Zusammenfassung / Ideen von Konferenz zum Thema "Goodbye Root"

  • Hallo Miteinander


    Ich habe nach der gestrigen Module-Creator Konferenz ein par der Punkte mal aufgegriffen, und will diese hier einfach im Forum noch Präsentieren.


    Ihr dürft gerne euren Senf dazugeben.


    Da der root Zugriff ja in Absehbarer Zeit "abgestellt" wird, würde ich in dem Punkt die SF bitten uns eine vorab "Beta" der neuen Version zur Verfügung zu stellen, damit wir uns wenigstens auf die Update-Wahnsinnigen vorbereiten können.


    So, nun kurz Zusammengefasst, einige Vorschläge die während der gestrigen Konferenz aufgekommen sind:


    Enable-Rootuser:


    Der Administrator müsste einem Modul die Rootrechte mit einem Häkchen zuweisen.



    Modulsignaturen / Module -Rights:


    Module sollen von den Partnern mit dem abgeschlossenen Kurs signiert werden können, und somit mehr Rechte erhalten. Bzw. ein Rechtesystem ähnlich dem von Android einführen.



    Sudo-Accept by File/Folder:


    Man muss einmal via SSH auf die Anlage zugreifen, und den Root Zugriff für Module freischalten



    Dualroot System:
    Man erstell einen weiteren User "moduleroot", und nutzt diesen in den Execute als eigenen Rootuser




    Root-Passwort hinterlegen:


    Einfach das Root Passwort in der Modulfunktion hinterlegen. Dies ist jedoch heikel, da dann das Root-Passwort im Klartext aufzufinden ist.


    MfG


    Fabian

  • Hallo Fabian,


    herzlichen Dank für die Info - vor allem für die, die wie ich gestern aus terminlichen Gründen an der kurzfristig anberaumten Konferenz nicht teilnehmen konnten. In jedem Fall sieht es demnach ja so aus, als ob es Ansätze gibt das "Root"-Problem aus der Welt zu schaffen und auf anderen Wegen zumindest den Partner mit abgeschlossenem Creator-Kurs wieder zugänglich gemacht zu werden. Die aktuelle Situation ist bekannterweise "unsäglich" doof und hat für mind. extrem lange Gesichter bei Nutzern der Module gesorgt, wo sich das auch über Umwege im Moment nicht hat lösen und umgehen lassen. Wir haben hier auch so einen Fall und es ist natürlich unschön, Kunden bisher sehr beliebte Module (momentan) nicht mehr anbieten zu können.


    Die beschriebenen Ansätze sind allesamt sehr interessant und vielversprechend. Ich hoffe, dass es bald eine der beschriebenen Lösungen geben wird und wir nun notgedrungen zurückgezogene Module wieder ausliefern können.

  • Zitat

    In jedem Fall sieht es demnach ja so aus, als ob es Ansätze gibt das "Root"-Problem aus der Welt zu schaffen...


    Der aktuelle Plan der SF, laut Konferenz ist, mit dem nächsten Update im August (Termin genannt, aber nicht offiziell bestätigt) den Tomcat, sowie die ganze Java-VM nicht mehr auf Root laufen zu lassen. Somit ist in 2 Monaten erstmal komplett Sense was alle Rootfunktionen angeht, Ausser du willst die execute Funktion mit einem "echo [Passwort] | sudo -u root -S && Command" (Aus dem Kopf, ungetestet) ausführen. Was bedeutet dass du das PW irgendwo im Klartext hinterlegst.


    Sie haben auch den Vorschlag genannt, dass sie viel Verwendete Systemfunktionen wieder als Bausteine zur Verfügung stellen würden. Z.b. IP-Konfigurationsanpassung aus dem Modul. Wenn man ihnen einen Vorschlag für einen Baustein schicken soll. Schickt diesen an Kantus@starface.de
    Bausteine die öfters gewünscht werden, können dann von ihnen umgesetzt werden. Damit kann man die Root Problematik etwas "kompensieren"


    Danach wird erst wieder Rückgebaut und das Rootproblem angefasst.


    Eventuell lässt sich ja wieder ein Baustein Schaffen, mit dem Rootrechte ermöglicht werden. Aber ohne dass ich die neue Version gesehen habe, kann ich erstmal gar nichts dazu sagen.


    //edit: Hat jemand die Konferenz aufgezeichnet? Ich war eben Teilweise auch noch am Telefon und habe nicht alles mitbekommen.


    MfG


    Fabian

  • Leider haben wir keine Aufzeichnung der Telefonkonferenz vorgenommen, aber ich versuche hier die wesentlichen Punkte wiederzugeben:


    • Aktuell besteht im Modulsystem die Möglichkeit, Funktionen mit root-Zugriff laufen zu lassen.
    • STARFACE wird aus Sicherheitsgründen mit der nächsten Version 6.4.3 den root-Zugriff unterbinden, indem sowohl der Tomcat als auch die Java-VM nicht mehr als root laufen.
    • Verschiedene Partner trugen den Wunsch an STARFACE heran, durch besondere Sicherungs- und Rechtemaßnahmen für wahlweisen root-Zugriff zu erlauben. Einige dieser Vorschläge sind bereits oben dargestellt.
    • STARFACE wird diese Vorschläge prüfen, kann jedoch zu diesem Zeitpunkt noch keine definitive Aussage dazu treffen.
  • Wie angesprochen, wäre aus meiner Sicht eine Signatur für jedes Mitglied, dass die Modulschulung absolviert hatte, ein Segen. Diesen signierten Modulen sollte dann die Möglichkeit gegeben werden auf root-Funktionen aus dem Modul zugreifen zu können. Positiver Mehrwert beim Kunden: ein signiertes Modul wirkt vertrauenswürdiger. Es würde unseren Modulen also nochmals einen vertrauenswürdigeren Touch verleihen.


    Ich würde es begrüßen, wenn erst eine Alternative für die Partner geschaffen würde und dann erst der root-Zugriff unterbunden wird. Wie in der Telko ja zu vernehmen war, stehe ich mit diesem Wunsch nicht alleine da. Ich teile die dort genannte Sorge, dass die Bastellösungen überwiegen werden und u.U. mitunter zu Anpassungen führen werden, die die Sicherheit eher weiter reduziert. Das kann dann nicht im Interesse aller sein. Auch ein root-Kennwort im Klartext in der Modulkonfiguration (dann auch für jeden Mitarbeiter mit "Admin"-Zugang sichtbar), erhöht aus meiner Sicht eher das Risiko. Eine weitere Telko von Starface - sobald Fakten geschaffen wurden (oder klar ist, welche Fakten geschaffen werden), wäre sehr wünschenswert. Denn bei allem Ärger finde ich es mutig und positiv von Starface, sich hier wenigstens in einer Telko "gestellt" zu haben und es nicht nur bei einem starren Newsletter belassen zu haben. Ich denke man muss das auch anerkennen.

    Viele Grüße,
    Christopher

  • Ich finde das mit der Signatur auch am schönsten und schließe mich den Ausführungen von cmuschitz an, das bevor der Zugriff komplett abgeschafft wird eine Alternative geschaffen werden sollte.

  • BeKa


    Da die Frage bezgl. Beta aus dem ersten Post nicht beantwortet wurde, würde ich gerne nochmals Fragen.


    Werdet ihr eine Beta zur Verfügung stellen?
    Alternativ wäre es natürlich schön, wenn die "Finale" 6.4.3 den Partnern eine gewisse Zeit vor dem Public-Release bereits zur Verfügung gestellt würde, um uns darauf vorbereiten zu können.


    Eine Weitere Frage ist mir noch aufgekommen.


    Wird der "ModuleUser" eine Rechteausweitung erhalten?


    Abgesehen vom /tmp/ gibt es im ganzen System praktisch keinen Ort, an dem Irgendwelche Dateien erstellt/geändert werden können, wenn man keine Rootrechte besitzt.


    Ich habe Z.b. das Beispiel, dass Zuvor in das Modul/Instanz Importierte Dateien modifiziert werden, bzw. neue Dateien dort Angelegt werden, damit diese auch die Backup/Restore überleben.
    Der /tmp/ Ordner wird nämlich nicht ins Backup mit einbezogen, was soviel wie den Totalverlust, für alle von den Modulen geschrieben Dateien bedeuten würde, wenn nun eine Anlage komplett neu Installiert wird.


    Sprecht das bitte Intern ab, dass es einen Ort geben muss, an dem die Module(auch ohne Root) Dateien Schreiben dürfen, so dass diese vom Backup mit einbezogen werden.


    MfG


    Fabian

  • Ich schlage vor, dass wir solche Fragen und das Thema allgemein, mit den zuständigen Ansprechpartnern direkt bei STARFACE bzw. im Partner-Channel diskutieren. Ich halte das Forum nicht für den passenden Ort dafür. Just my 2 cents...

  • Hallo,


    ich möchte eine Zusammenfassung der erneuten Telefonkonferenz vom letzten Donnerstag geben:

    • Wir möchten zertifizierten Partner die Möglichkeit geben, Code als root auszuführen.
    • In der Beta-Version der nächsten Version 6.4.3 wird diese Möglichkeit noch nicht vorhanden sein.
    • Möglicherweise wird die Möglichkeit in der Final Version der 6.4.3 vorhanden sein. Falls nicht, versuchen wir es schnellstmöglich nachzureichen.


    Sobald es konkrete Details zur Umsetzung gibt, halten wir euch auf dem Laufenden.

  • Ich habe mich für das Unaufhaltsame gerüstet, und bereits einen weg Ausgearbeitet, wie man mit der 6.4.3 unter Berücksichtigung der Partnercode-Root Geschichte wieder beliebigen Code als Root ausführen kann.


    Es ist noch Work in Progress, aber ich bin mir jetzt schon sicher, dass es so mit der 6.4.3 klappen wird.


    //edit: Bitte beachten, dass das GUI_PASSWORT in diesem Fall nicht das Root Passwort ist. Im Modul muss kein Root-Passwort hinterlegt werden, um diesen Tunnel verwenden zu können.




    MfG


    Fabian

  • Ich habe mich für das Unaufhaltsame gerüstet, und bereits einen weg Ausgearbeitet, wie man mit der 6.4.3 unter Berücksichtigung der Partnercode-Root Geschichte wieder beliebigen Code als Root ausführen kann.


    Selbstverständlich wird es schwierig, für ein so modifiziertes System dann Support zu bekommen, da wir die root-Funktion aus Sicherheitsgründen ausgebaut haben.

  • Hallo Beka


    Zitat

    Selbstverständlich wird es schwierig, für ein so modifiziertes System dann Support zu bekommen, da wir die root-Funktion aus Sicherheitsgründen ausgebaut haben.


    Das Klingt ja schon fast nach einer Drohung. Wenn wir euch damit auf den Fuss treten, kommuniziert doch das schnell an den Herrn Kellenberger von uns..
    Wenn demnach so ist, wird dieses Projekt eingestampft, und ca. 15 unserer Module werden danach eingeschränkt bis gar nicht mehr funktionieren.


    Dato modifiziere ich gar keine bestehenden Komponenten, ich benutze die aufkommende "Execute as Root" Komponente, um eine .jar zu starten welche auf Localhost:[Beliebiger] Port ein Kennwort annimmt, und anschliessend eine Bash Shell öffnet, auf der sich beliebige Befehle als Root ausführen lassen.


    Also im Grunde wird die initiale Invokation des Tunnels via durch euch Verschlüsselten Code ausgeführt, und die Folgebefehle können danach ohne extra Verschlüsselung ausgeführt werden.
    Dies nimmt uns die ganze Problematik ab, vor allem wenn Root-Befehle mit Dynamischen Parametern benötigt werden (Wie z.b. ein Datum)


    MfG


    Fabian

  • Erstmal vorneweg: Wir arbeiten ja an einer Lösung wie letztens in der Telefonkonferenz besprochen. Wir wissen auch, dass ihr bis dahin ein grösseres Problem mit euren Modulen habt.


    Der mangelnde Support ist keine Drohung. Ich will nur sagen, dass es wirklich sehr schwer sein könnte, eine Fehlerursache auf einem solchen System zu finden, und dass wir im Zweifel tatsächlich den Support für ein modifiziertes System nicht leisten können. Da geht es dann nicht ums Wollen, sondern darum, dass wir ein modifiziertes System vielleicht gar nicht verstehen können.

  • Hallo zusammen,


    wir arbeiten weiter an diesem Thema und möchten noch einmal die Vorgehensweise zusammenfassen:

    • Jeder Modulcode, der als root ausgeführt werden soll, muss zuvor durch STARFACE automatisiert signiert werden
    • Nur signierte Module werden auf der STARFACE-Anlage ausgeführt
    • Es ist auch weiterhin möglich, Java-Code im Modulsystem auszuführen, sofern er keine root-Rechte benötigt
    • Jeder Code, der als root ausgeführt werden soll, muss als Shell-Skript (Bash) geschrieben sein
    • Java-Code kann nicht als root ausgeführt werden, weil der Tomcat nicht als root läuft


    Bitte prüft, ob diese Voraussetzungen für euren Modulumbau ausreichend sind. Falls nicht, gebt uns bitte Bescheid an kantus at starface punkt de mit euren konkreten Funktionswünschen und Zielen, die sich nicht per Bash umsetzen lassen. Bitte tut dies bis Freitagabend, 11. August.


    Danke!

  • Zitat

    •Nur signierte Module werden auf der STARFACE-Anlage ausgeführt


    Hallo BeKa


    Kannst du das nochmals erläutern? Was wird mit Signierten Modulen gemeint? Sollte nicht der Code Signiert werden?

  • Was wird mit Signierten Modulen gemeint? Sollte nicht der Code Signiert werden?


    Das ist gerade noch in Diskussion, aber vermutlich werden nur bestimmte Codestücke signiert. D.h. in einem geschützten Portal werden sie mit einem Private Key signiert, während ein "Ausführ-Skript" auf der STARFACE mit dem Public Key die Signatur prüft und den Code bei Erfolg dann ausführt.

    • Jeder Modulcode, der als root ausgeführt werden soll, muss zuvor durch STARFACE automatisiert signiert werden
    • Nur signierte Module werden auf der STARFACE-Anlage ausgeführt



    Wenn diese beiden Sätze im gleichen Zusammenhang sollten, also: braucht root-Rechte = muss signiert sein, braucht keine root-Rechte = Modul kann auch unsigniert sein,
    dann ist das ok.
    Alles andere wäre dann ohne einen sep. "Entwicklermodus", der auch unsignierte Module ausführt, ein echtes Hemmnis bei der Entwicklung.

  • Noch eine Erweiterung zum Thema "Schreibrechte im System"


    In der Beta wurden die Rechte so angepasst, dass nun der Tomcat User im besitz der Starface Moduleordner ist.


    Dementsprechend können in den Modulverzeichnissen weiterhin ohne Rootrechte Dateien gelesen/geschrieben werden, und diese werden gesichert.


    Der Teil der Problematik hat sich somit mal erledigt.


    MfG


    Fabian

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!