Hallo,
ich möchte gerne auf einem Rechner eine Direktverbindung zum Admin einrichten. Momentan hab ich die idee, einen XMPP-Account und einen speziellen Service-Nutzer dafür einzurichten, der via Skript Pidgin aufruft, das entsprechend konfiguriert ist.
Es läft also darauf hinaus, dass Nutzer A via sudo als Nutzer B ein X-Programm starten soll, der aber keine Leserechte für die .Xauthority von Nutzer A hat. Gibt es da einen sudo-Ersatz, der das ähnlich wie SSH das ganze automatisch regelt?
Gibt es alternative Ideen.
Tobias
Hallo Tobias,
2008/1/31 Tobias Schlemmer keinstein_junior@gmx.net:
ich möchte gerne auf einem Rechner eine Direktverbindung zum Admin einrichten. Momentan hab ich die idee, einen XMPP-Account und einen speziellen Service-Nutzer dafür einzurichten, der via Skript Pidgin aufruft, das entsprechend konfiguriert ist.
mir ist noch nicht ganz klar, was genau du erreichen willst. Möchtest du an bestimmte Nutzer Nachrichten schicken? Dafür ist XMPP sehr gut geeignet.
Viele Grüße, Torsten
Hallo Torsten, hallo Lug,
Darum geht es nicht. Ich möchte Nutzern(*) einen vorkonfigurierten Client zur Verfügung stellen, mit dem sie mich kontaktieren können, wenns Probleme gibt.
Momentan hab ich das so gelöst: 1. Pidgin installiert 2. Neuen Service-Nutzer angelegt 3. Pidgin, neuen XMPP-Account und XMPP-Kontaktliste eingerichtet 4. .purple-Verzeichnis dupliziert. 5. firefox-sudo-Skript vom Gentoo-Wiki angepasst: a) Konfig in .purple wird wiederhergestellt b) pidgin wird gestartet. 5. Icon auf dem Desktop angelegt, das dieses Skript entsprechend aufruft.
Wenn Der Nutzer nun ein (netzwerkunabhängiges Problem hat), dann kann er auf das Icon doppelklicken und kriegt einen Pidgin geöffnet, wo meine XMPP-Accounts (u.a. gmx.de, web.de) eingetragen sind. Darüber können die Leute jetzt mit mir chatten.
Was mir jetzt nicht ganz klar ist: wenn ich die Doku zu xauth richtig verstanden habe gibts vollzugriffs- und Teilzugriffs-Tokens. Momentan wird der aktuelle Eintrag von .Xauthortity zum Service-login kopiert. Wie kann ich dem Nutzer mit beschränkten Rechten erlauben, auf mein Display zuzugreifen. xauth generate überschreibt mir den Eintrag in .Xauthority. Das gibt Murks. Gibts da eine bessere Idee?
gksu und kdesu scheinen beide nicht für diese Aufgabe geeignet zu sein.
Tobias
(*) Die meisten kennen entweder Skype oder ICQ, die wenigsten XMPP.
Hallo Tobias,
Darum geht es nicht. Ich möchte Nutzern(*) einen vorkonfigurierten Client zur Verfügung stellen, mit dem sie mich kontaktieren können, wenns Probleme gibt.
Das geht ja eigentlich mit ICQ/Skype/Jabber/... wunderbar.
- .purple-Verzeichnis dupliziert.
Was ist Purple?
- firefox-sudo-Skript vom Gentoo-Wiki angepasst:
Wozu hier auf einmal sudo, die Leute sollen doch damit nur einen Instant Messaging client starten?
was sollen die User über die Verbindung machen können? Ich vermute nicht nur mir fehlt da noch ein Bindeglied.
Viele Grüße Fabian
Hallo Tobias,
ich verstehe nach wie vor nicht, wozu du sudo brauchst. Das klingt sogar ziemlich gefährlich. Ich würde das eher auf der Seite des XMPP-Servers lösen. Bei ejabberd kannst du einen shared roster anlegen, hier ein Beispiel (Nr. 3): http://www.ejabberd.im/shared-roster-all.
Viele Grüße, Torsten
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Torsten,
Torsten Werner schrieb:
ich verstehe nach wie vor nicht, wozu du sudo brauchst. Das klingt sogar ziemlich gefährlich. Ich würde das eher auf der Seite des XMPP-Servers lösen. Bei ejabberd kannst du einen shared roster anlegen, hier ein Beispiel (Nr. 3): http://www.ejabberd.im/shared-roster-all.
Dazu müsste ich die Leute aber erstmal dazu bringen, sich selbst einen Jabber-Account zuzulegen usw. das ist aber aussichtslos. Es handelt sich teilweise um DAUs, die keinen Sinn darin sehen, etwas anderes, als ICQ oder Skype zu verwenden (wenn überhaupt).
Es muss laufen, ohne dass ein Nutzer irgendwas (und sei es Pidgin) konfigurieren muss.
Deswegen gibt es einen Jabber-Account für alle und eine UID, die nur dazu da ist, ein mit diesem Account vorkonfiguriertes pidgin laufen zu lassen.
Das gefährlichste, was ich mir dabei vorstellen kann, ist, dass irgendjemand shellzugriff bekommt und dann versuchen kann, auf fremde Displays zuzugreifen. Dazu müssten aber zwei Leute gleichzeitig angemeldet sein, was eher selten der Fall ist.
Nen eigenen jabberd möchte ich ehrlich gesagt nicht aufsezten, weil zum einen der Rechner so schon zu tun hat, den Leuten genügend Hauptspeicher zu verschaffen und er zum anderen hinter mindestens einem NAT-Router steckt, während ich irgendwo im Internet rumkrebse.
Um etwaige Missverständnisse zu vermeiden: Es handelt sich hier nicht um einen Rechner im Firmennetzwerk, sondern um einen, den ich in meiner Freizeit mit administriere.
Tobias.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Tobias,
ich war vor ein paar Jahren auf einer ähnlichen Suche. Ich habe mich dafür entschieden einfach einen kleinen IRC-Server aufzusetzen... dazu noch ein irgendwo im WWW erreichbares IRC-Client plug-in. Dann bekommen die User nur noch einen Link auf den Desktop und sind "drin"
- -- Mit freundlichen Grüßen Jan Leonhardt
Jan Leonhardt schrieb:
Hallo Tobias,
ich war vor ein paar Jahren auf einer ähnlichen Suche. Ich habe mich dafür entschieden einfach einen kleinen IRC-Server aufzusetzen... dazu noch ein irgendwo im WWW erreichbares IRC-Client plug-in. Dann bekommen die User nur noch einen Link auf den Desktop und sind "drin"
Ich hab auf Arbeit nen Mac und Adium hat noch kein irc-Plugin. :-(
Tobias
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Tobias Schlemmer schrieb:
Ich hab auf Arbeit nen Mac und Adium hat noch kein irc-Plugin. :-(
Ich habe keine Ahnung was Adium ist... Hat OSX keine irc-clients? Ich habe noch _nie_ einen Mac in der Hand gehabt... jedoch lässt mich eine google-Suche nach "osx irc client" eine wahre Vielfalt vermuten...
Und im Härtefall (Der admin@work will keine irc-Clients) hat das bestimmt den Hintergrund das du da keine "privaten" Sachen erledigen sollst?! (Wobei selbst dann der Griff zu nem IRC-Applet/Web-IRC möglich, wenn auch nicht ratsam wäre!)
Größter Vorteil einer solchen Kommunikations-Plattform: - - Betriebssystem/Software Unabhängigkeit - - das geht nahezu überall (im Notfall auch via ssh durch einen proxy)
- -- MfG Jan Leo
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Jan Leonhardt schrieb: | Tobias Schlemmer schrieb: |> Ich hab auf Arbeit nen Mac und Adium hat noch kein irc-Plugin. :-( | Ich habe keine Ahnung was Adium ist... Hat OSX keine irc-clients? Ich | habe noch _nie_ einen Mac in der Hand gehabt... jedoch lässt mich eine | google-Suche nach "osx irc client" eine wahre Vielfalt vermuten... | | | Und im Härtefall (Der admin@work will keine irc-Clients) hat das | bestimmt den Hintergrund das du da keine "privaten" Sachen erledigen | sollst?! (Wobei selbst dann der Griff zu nem IRC-Applet/Web-IRC möglich, | wenn auch nicht ratsam wäre!)
Das hat dann aber mit _instant_ messaging überhaupt nix mehr zu tun.
zumindest folgen bei mir Chat-Programme anderen Regeln, als IMs.
Tobias
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Tobias Schlemmer schrieb:
Das hat dann aber mit _instant_ messaging überhaupt nix mehr zu tun.
In welcher email hast Du diese Anforderung denn gestellt?
zumindest folgen bei mir Chat-Programme anderen Regeln, als IMs.
Ich hab keine Ahnung von welchen anderen Regeln du sprichst. IRC ist IMHO auch ein IM-System. Durch diese Regeln können User A und B den Admin nicht kontaktieren? Wie auch immer...
- -- Jan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Jan Leonhardt schrieb: | Tobias Schlemmer schrieb: |> Das hat dann aber mit _instant_ messaging überhaupt nix mehr zu tun. | In welcher email hast Du diese Anforderung denn gestellt? |> zumindest folgen bei mir Chat-Programme anderen Regeln, als IMs. | Ich hab keine Ahnung von welchen anderen Regeln du sprichst. IRC ist | IMHO auch ein IM-System.
Klassisch gesehen nein. Der Begriff IM bezieht sich auf ein System, das hauptsächlich für den direkten Austausch privater Nachrichen konzipiert ist. Klassischerweise sehen sich nur Nutzer, die dies untereinander (explizit oder implizit) ausgehandelt haben.
IRC als weltweites Netzwerk für Gruppen- bzw. Massenunterhaltungen gedacht ist. Im Server existiert eine virtuelle Welt mit vielen Räumen, in der man spazieren gehen kann.
Praktisch sind die clients auch darauf zugeschnitten: IMs zeichnen sich durch kleine Icons/Hauptfensterchen aus, die nur für Statusinformationen benutzt werden. Die eigentliche Unterhaltung wird in einem neuen Fenster aufgemacht, das automatisch im Vordergrund ist.
Ein typischer IRC-Client wird vom Chatfenster dominiert. Die Statusinfos sind nur Nebensache. Außerdem möchte man nicht bei jeder Nachricht, die irgendwo kommt gleich von seinen anderen Arbeiten abgelenkt werden. Abgesehen davon bietet IRC typischerweise keine geschützte Identität: Den Nick kann jeder verwenden, der grad Lust dazu hat.
Insofern gibt es schon gehörige Unterschiede. Man kann zwar die Systeme für den jeweils anderen Zweck misbrauchen, muss sich dann aber mit Einschränkungen zufriedengeben.
Ich für meinen Teil brauche eine saubere Authentifizierung und will verfügbar sein, ohne mitlesen zu müssen. Beides ist beim typischen IRC nicht gegeben.
Tobias
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Tobias Schlemmer schrieb:
IRC als weltweites Netzwerk für Gruppen- bzw. Massenunterhaltungen gedacht ist. Im Server existiert eine virtuelle Welt mit vielen Räumen, in der man spazieren gehen kann.
Ich schrieb von einem privaten, nicht öffentlichen IRC-Server.
Praktisch sind die clients auch darauf zugeschnitten: IMs zeichnen sich durch kleine Icons/Hauptfensterchen aus, die nur für Statusinformationen benutzt werden. Die eigentliche Unterhaltung wird in einem neuen Fenster aufgemacht, das automatisch im Vordergrund ist.
Genau so verhält sich mein IRC-Client.
Ein typischer IRC-Client wird vom Chatfenster dominiert. Die Statusinfos sind nur Nebensache. Außerdem möchte man nicht bei jeder Nachricht, die irgendwo kommt gleich von seinen anderen Arbeiten abgelenkt werden. Abgesehen davon bietet IRC typischerweise keine geschützte Identität: Den Nick kann jeder verwenden, der grad Lust dazu hat.
Hängt ausschliesslich von _deiner_ config ab... Mein IRC-Client meldet Änderungen nur in privaten 1on1 chats...
Insofern gibt es schon gehörige Unterschiede. Man kann zwar die Systeme für den jeweils anderen Zweck misbrauchen, muss sich dann aber mit Einschränkungen zufriedengeben.
Ich für meinen Teil brauche eine saubere Authentifizierung und will
Das kam für mich in keiner deiner emails rüber. (Die Gefahr in einem priv. IRC-Server fremde User zu finden geht gegen NULL. Bei mir sind es in den letzten 4 Jahren 2 Personen gewesen die sich aber eher Aufgrund der Dyn.IP verirrt hatten.)
verfügbar sein, ohne mitlesen zu müssen. Beides ist beim typischen IRC nicht gegeben.
s.o. du musst nix lesen was dich nicht betrifft.
Tobias
Das ist wie gesagt nur _eine_ mögliche Lösung für das was Du vorhast. Sudo ist IMHO der _falsche_ Weg! Wenn die DAUs nicht in der Lage sind, sich andere IM-Accounts einzurichten ist Sudo tötlich!
Ist ja aber zum Glück nicht mein Job das dann wieder zu richten... in sofern viel Spass damit.
- -- Jan
Hi Tobias,
ich habe mal das Subject angepasst, denn eigentlich geht es Dir doch darum, eine Moeglichkeit zu finden, wie sich Hilfesuchende DAUs uebers Netz bei Dir melden koennen. Vielleicht formulierst Du nochmal genau Deine Anforderungen, ohne schon konkret irgendwelche Dienste/Programme zu erwaehnen.
Gruss, Chris
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Christian Perle schrieb: | ich habe mal das Subject angepasst, denn eigentlich geht es Dir doch | darum, eine Moeglichkeit zu finden, wie sich Hilfesuchende DAUs uebers | Netz bei Dir melden koennen. Vielleicht formulierst Du nochmal genau | Deine Anforderungen, ohne schon konkret irgendwelche Dienste/Programme | zu erwaehnen.
Ich versuchs nochmal:
1. NAT/Firewall auf beiden Seiten 2. Kein eigener Server im freien Netz 3. Kein Konfigurationsaufwand auf Nutzerseite 4. Keine Störung durch ähnliche Dienste auf Nutzerseite 5. Keine zusätzlichen Registrierungen von Nutzern verlangen 6. Möglichst resistent gegen Fehlbedienung/Fehlkonfiguration durch ~ Nutzer 7. IM-ähnliche Signalisierung auf Adminseite. 8. Keine Spezialsoftware beim Admin. 9. Wechselnde Standorte des Admins: Arbeit, zu Hause usw.
Es geht hier nicht um ein Netzwerk, sondern um einen einzelnen Rechner, der (über NAT) am Internet hängt, wo sich irgendwo ein (oder mehrere) kompetente Leute rumtreiben.
XMPP war meine Idee, weil das in Form von Adium (Pidgin-Ersatz für Mac) sowieso schon läuft. Dort wo ichs laufen hab, lässt sich netterweise das Passwort nur übers WWW-Frontend ändern, so ich diesbezüglich relativ Ruhe habe, wenn ichs Passwort vor den Nutzern geheimhalten kann. Daraus entstand die Idee, Pidgin unter einer eigenen pidgin-UID zu betreiben. Das scheiterte zunächst an xauth, weil das Programm eben keine root-Rechte hat und insofern auch nicht auf die Nutzer-.Xauthority zugreifen kann.
Ich hoffe, das hilft ein wenig.
Tobias.
Hallo Tobias,
2008/2/3 Tobias Schlemmer Tobias.Schlemmer@mailbox.tu-dresden.de:
Dazu müsste ich die Leute aber erstmal dazu bringen, sich selbst einen Jabber-Account zuzulegen usw. das ist aber aussichtslos. Es handelt sich teilweise um DAUs, die keinen Sinn darin sehen, etwas anderes, als ICQ oder Skype zu verwenden (wenn überhaupt).
Irgendjemand muss auch das Konto eingerichtet und den Mailclient konfiguriert haben. Dann noch zusätzlich Pidgin zu konfigurieren ist fast keine Arbeit.
Deswegen gibt es einen Jabber-Account für alle und eine UID, die nur dazu da ist, ein mit diesem Account vorkonfiguriertes pidgin laufen zu lassen.
Warum dann nicht einfach
$ pidgin -c /etc/purple-tobias
aufrufen und vorher die nötige Konfiguration nach /etc/purple-tobias/ legen?
Viele Grüße, Torsten
Torsten Werner schrieb:
Hallo Tobias,
2008/2/3 Tobias Schlemmer Tobias.Schlemmer@mailbox.tu-dresden.de:
Dazu müsste ich die Leute aber erstmal dazu bringen, sich selbst einen Jabber-Account zuzulegen usw. das ist aber aussichtslos. Es handelt sich teilweise um DAUs, die keinen Sinn darin sehen, etwas anderes, als ICQ oder Skype zu verwenden (wenn überhaupt).
Irgendjemand muss auch das Konto eingerichtet und den Mailclient konfiguriert haben. Dann noch zusätzlich Pidgin zu konfigurieren ist fast keine Arbeit.
Welcher Mailclient? Mail gibt es nicht. Wer hier einen Thunderbird benutzt, muss ihn selbst einrichten. Das login hab ich eingerichtet.
Und was Pidgin angeht gibts da hinreichend viel zu bedenken, wo ich ehrlich gesagt keine große Lust dazu habe. Will der Nutzer ihn selber verwenden, so müsste er mich bei sich mit eintragen. Will er das nicht, dann kriegt der den allgemeinen Account verpasst. Und was passiert, wenn er mal wechselt? Und was mache ich mit dem Klartext-Passwort?
Die Idee dahinter ist auch, dass ich mich selber melde, wenn der Allgemeine Account bei mir als Online erscheint.
Deswegen gibt es einen Jabber-Account für alle und eine UID, die nur dazu da ist, ein mit diesem Account vorkonfiguriertes pidgin laufen zu lassen.
Warum dann nicht einfach
$ pidgin -c /etc/purple-tobias
aufrufen und vorher die nötige Konfiguration nach /etc/purple-tobias/ legen?
Nette Idee. Aber dann müssten die Leute trotzdem Leserechte dort kriegen und könnten mit dem Passwort Unsinn treiben.
Ich will ja eben verhindern, dass ein Nutzer dem anderen ins Bein schießt. (passwort-Ändern geht bei dem Account momentan nur übers WWW-frontend).
Die Hälfte der Leute schreit ¨Hilfe, was ist das?" sobald der Rechner angeht. Und gelegentlich muss ich mich gegen Versuche wehren, das System einfach auf Windows umzustellen.
Aber um mal andersherum zu fragen: Welcherlei Sicherheitsbedenken hast Du gegen sudo?
Tobias.
2008/2/3 Tobias Schlemmer Tobias.Schlemmer@mailbox.tu-dresden.de:
Welcher Mailclient? Mail gibt es nicht. Wer hier einen Thunderbird benutzt, muss ihn selbst einrichten.
TB muss jeder selber einrichten, aber Pidgin selber einzurichten ist zuviel verlangt? Sorry, das verstehe ich nicht. Vielleicht sind die User bei uns alle so super intellektuell, aber die würden das echt hinkriegen. Im Zweifel hilft man ihnen bei beidem: TB einrichten + sonstige Software inklusive Pidgin.
Und was Pidgin angeht gibts da hinreichend viel zu bedenken, wo ich ehrlich gesagt keine große Lust dazu habe. Will der Nutzer ihn selber verwenden, so müsste er mich bei sich mit eintragen.
Nö, es gibt den 'Normal-Pidgin' und den 'Support-Pidgin', der mit '-c ...' aufgerufen wird. Da sehe ich kein Problem.
Viele Grüße, Torsten
Hallo Torsten,
Torsten Werner schrieb:
2008/2/3 Tobias Schlemmer Tobias.Schlemmer@mailbox.tu-dresden.de:
Welcher Mailclient? Mail gibt es nicht. Wer hier einen Thunderbird benutzt, muss ihn selbst einrichten.
TB muss jeder selber einrichten, aber Pidgin selber einzurichten ist zuviel verlangt? Sorry, das verstehe ich nicht. Vielleicht sind die User bei uns alle so super intellektuell, aber die würden das echt hinkriegen. Im Zweifel hilft man ihnen bei beidem: TB einrichten + sonstige Software inklusive Pidgin.
Die meisten verwenden eh ihr beliebtes WWW-Frontend. Wenns denn gewollt wäre. Ist es aber nicht. Die meisten sind nur darauf angewiesen mal schnell mit OOo nen text zu tippen (hier fluchen sie schon) oder im WWW zu surfen. Einarbeiten tut sich hier keiner freiwillig (bis auf die, die Linux kennen). Vielleicht bin ich einfach nur zu blöd, aber hier ist einigen schon alleine der Aufwand, ihr Passwort einzugeben zu aufwändig.
Und was Pidgin angeht gibts da hinreichend viel zu bedenken, wo ich ehrlich gesagt keine große Lust dazu habe. Will der Nutzer ihn selber verwenden, so müsste er mich bei sich mit eintragen.
Nö, es gibt den 'Normal-Pidgin' und den 'Support-Pidgin', der mit '-c ...' aufgerufen wird. Da sehe ich kein Problem.
Wie gesagt, ich sehe in dem Passwort momentan die größere Angriffsfläche. Um nochmal zurück zu deinen ursprünglichen Bedenken zu kommen: Was ist denn so schlimm an der sudo-Lösung?
Tobias
Hallo Tobias,
2008/2/3 Tobias Schlemmer Tobias.Schlemmer@mailbox.tu-dresden.de:
Was ist denn so schlimm an der sudo-Lösung?
ist mehr ein Gefühl, weil bei sudo schnell was schief gehen kann. Vielleicht nicht sofort, aber wenn man später mal etwas geändert hat.
Wenn den Anwendern alles egal ist, dann ist sudo auch nicht wirklich schlimm. Schlag ihnen doch vor, dir ihre EC-PIN aufzuschreiben und per E-Mail zu senden. Dann können sie dich immer anrufen, wenn sie sie mal vergessen haben. Ist doch super praktisch, oder? ;-)
Manchmal muss man einigen Leute mit sehr drastischen Beispielen zeigen, dass mitdenken nicht verkehrt ist.
Viele Grüße, Torsten
lug-dd@mailman.schlittermann.de
-
"Fabian Hänsel" -
Christian Perle -
Fabian Hänsel
-
Jan Leonhardt -
Tobias Schlemmer -
Tobias Schlemmer -
Torsten Werner