Seite 1 von 2 12 LetzteLetzte
Zeige Ergebnis 1 bis 15 von 20

Thema: Zusammenfassung / Ideen von Konferenz zum Thema "Goodbye Root"

  1. #1
    STARFACE Expert
    Benutzerbild von nucom
    Registriert seit
    11.12.2012
    Ort
    9443 Widnau
    Beiträge
    1.413

    Standard Zusammenfassung / Ideen von Konferenz zum Thema "Goodbye Root"

    Hallo Miteinander

    Ich habe nach der gestrigen Module-Creator Konferenz ein par der Punkte mal aufgegriffen, und will diese hier einfach im Forum noch Präsentieren.

    Ihr dürft gerne euren Senf dazugeben.

    Da der root Zugriff ja in Absehbarer Zeit "abgestellt" wird, würde ich in dem Punkt die SF bitten uns eine vorab "Beta" der neuen Version zur Verfügung zu stellen, damit wir uns wenigstens auf die Update-Wahnsinnigen vorbereiten können.

    So, nun kurz Zusammengefasst, einige Vorschläge die während der gestrigen Konferenz aufgekommen sind:

    Enable-Rootuser:

    Der Administrator müsste einem Modul die Rootrechte mit einem Häkchen zuweisen.



    Modulsignaturen / Module -Rights:

    Module sollen von den Partnern mit dem abgeschlossenen Kurs signiert werden können, und somit mehr Rechte erhalten. Bzw. ein Rechtesystem ähnlich dem von Android einführen.



    Sudo-Accept by File/Folder:

    Man muss einmal via SSH auf die Anlage zugreifen, und den Root Zugriff für Module freischalten



    Dualroot System:
    Man erstell einen weiteren User "moduleroot", und nutzt diesen in den Execute als eigenen Rootuser





    Root-Passwort hinterlegen:

    Einfach das Root Passwort in der Modulfunktion hinterlegen. Dies ist jedoch heikel, da dann das Root-Passwort im Klartext aufzufinden ist.

    MfG

    Fabian
    Geändert von nucom (16.06.2017 um 13:27 Uhr)
    Modulhersteller aus der Schweiz
    __________________________________________________ ________
    STARFACE Excellence Partner: Info | Certified Module Creator Kontakt

  2. #2
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.591

    Standard

    Hallo Fabian,

    herzlichen Dank für die Info - vor allem für die, die wie ich gestern aus terminlichen Gründen an der kurzfristig anberaumten Konferenz nicht teilnehmen konnten. In jedem Fall sieht es demnach ja so aus, als ob es Ansätze gibt das "Root"-Problem aus der Welt zu schaffen und auf anderen Wegen zumindest den Partner mit abgeschlossenem Creator-Kurs wieder zugänglich gemacht zu werden. Die aktuelle Situation ist bekannterweise "unsäglich" doof und hat für mind. extrem lange Gesichter bei Nutzern der Module gesorgt, wo sich das auch über Umwege im Moment nicht hat lösen und umgehen lassen. Wir haben hier auch so einen Fall und es ist natürlich unschön, Kunden bisher sehr beliebte Module (momentan) nicht mehr anbieten zu können.

    Die beschriebenen Ansätze sind allesamt sehr interessant und vielversprechend. Ich hoffe, dass es bald eine der beschriebenen Lösungen geben wird und wir nun notgedrungen zurückgezogene Module wieder ausliefern können.
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  3. #3
    STARFACE Expert
    Benutzerbild von nucom
    Registriert seit
    11.12.2012
    Ort
    9443 Widnau
    Beiträge
    1.413

    Standard

    In jedem Fall sieht es demnach ja so aus, als ob es Ansätze gibt das "Root"-Problem aus der Welt zu schaffen...
    Der aktuelle Plan der SF, laut Konferenz ist, mit dem nächsten Update im August (Termin genannt, aber nicht offiziell bestätigt) den Tomcat, sowie die ganze Java-VM nicht mehr auf Root laufen zu lassen. Somit ist in 2 Monaten erstmal komplett Sense was alle Rootfunktionen angeht, Ausser du willst die execute Funktion mit einem "echo [Passwort] | sudo -u root -S && Command" (Aus dem Kopf, ungetestet) ausführen. Was bedeutet dass du das PW irgendwo im Klartext hinterlegst.

    Sie haben auch den Vorschlag genannt, dass sie viel Verwendete Systemfunktionen wieder als Bausteine zur Verfügung stellen würden. Z.b. IP-Konfigurationsanpassung aus dem Modul. Wenn man ihnen einen Vorschlag für einen Baustein schicken soll. Schickt diesen an Kantus@starface.de
    Bausteine die öfters gewünscht werden, können dann von ihnen umgesetzt werden. Damit kann man die Root Problematik etwas "kompensieren"

    Danach wird erst wieder Rückgebaut und das Rootproblem angefasst.

    Eventuell lässt sich ja wieder ein Baustein Schaffen, mit dem Rootrechte ermöglicht werden. Aber ohne dass ich die neue Version gesehen habe, kann ich erstmal gar nichts dazu sagen.

    //edit: Hat jemand die Konferenz aufgezeichnet? Ich war eben Teilweise auch noch am Telefon und habe nicht alles mitbekommen.

    MfG

    Fabian
    Geändert von nucom (13.06.2017 um 10:01 Uhr)
    Modulhersteller aus der Schweiz
    __________________________________________________ ________
    STARFACE Excellence Partner: Info | Certified Module Creator Kontakt

  4. #4
    STARFACE Admin

    Registriert seit
    15.01.2014
    Beiträge
    144

    Standard

    Eine Aufzeichnung wäre wirklich toll. Auch für die anderen noch, die gestern nicht teilnehmen konnten.
    Viele Grüße,
    Christopher

  5. #5
    STARFACE Crew

    Registriert seit
    30.09.2015
    Beiträge
    230

    Standard

    Leider haben wir keine Aufzeichnung der Telefonkonferenz vorgenommen, aber ich versuche hier die wesentlichen Punkte wiederzugeben:

    • Aktuell besteht im Modulsystem die Möglichkeit, Funktionen mit root-Zugriff laufen zu lassen.
    • STARFACE wird aus Sicherheitsgründen mit der nächsten Version 6.4.3 den root-Zugriff unterbinden, indem sowohl der Tomcat als auch die Java-VM nicht mehr als root laufen.
    • Verschiedene Partner trugen den Wunsch an STARFACE heran, durch besondere Sicherungs- und Rechtemaßnahmen für wahlweisen root-Zugriff zu erlauben. Einige dieser Vorschläge sind bereits oben dargestellt.
    • STARFACE wird diese Vorschläge prüfen, kann jedoch zu diesem Zeitpunkt noch keine definitive Aussage dazu treffen.

  6. #6
    STARFACE Admin

    Registriert seit
    15.01.2014
    Beiträge
    144

    Standard

    Wie angesprochen, wäre aus meiner Sicht eine Signatur für jedes Mitglied, dass die Modulschulung absolviert hatte, ein Segen. Diesen signierten Modulen sollte dann die Möglichkeit gegeben werden auf root-Funktionen aus dem Modul zugreifen zu können. Positiver Mehrwert beim Kunden: ein signiertes Modul wirkt vertrauenswürdiger. Es würde unseren Modulen also nochmals einen vertrauenswürdigeren Touch verleihen.

    Ich würde es begrüßen, wenn erst eine Alternative für die Partner geschaffen würde und dann erst der root-Zugriff unterbunden wird. Wie in der Telko ja zu vernehmen war, stehe ich mit diesem Wunsch nicht alleine da. Ich teile die dort genannte Sorge, dass die Bastellösungen überwiegen werden und u.U. mitunter zu Anpassungen führen werden, die die Sicherheit eher weiter reduziert. Das kann dann nicht im Interesse aller sein. Auch ein root-Kennwort im Klartext in der Modulkonfiguration (dann auch für jeden Mitarbeiter mit "Admin"-Zugang sichtbar), erhöht aus meiner Sicht eher das Risiko. Eine weitere Telko von Starface - sobald Fakten geschaffen wurden (oder klar ist, welche Fakten geschaffen werden), wäre sehr wünschenswert. Denn bei allem Ärger finde ich es mutig und positiv von Starface, sich hier wenigstens in einer Telko "gestellt" zu haben und es nicht nur bei einem starren Newsletter belassen zu haben. Ich denke man muss das auch anerkennen.
    Viele Grüße,
    Christopher

  7. #7
    STARFACE User

    Registriert seit
    02.11.2016
    Beiträge
    46

    Standard

    Ich finde das mit der Signatur auch am schönsten und schließe mich den Ausführungen von cmuschitz an, das bevor der Zugriff komplett abgeschafft wird eine Alternative geschaffen werden sollte.

  8. #8
    STARFACE Expert
    Benutzerbild von nucom
    Registriert seit
    11.12.2012
    Ort
    9443 Widnau
    Beiträge
    1.413

    Standard

    @BeKa

    Da die Frage bezgl. Beta aus dem ersten Post nicht beantwortet wurde, würde ich gerne nochmals Fragen.

    Werdet ihr eine Beta zur Verfügung stellen?
    Alternativ wäre es natürlich schön, wenn die "Finale" 6.4.3 den Partnern eine gewisse Zeit vor dem Public-Release bereits zur Verfügung gestellt würde, um uns darauf vorbereiten zu können.

    Eine Weitere Frage ist mir noch aufgekommen.

    Wird der "ModuleUser" eine Rechteausweitung erhalten?

    Abgesehen vom /tmp/ gibt es im ganzen System praktisch keinen Ort, an dem Irgendwelche Dateien erstellt/geändert werden können, wenn man keine Rootrechte besitzt.

    Ich habe Z.b. das Beispiel, dass Zuvor in das Modul/Instanz Importierte Dateien modifiziert werden, bzw. neue Dateien dort Angelegt werden, damit diese auch die Backup/Restore überleben.
    Der /tmp/ Ordner wird nämlich nicht ins Backup mit einbezogen, was soviel wie den Totalverlust, für alle von den Modulen geschrieben Dateien bedeuten würde, wenn nun eine Anlage komplett neu Installiert wird.

    Sprecht das bitte Intern ab, dass es einen Ort geben muss, an dem die Module(auch ohne Root) Dateien Schreiben dürfen, so dass diese vom Backup mit einbezogen werden.

    MfG

    Fabian
    Modulhersteller aus der Schweiz
    __________________________________________________ ________
    STARFACE Excellence Partner: Info | Certified Module Creator Kontakt

  9. #9
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.154

    Standard

    Ich schlage vor, dass wir solche Fragen und das Thema allgemein, mit den zuständigen Ansprechpartnern direkt bei STARFACE bzw. im Partner-Channel diskutieren. Ich halte das Forum nicht für den passenden Ort dafür. Just my 2 cents...
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  10. #10
    STARFACE Crew

    Registriert seit
    30.09.2015
    Beiträge
    230

    Standard

    Hallo,

    ich möchte eine Zusammenfassung der erneuten Telefonkonferenz vom letzten Donnerstag geben:
    • Wir möchten zertifizierten Partner die Möglichkeit geben, Code als root auszuführen.
    • In der Beta-Version der nächsten Version 6.4.3 wird diese Möglichkeit noch nicht vorhanden sein.
    • Möglicherweise wird die Möglichkeit in der Final Version der 6.4.3 vorhanden sein. Falls nicht, versuchen wir es schnellstmöglich nachzureichen.


    Sobald es konkrete Details zur Umsetzung gibt, halten wir euch auf dem Laufenden.

  11. #11
    STARFACE Expert
    Benutzerbild von nucom
    Registriert seit
    11.12.2012
    Ort
    9443 Widnau
    Beiträge
    1.413

    Standard

    Ich habe mich für das Unaufhaltsame gerüstet, und bereits einen weg Ausgearbeitet, wie man mit der 6.4.3 unter Berücksichtigung der Partnercode-Root Geschichte wieder beliebigen Code als Root ausführen kann.

    Es ist noch Work in Progress, aber ich bin mir jetzt schon sicher, dass es so mit der 6.4.3 klappen wird.

    //edit: Bitte beachten, dass das GUI_PASSWORT in diesem Fall nicht das Root Passwort ist. Im Modul muss kein Root-Passwort hinterlegt werden, um diesen Tunnel verwenden zu können.



    Code:
    [2017-07-12 11:40:08,512] DEBUG [dont root me no more] ######################## 
    [2017-07-12 11:40:08,512] DEBUG [Roottunnel.istunnelup] Checking if Port opens at: 25590 
    [2017-07-12 11:40:08,513] DEBUG [dont root me no more] Tunnel is: true 
    [2017-07-12 11:40:08,513] DEBUG [Roottunnel.OpenTunnel] Trying to open a Tunnel on Port:25590 
    [2017-07-12 11:40:09,514] DEBUG [Roottunnel.OpenTunnel] Trying to Auth.. 
    [2017-07-12 11:40:09,555] DEBUG [Roottunnel.OpenTunnel] Authentication Successful 
    [2017-07-12 11:40:10,556] DEBUG [dont root me no more] DiskFree:
     Filesystem     1K-blocks    Used Available Use% Mounted on
    /dev/sda1       23654552 8058296  14387988  36% /
    tmpfs            1957328       0   1957328   0% /dev/shm
    [2017-07-12 11:40:11,557] DEBUG [dont root me no more] Current Path: /tmp
    [2017-07-12 11:40:11,557] DEBUG [dont root me no more] Chaning Path to /etc/asterisk 
    [2017-07-12 11:40:13,558] DEBUG [dont root me no more] Current Path: /etc/asterisk
    [2017-07-12 11:40:13,558] DEBUG [dont root me no more] Listing Content of current folder. 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 0:total 288 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 1:drwxr-xr-x.  7 root root  4096 Jul 12 11:36 . 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 2:drwxr-xr-x. 89 root root 12288 Jul 12 07:51 .. 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 3:-rw-r--r--   1 root root     1 Jul  4 16:57 acl.conf 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 4:-rw-r--r--   1 root root   456 Jul  6 16:35 asterisk.conf 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 5:-rw-r--r--   1 root root    86 Jul  4 16:57 capi.conf 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 6:-rw-r--r--   1 root root  3479 Jul  4 16:57 cdr.conf 
    [2017-07-12 11:40:14,559] DEBUG [dont root me no more] 7:-rw-r--r--   1 root root    59 Jul  4 16:57 cdr_manager.conf 
    [GEKÜRZT]
    [2017-07-12 11:40:14,560] DEBUG [dont root me no more] Creating Testfile 
    [2017-07-12 11:40:16,561] DEBUG [dont root me no more] New File:-rw-r--r--   1 root root     0 Jul 12 11:40 test
    [2017-07-12 11:40:16,561] DEBUG [dont root me no more] Removing File 
    [2017-07-12 11:40:17,561] DEBUG [Roottunnel.CloseTunnel] Trying to Close Tunnel 
    [2017-07-12 11:40:17,561] DEBUG [Roottunnel.CloseTunnel] Exiting Shell 
    [2017-07-12 11:40:18,562] DEBUG [Roottunnel.CloseTunnel] Send Tunnel Close Command 
    [2017-07-12 11:40:19,562] DEBUG [Roottunnel.CloseTunnel] Tunnel Closed
    MfG

    Fabian
    Geändert von nucom (12.07.2017 um 10:52 Uhr)
    Modulhersteller aus der Schweiz
    __________________________________________________ ________
    STARFACE Excellence Partner: Info | Certified Module Creator Kontakt

  12. #12
    STARFACE Crew

    Registriert seit
    30.09.2015
    Beiträge
    230

    Standard

    Zitat Zitat von nucom Beitrag anzeigen
    Ich habe mich für das Unaufhaltsame gerüstet, und bereits einen weg Ausgearbeitet, wie man mit der 6.4.3 unter Berücksichtigung der Partnercode-Root Geschichte wieder beliebigen Code als Root ausführen kann.
    Selbstverständlich wird es schwierig, für ein so modifiziertes System dann Support zu bekommen, da wir die root-Funktion aus Sicherheitsgründen ausgebaut haben.

  13. #13
    STARFACE Expert
    Benutzerbild von nucom
    Registriert seit
    11.12.2012
    Ort
    9443 Widnau
    Beiträge
    1.413

    Standard

    Hallo Beka

    Selbstverständlich wird es schwierig, für ein so modifiziertes System dann Support zu bekommen, da wir die root-Funktion aus Sicherheitsgründen ausgebaut haben.
    Das Klingt ja schon fast nach einer Drohung. Wenn wir euch damit auf den Fuss treten, kommuniziert doch das schnell an den Herrn Kellenberger von uns..
    Wenn demnach so ist, wird dieses Projekt eingestampft, und ca. 15 unserer Module werden danach eingeschränkt bis gar nicht mehr funktionieren.

    Dato modifiziere ich gar keine bestehenden Komponenten, ich benutze die aufkommende "Execute as Root" Komponente, um eine .jar zu starten welche auf Localhost:[Beliebiger] Port ein Kennwort annimmt, und anschliessend eine Bash Shell öffnet, auf der sich beliebige Befehle als Root ausführen lassen.

    Also im Grunde wird die initiale Invokation des Tunnels via durch euch Verschlüsselten Code ausgeführt, und die Folgebefehle können danach ohne extra Verschlüsselung ausgeführt werden.
    Dies nimmt uns die ganze Problematik ab, vor allem wenn Root-Befehle mit Dynamischen Parametern benötigt werden (Wie z.b. ein Datum)

    MfG

    Fabian
    Modulhersteller aus der Schweiz
    __________________________________________________ ________
    STARFACE Excellence Partner: Info | Certified Module Creator Kontakt

  14. #14
    STARFACE Crew

    Registriert seit
    30.09.2015
    Beiträge
    230

    Standard

    Erstmal vorneweg: Wir arbeiten ja an einer Lösung wie letztens in der Telefonkonferenz besprochen. Wir wissen auch, dass ihr bis dahin ein grösseres Problem mit euren Modulen habt.

    Der mangelnde Support ist keine Drohung. Ich will nur sagen, dass es wirklich sehr schwer sein könnte, eine Fehlerursache auf einem solchen System zu finden, und dass wir im Zweifel tatsächlich den Support für ein modifiziertes System nicht leisten können. Da geht es dann nicht ums Wollen, sondern darum, dass wir ein modifiziertes System vielleicht gar nicht verstehen können.

  15. #15
    STARFACE Crew

    Registriert seit
    30.09.2015
    Beiträge
    230

    Standard

    Hallo zusammen,

    wir arbeiten weiter an diesem Thema und möchten noch einmal die Vorgehensweise zusammenfassen:
    • Jeder Modulcode, der als root ausgeführt werden soll, muss zuvor durch STARFACE automatisiert signiert werden
    • Nur signierte Module werden auf der STARFACE-Anlage ausgeführt
    • Es ist auch weiterhin möglich, Java-Code im Modulsystem auszuführen, sofern er keine root-Rechte benötigt
    • Jeder Code, der als root ausgeführt werden soll, muss als Shell-Skript (Bash) geschrieben sein
    • Java-Code kann nicht als root ausgeführt werden, weil der Tomcat nicht als root läuft


    Bitte prüft, ob diese Voraussetzungen für euren Modulumbau ausreichend sind. Falls nicht, gebt uns bitte Bescheid an kantus at starface punkt de mit euren konkreten Funktionswünschen und Zielen, die sich nicht per Bash umsetzen lassen. Bitte tut dies bis Freitagabend, 11. August.

    Danke!

Ähnliche Themen

  1. Antworten: 21
    Letzter Beitrag: 09.05.2016, 16:24
  2. Wenn das Modul "Ansage vor Melden" läuft, wird auf den Endgeräten "unknown" angezeigt
    Von sven784230 im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 17.12.2015, 07:43
  3. Call-in Konferenz "Beep" lauter
    Von alung im Forum STARFACE Einrichtung & Administration
    Antworten: 0
    Letzter Beitrag: 07.12.2015, 10:15
  4. Starface 6, "Authuser", "Diesem Telefon ist kein Benutzer zugeordnet" und Protokolle
    Von John im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 24.02.2015, 17:03
  5. "Rufnummer ist bereits angegeben" bei Erstellung einer Konferenz
    Von grooveattack im Forum STARFACE Benutzerfrontend
    Antworten: 6
    Letzter Beitrag: 07.04.2014, 10:41

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •