selbst mit sudo aufgerufen und tut dies nun nicht mehr... ob das so gewollt ist (vielleicht eine Schwachstelle geschlossen, vielleicht zu einer anderen Passwortabfrage wie pkexec oder zenity gewchselt, ...), oder ob man sich bei Veracrypt einfach nicht darüber bewusst war, darüber kann man nur spekulieren. Wie geht man mit einzelnen Containern um?
Was genau meinst du damit? Einen einzelnen Container einhängen geht wie bereits erwähnt mit TK87 schrieb: | sudo veracrypt /pfad/zum/container /pfad/zum/einhängepunkt
|
Damit gibt es die Möglichkeit, entweder direkt übers Terminal, per Script oder per Starter die Container einzuhängen. Du kannst die Container natürlich auch weiterhin über die grafische Programmoberfläche von Veracrypt einhängen. Damit hier keine Sudo-Abfrage mehr kommt, musst du wie oben erwähnt den Veracrypt-Starter modifizieren - also in der /usr/share/applications/veracrypt.desktop die Zeile
Exec=veracrypt %f
ändern in
Exec=sudo veracrypt %f
❗ Hinweis ❗ Der Starter wird damit allerdings für alle Benutzer, die Veracrypt nicht durch die sudoers ohne Passwort starten dürfen, unbrauchbar. Aus diesem Grund sollte der Starter vorzugsweise vorher nach ~/.local/share/applications kopiert und erst dort modifiziert werden.
|
crazy-to-bike
(Themenstarter)
Anmeldungsdatum: 11. Oktober 2009
Beiträge: 256
|
TK87 schrieb: Vermutlich hat sich Veracrypt früher einfach selbst mit sudo aufgerufen und tut dies nun nicht mehr...
ja, sieht in der Tat so aus, denn Mounten eines Containers über die Konsole mit sudo voran benötigt keine Passwortabfrage, ohne sudo schon.
TK87 schrieb:
Du kannst die Container natürlich auch weiterhin über die grafische Programmoberfläche von Veracrypt einhängen. Damit hier keine Sudo-Abfrage mehr kommt, musst du wie oben erwähnt den Veracrypt-Starter modifizieren.
Ok, mit der Erkenntnis von oben ist das eigentlich dann klar. Da ich verschiedene Container mounte, will ich nicht für jeden einen eigenen Starter, und jedes Mal über's Terminal gehen habe ich auch keine Lust. Also werde ich wohl den veracrypt-Starter modifizieren.
|
crazy-to-bike
(Themenstarter)
Anmeldungsdatum: 11. Oktober 2009
Beiträge: 256
|
TK87 schrieb: ❗ Hinweis ❗ Der Starter wird damit allerdings für alle Benutzer, die Veracrypt nicht durch die sudoers ohne Passwort starten dürfen, unbrauchbar. Aus diesem Grund sollte der Starter vorzugsweise vorher nach ~/.local/share/applications kopiert und erst dort modifiziert werden.
noch was: Imho ist Veracrypt für alle, die nicht in der Gruppe sudo sind, doch eh unbrauchbar, denn wenn man das sudo-Passwort braucht, um einen Container zu mounten, dann kann das ein normaler User ja nicht. Oder fragt Veracrypt nur das Userpasswort ab und das Mounten funktioiert damit auch ohne sudo-Rechte?
|
TK87
Anmeldungsdatum: 8. Juli 2019
Beiträge: 216
Wohnort: Aachen
|
In der Gruppe sudo muss man ohnehin sein. Wovon ich da gesprochen habe, ist jedoch der Sudoerseintrag, der das ausführen ohne Passwort erlaubt. Starter beinhalten ja die Option Terminal=true/false. Bei grafischen Programmen ist hier logischer Weise false gesetzt. sudo ist jedoch eine textbasierte Abfrage und braucht somit ein Terminal. Wenn also ein anderer User den Starter ausführt, passiert einfach überhaupt nichts auch wenn er der Gruppe sudo angehört, da das sudo-passwort erst gar nicht abgefragt werden kann.
|
crazy-to-bike
(Themenstarter)
Anmeldungsdatum: 11. Oktober 2009
Beiträge: 256
|
TK87 schrieb: Wenn also ein anderer User den Starter ausführt, passiert einfach überhaupt nichts auch wenn er der Gruppe sudo angehört, da das sudo-passwort erst gar nicht abgefragt werden kann.
aber wenn der User in der Gruppe sudo und auch in der Gruppe veracrypt ist, sollte der sudoers-Eintrag
%veracrypt ALL=NOPASSWD: /usr/bin/veracrypt
doch auch bei ihm greifen?!?
|
TK87
Anmeldungsdatum: 8. Juli 2019
Beiträge: 216
Wohnort: Aachen
|
crazy-to-bike schrieb: aber wenn der User in der Gruppe sudo und auch in der Gruppe veracrypt ist, sollte der sudoers-Eintrag
%veracrypt ALL=NOPASSWD: /usr/bin/veracrypt
doch auch bei ihm greifen?!?
Dann würde das selbstverständlich greifen (bzw. in dem Falle bräuchte er nicht mal in der Gruppe sudo sein, die Mitgliedschaft in der Gruppe Veracrypt reicht). Wie ich bereits geschrieben habe, es geht um Benutzer, die von dem Sudoerseintrag nicht abgedeckt sind.
|
undine
Anmeldungsdatum: 25. Januar 2007
Beiträge: 3284
|
Hallo User, hier stehen einige Hinweise: https://sourceforge.net/p/veracrypt/discussion/general/thread/604d12bba8/
@John A: This is working exellent. I added to the sudoers file the %sudo ALL=(ALL) NOPASSWD:/usr/bin/veracrypt, /usr/bin/uptime No admin password requested anymore.
Greetz undine
|