Hallo zusammen!
Ich versuche jetzt schon seit einiger Zeit ein Problem zu überwinden, aber habe bisher die Antwort nicht gefunden und deshalb bin ich jetzt hier. Ich bin SUSE Neuling, von daher bitte ich um Geduld.
Mein Problem ist, dass ich gerne die Dateiberechtigungen auf “Sicher” einstellen möchte, wodurch ein Benutzer jedoch keine Aktualisierungen mehr ohne root-Passwort installieren kann und auch der Networkmanager meckert nach dem Einloggen mit “Die Systemrichtlinien verhindern die Kontrolle von Netzwerkverbindungen”. Ein Benutzer soll jedoch in der Lage sein, Aktualisierungen zu installieren und die Networkmanager Meldung hätte ich auch gerne gelöst. Nun dachte ich mir, dass ich dem Benutzer einfach die Berechtigungen geben könnte. Ich habe aber bisher nicht finden können, wie ich das mache.
Wie vergebe ich nun diese Berechtigungen?
Für jegliche Hilfe bin ich sehr dankbar.
man sudo
man pam
Hallo, willkommen !!
Auf Linux sind System und Benützer zwei verschiedene Sachen. Also System- und Softwaremanagement sind Systemsachen, also braucht man da ‘root’. Bitte ändere das nicht. Bei einen Angriff haben sonst den Häcker gleich auch Systemzugriff.
Für Networkmanager: du hast da warscheinlich gespeichert daß alle die Verbindung benützen dürfen, aber nicht gespeichert daß den Passwort auch von alle gelesen worden darf ( also unverschlüsselt ).
Ok, ich versuche mein Problem noch einmal anders zu Beschreiben.
Durch die Umschaltung der Dateiberechtigungen von “Einfach” auf “Sicher” ist irgendeine Dateiberechtigung geändert worden, wodurch ich als normalsterblicher Benutzer beim Login durch ein Pop-up dazu aufgefordert werde das root-Passwort einzugeben, um einmal dem Netzwerkmanager für irgendeine Aufgabe rechte zu geben und danach ein Fenster mit “Authentication is required to refresh the system repositories”
Welche Einstellungen in der Datei /etc/permissions.secure verursachen das? Ich hab jetzt schon einige Sachen wieder umgeschrieben wie es in permissions.easy steht, jedoch ohne erfolg…
Schalte zurück nach ‘Einfach’.
Ich fast sicher dass, Du hast folgende YaST-Kontrollzentrum Bereich gemeint: „Sicherheit und Benutzer” – und, das Werkzeug „Sicherheits-Center und Systemhärtung”.
So, Reiter „Verschiedene Einstellung”: „Dateiberechtigung”: Hilfe:
Dateiberechtigungen: Einstellungen für die Berechtigungen bestimmter Systemdateien werden gemäß den Daten in /etc/permissions.secure bzw. /etc/permissions.easy festgelegt. Welche Datei verwendet wird, hängt von dieser Auswahl ab. Beim Start von SuSEconfig werden diese Berechtigungen gemäß /etc/permissions.* festgelegt. Dadurch werden Dateien mit falschen Berechtigungen korrigiert, egal ob dieser Fehler versehentlich oder durch unbefugte Benutzer verursacht wurde.
Mit Easy (Einfach) werden die meisten Systemdateien, die bei Verwendung von “Sicher” nur von “root” gelesen werden können so bearbeitet, dass sie auch von anderen Benutzern gelesen werden können. Mit Sicher können bestimmte Systemdateien, beispielsweise /var/log/messages, nur von Benutzer “root” angezeigt werden. Einige Programme können nur von “root” oder von Daemons gestartet werden, nicht jedoch von gewöhnlichen Benutzern. Die sicherste Einstellung ist Paranoid. Bei dieser Einstellung, müssen Sie festlegen, welche Benutzer in der Lage sein sollen, X-Anwendungen und setuid-Programme auszuführen.
Also, die folgende Dateien definieren genau wie Dateiberechtigen funktioniert: /etc/permissions /etc/permissions.easy /etc/permissions.local /etc/permissions.paranoid /etc/permissions.secure.
- Bitte, diesen Dateien nicht editieren
– nur die Kommentaren lesen und verstehen – leider alles in Englisch – die sind Systemdateien …
Wenn nur ein einzige Benutzer dann, genau diese Benutzer sollte Administratorrechte bekommen – in anderer Worten, diese einzige Benutzer sollte entweder Mitglied die Gruppe „wheel” oder, die Gruppe „root” – für der Fall „wheel”, mit „visudo” der Komment von die Zeile „# %wheel ALL=(ALL) ALL” entfernen …
Wie anders erklärt, Network Manager normaleweise erlaubt folgendes:
- Die Ethernetschnittstelle ist von der System verwaltet und deswegen bei „Alle Benutzer” Häkchen setzen – der Benutzer „root” verwaltet diese Schnittstelle.
- Die Kabellöseschnittstellen sollte für jeder Betnutzer individuell einstellbar und, deswegen, das „Alle Benutzer” Häkchen nicht setzen …
- Aber, für manche eine Zwichmühle, die Benutzern die Kabellöseschnittstellen individuell verwalten will, müß
ein Passwortspeicher benutzen …
Erst einmal danke für die Antworten.
Genau das meinte ich.
Ich hab immer mehr das Gefühl, dass ich zurück auf ‘Einfach’ schalten muss…
Dem Benutzer Administratorrechte geben ist leider keine Option, weil er genau die eben nicht haben soll. Der Benutzer soll später nur ungestört Arbeiten können, aber nicht am System rumfummeln, bis auf evtl. die Ausnahme Aktualisierungen installieren. Daher ja auch das umschalten auf ‘Sicher’.
Wenn die Benachrichtigungsfenster nicht auftauchen würden, wäre mir es ja auch egal, da sonst alles funktioniert.
Dann muss ich mir was anderes überlegen.
Warum meinst du, unbedingt sicher einzustellen und nicht einfach?
Bei einfach brauchst du auch root-Rechte…
Nur für einige Sachen nicht (aktualisieren usw…)
Da hast Du Recht, Otto-Normale Benutzern sollte nicht herumfummeln dürften …
Deswegen, gibt es „Packet Manager”: mit KDE, das Plasma „Softwareaktualisierungen” Miniprogramm – mit GNOME keine Ahnung aber, scheinbar gibt es auch, ein „Software Updater”: <https://doc.opensuse.org/documentation/leap/startup/html/book.opensuse.startup/cha.yast-software.html#sec.updater> …
Eigentlich, normalerweise, „Einfach” ist perfekt in Ordnung für ein Arbeitsplatzrechner – die anderer sind eigentlich nur für Serversystemen die direkt am Netz hängen – ohne ein herkömmliche DSL Router vom Telekom, 1&1 und Co.
Und, meine Meinung nach, wenn ein Maschine hängt direkt am Netz, eigentlich SELinux ist ein besserer Methodik – sehe das „Security” Handbuch: <https://doc.opensuse.org/documentation/leap/security/html/book.security/index.html> – leider nur in Englisch …
Ich war mir einfach nicht sicher, ob die Grundeinstellung ausreichend ist. Von daher werde ich wirklich einfach auf 'Einfach" zurück schalten anstatt noch weiter tagelang herumzuprobieren.
Englisch ist übrigens kein Problem für mich 
Das System wird in einem Netzwerk hängen, also nur via Proxy ins Internet kommen, von daher sollte es dann wirklich kein Problem sein.
Vielen Dank nochmal an euch!
Ja, es ist manchmal wirklich schwer, festzustellen ob, die openSUSE Gemeinde und die SUSE Mitarbeitern das Richtige bezüglich die mitgelieferte Werkzeuge, die richtige Wahl getroffen habe.
Anderseits, das SUSE Produkt ist für die Verwaltung von tausende Maschinen gleichzeitig ausgelegt und, wir als die openSUSE Gemeinde habe die Erfahrungen SUSE sammelt zu Güte bekommen. Also, zurücklehnen und entspannen …