Mageia Forum

[BrunoHa]

Hallo zusammen,
habe bei Mageia ein Problem, bei dem ich ohne fremde Hilfe einfach nicht mehr weiterkomme.
Installiert habe ich Mageia 2 Gnome.
Hier mein Problem:

Ich benutze für einige Daten schon lange einen Kingston-USB-Stick mit Hardwareverschlüsselung.
Nach dem mounten ist der Stick wie üblich im Verzeichnis /run/media/bruno zu finden.
Mit „cd /run/media/bruno/DTVP/linux/linux32“ wechselte ich im Terminal in das Verzeichnis des Stick und startet die Entschlüsselung mit „./dtvp_login“.

Code: Alles auswählen

bash-4.2$ cd /run/media/bruno/DTVP/linux/linux32
bash-4.2$ ./dtvp_login
Can not detect DTVP device !!
bash-4.2$


Bei allen anderen Distributionen wie z.Bsp. Fedora, Opensuse, Ubuntu geschieht dies im Terminalfenster ohne Rootrechte.

Code: Alles auswählen

bash-4.2$ su -
Passwort: ********
[root@linux linux32]# cd /run/media/bruno/DTVP/linux/linux32
[root@linux linux32]# ./dtvp_login

Please input your DTVP password : ********
You have successfully logged in.
[root@linux linux32]#


Im Mageia Kontrollzentrum – Benutzerverwaltung habe ich bei meinem Account außer adm und root alle Gruppen aktiviert.
Kann mir hier jemand einem Nichtprofi einen Tipp geben, warum das hier nur unter root funktioniert?
Hier habe ich doch wohl ein Rechteproblem?
Bruno

[unklar]

Also, ohne das ich gleich eine Lösung parat habe... , mir fällt jedoch gleich auf:

wieso mountest Du den Stick in das VZ /run/media... (ich habe kein gnome, sondern kde) und kann mir nicht vorstellen
das es hier anders sein soll. Wegen der Verschlüsselung - hm, weiß ich nicht, kenne ich mich nicht aus.

Grundsätzlich wird nach /media gemountet! Unter /run ist hier gar kein VZ media vorhanden.
Wenn Du

Code: Alles auswählen

ls -l /run/media/bruno/DTVP/linux/linux32

eingibst wirst Du sehen, alles gehört root.
Und der hier

Code: Alles auswählen

su -

ist nicht "nur" root sondern der Super-Root.

Ich würde die VZ-Strucktur unter /media anlegen, den Eintrag in der fstab machen, fertsch.
Ps. was hat der Stick für ein Dateisystem?

[alf]

wieso mountest Du den Stick in das VZ /run/media... (ich habe kein gnome, sondern kde) und kann mir nicht vorstellen
das es hier anders sein soll.

Doch, doch, das ist so in KDE, Wechselmedien werden unter /run/media/<user> gemounted. Allerdings sollten die Berechtigungen unterhalb des vorgenannten Verzeichnisses auch auf den aktuellen User gesetzt sein. Warum das im vorliegendne Fall nicht so ist, k.A.

Wegen der Verschlüsselung - hm, weiß ich nicht, kenne ich mich nicht aus.

dito, schon gar nicht HW-Verschlüsselung a la DTVP(data traveller vault privacy).

p.s. Der Mountpoint /run/media ist nicht persistent, wird erst in den Moment angelegt wenn z.B. ein USB-Stick eingesteckt wird, dass macht die Sache nicht einfacher

[BrunoHa]

Hallo unklar,

wieso mountest Du den Stick in das VZ /run/media...
Grundsätzlich wird nach /media gemountet! Unter /run ist hier gar kein VZ media vorhanden.

Ich habe den Stick in der Regel nicht beim Start im PC stecken, ich stecke ihn in den USB-Anschluss und er taucht in /run/media... auf. (siehe weiter unten das Dateiverzeichnis Anhang1.png)
In der fstab habe ich nichts angelegt. (Anhang fstab)

Code: Alles auswählen

# Entry for /dev/sda2 :
UUID=53a69-242c-40f4-9f57-977178bc0add / ext3 acl,relatime 1 1
# Entry for /dev/sda3 :
UUID=bedac-7661-448e-8fc1-98cc4f7ca746 /home ext3 acl,relatime 1 2
/dev/cdrom /media/cdrom auto umask=0,users,iocharset=utf8,noauto,ro,exec 0 0
none /proc proc defaults 0 0
# Entry for /dev/sda1 :
UUID=4E520C4E50F4F /windows ntfs-3g defaults,umask=000 0 0
# Entry for /dev/sda4 :
UUID=f060b-af88-4c3b-8405-23012c310d7a swap swap defaults 0 0
# Entry for /dev/sdb1 :
UUID=BCC1C3F39F91F /daten ntfs-3g    users,uid=1000,gid=100,fmask=133,dmask=022,locale=de_DE.UTF-8,umask=000 0 0

Wenn Du
ls -l /run/media/bruno/DTVP/linux/linux32
eingibst wirst Du sehen, alles gehört root.

Soweit ich das sehe, gehört alles mir.

Code: Alles auswählen

bash-4.2$     ls -l /run/media/bruno/DTVP/linux/linux32
insgesamt 1384
-r-xr-xr-x 1 bruno bruno 278130 Apr  1  2011 dtvp_about
-r-xr-xr-x 1 bruno bruno 282330 Apr  1  2011 dtvp_forgotpassword
-r-xr-xr-x 1 bruno bruno 290522 Apr  1  2011 dtvp_initialize
-r-xr-xr-x 1 bruno bruno 282296 Apr  1  2011 dtvp_login
-r-xr-xr-x 1 bruno bruno 282226 Apr  1  2011 dtvp_logout
bash-4.2$


Um zu testen, ob dies nur bei Gnome so auftritt, würde ich mal morgen auf einer zweiten Platte die KDE-Version installieren, dauerhaft liegt mir Gnome aber eher.
Vieleicht wirst du aus meinen Angaben etwas schlauer, ich komme alleine im Moment nicht weiter.
Bruno

[unklar]

Mir fällt noch ein:
1. In Mageia 2 hat der user die UID 500. Wie sieht es da bei den von Dir genannten Distri's aus? Ich meine mich zu erinnern,
in einem anderen Zusammenhang hat doch wohl der von *buntu die 1000?

2.

...
-r-xr-xr-x 1 bruno bruno 278130 Apr 1 2011 dtvp_about
...

sieht mir komisch aus.
Demnach hat bruno als Besitzer "lese und ausführungs - Rechte" , die Gruppe und alle Anderen (Welt) ebenso (oktal 555). Wobei der "-" vor dem ersten r dort doch gar nicht hingehört? Oder soll es das fehlende "d" für "directory" bedeuten? Also könnte bruno doch noch nicht einmal das VZ "betreten".

Edit: Danke @alf für die Aufklärung!

[unklar]

So, das hat mir keine Ruhe gelassen, ich mußte das jetzt mal austesten.

Es ist also so, wie alf unter kde geschrieben hat. Mit dem erstmaligen einstecken eines Wechselmedium wird in Mageia3 unter /run das VZ /media/unklar erstellt.
Ist dort zunächst nichts gemountet sieht es so aus

Code: Alles auswählen

$ ls -l /run/media/unklar
insgesamt 0

Auf die Schnelle hatte ich jetzt hier einen Stick mit einer ISO 'drauf (zwei Partitionen) und da geht es absteigend
mit den Rechten so weiter:

Code: Alles auswählen

[unklar@localhost unklar]$ ls -l /run/media/unklar
insgesamt 18
drwx------ 3 unklar unklar 16384 Jan  1  1970 EFI/
dr-xr-xr-x 5 unklar unklar  2048 Dez 18 13:13 ROSA.Desktop.Fresh.2012.x86_64/

[unklar@localhost unklar]$ ls -l /run/media/unklar/EFI
insgesamt 2
drwx------ 3 unklar unklar 2048 Dez 18 12:13 EFI/

[unklar@localhost unklar]$ ls -l /run/media/unklar/EFI/EFI
insgesamt 2
drwx------ 2 unklar unklar 2048 Dez 18 12:13 BOOT/

[unklar@localhost unklar]$ ls -l /run/media/unklar/EFI/EFI/BOOT
insgesamt 248
-rw-r--r-- 1 unklar unklar    553 Dez 18 12:13 BOOTX64.conf
-rw-r--r-- 1 unklar unklar 246205 Dez 18 12:13 BOOTX64.efi
-rw-r--r-- 1 unklar unklar    553 Dez 18 12:13 grub.conf
-rw-r--r-- 1 unklar unklar   1551 Dez 18 12:13 splash.xpm.gz

Ja, und der User <unklar> tut ganz normal den Stick (in diesem Fall die 2 Partitionen sdc1 und sdc2) unmounten. Root wird nicht gebraucht.

Du bist 'dran, Bruno.

[man-draker]

Es ist also so, wie alf unter kde geschrieben hat. Mit dem erstmaligen einstecken eines Wechselmedium wird in Mageia3 unter /run das VZ /media/unklar erstellt.

Installiert habe ich Mageia 2 Gnome.

Du bist 'dran, Bruno.

Wohl eher du unter MGA2.

[unklar]

OK, man-draker hat Recht!

Ich war hier vorschnell und habe nicht beachtet bei mir MGA3 mit kde bei BrunoHa MGA2 und Gnome .
Entschuldige Bruno, dann ist mein obiger Beitrag für die Tonne.

[doktor5000]

Im Mageia Kontrollzentrum – Benutzerverwaltung habe ich bei meinem Account außer adm und root alle Gruppen aktiviert.
Kann mir hier jemand einem Nichtprofi einen Tipp geben, warum das hier nur unter root funktioniert?

Einfachster Würgaround wäre wohl sudo einzurichten, damit du als Benutzer den Stick mounten kannst, ggf. auch passwortlos.
Da der Mountpunkt normalerweise immer nach dem Label des Mediums erstellt wird, sollte der auch immer gleich sein.

Wobei nicht immer unter /run gemountet wird, das kommt ganz darauf an, was für einen Mount-Helfer man benutzt,
bei mir und KDE-Standardinstallation wird nicht unter /run/benutzername gemountet (das Verzeichnis gibt es dort gar nicht)
sondern ganz normal unter /media.

@unklar: Das fehlende d in der Auflistung heißt nur, dass das kein Verzeichnis ist, sondern eine reguläre Datei. An erster Stelle kommt immer
der Typ (d für directory, l für link, b für block device, c für character device, und dann gibt es auch noch p für pipes/named pipes, s für sockets ...)

Siehe ggf. http://bashshell.net/file-permissions-a ... ile-types/

[alf]

OK, man-draker hat Recht!

Ich war hier vorschnell und habe nicht beachtet bei mir MGA3 mit kde bei BrunoHa MGA2 und Gnome .
Entschuldige Bruno, dann ist mein obiger Beitrag für die Tonne.

Nun ja, ich hatte natürlich auch unter MGA3 KDE geschaut

dann ist mein obiger Beitrag für die Tonne.

nee, nicht unbedingt, unter MGA2 Gnome werden nämlich die Wechseldatenträger auch unter /run/media/<user> gemounted. Allerdings sind die Rechte auf den aktuellen Benutzer gesetz. Selbst bei einem verschlüsseltem LW. (Hab das gerade mal MGA2 Gnome getestet). Wird wohl an der speziellen HW-Verschlüsselung liegen, oder aber wie du vermutest hast an den unterschiedlichen UID von Mageia und den anderen Distros.

[man-draker]

Allerdings sind die Rechte auf den aktuellen Benutzer gesetz. Selbst bei einem verschlüsseltem LW. (Hab das gerade mal MGA2 Gnome getestet). Wird wohl an der speziellen HW-Verschlüsselung liegen, oder aber wie du vermutest hast an den unterschiedlichen UID von Mageia und den anderen Distros.

Ich denke eher in Richtung der Gruppen. Die anderen Distros (bis auf evtl. Fedora) geben dem ersten Benutzer recht weitreichende Rechte, die vieles beinhalten, was sonst nur root darf.
Wenn die Skripte auf dem Stick Root-Rechte benötigen, kann man versuchen, sie dem zuzuordnen und das S-Bit zu setzen.
Dann sollte auch ein normaler Benutzer sie umfassend nutzen können.

Außerdem kann es sein, dass die Sicherheitseinstellungen unter MGA noch dazwischen funken.

[alf]

Ich denke eher in Richtung der Gruppen. Die anderen Distros (bis auf evtl. Fedora) geben dem ersten Benutzer recht weitreichende Rechte, die vieles beinhalten, was sonst nur root darf.
Wenn die Skripte auf dem Stick Root-Rechte benötigen, kann man versuchen, sie dem zuzuordnen und das S-Bit zu setzen.
Dann sollte auch ein normaler Benutzer sie umfassend nutzen können.

Unter diesen Gesichtspunkten würde es dann allerdings Sinn machen einen Mountpint für dieses spezielle Gerät in der fstab anzulegen, da ja der Mountpoint für Wechseldatenträger nur temporär vorhanden ist und erst bei Einstecken des Sticks angelegt wird. Es wäre jedenfalls höchst unbequem wenn man die Berechtigungen jedesmal neu einstellen müsste.

[unklar]

@unklar: Das fehlende d in der Auflistung heißt nur, dass das kein Verzeichnis ist, sondern eine reguläre Datei. An erster Stelle kommt immer
der Typ (d für directory, l für link, b für block device, c für character device, und dann gibt es auch noch p für pipes/named pipes, s für sockets ...)

Danke Dok! Auch für den Link.
Meinte ich auch so, nur hatte ich das Pferd von "hinten" aufgezäumt.

Trotz alledem Leute,
ohne Bruno und alf war mir das bisher noch gar nicht so bewußt, wie gefühlt zuverlässiger das mit den Wechselmedien in MG3 über /run/media/<user> funktioniert.
Ist zumindest mein Eindruck.

[BrunoHa]

Hallo zusammen,

Mir fällt noch ein:
1. In Mageia 2 hat der user die UID 500. Wie sieht es da bei den von Dir genannten Distri's aus? Ich meine mich zu erinnern,
in einem anderen Zusammenhang hat doch wohl der von *buntu die 1000?

Unter dem Kontrolzentrum - Benutzereinstellungen ist die Benutzer ID mit 1000 abgegeben.

Das Stick-Verzeichnis "DTVP/linux/linux32" in "/run/media/bruno/" ist nur das schreibgeschützte Verzeichnis mit den Programmen zum Verwalten/Verschlüsseln/Entschlüsseln des Sticks. Der Datencontainer wird nach dem Entschlüsseln als Datendräger "Kingston" gemountet.

Ich denke eher in Richtung der Gruppen. Die anderen Distros (bis auf evtl. Fedora) geben dem ersten Benutzer recht weitreichende Rechte, die vieles beinhalten, was sonst nur root darf.

Habe mir jetzt mal alle mögliche Gruppen zugeordnet, keine Besserung.
Wenn ich die Konsole mit Administratorrechte benutze, funktioniert es.

Außerdem kann es sein, dass die Sicherheitseinstellungen unter MGA noch dazwischen funken.

Wie kann ich mal die Sicherheitseinstellungen komplett abschalten?
Bruno

[alf]

Wie kann ich mal die Sicherheitseinstellungen komplett abschalten?

Ob das eine gute Idee ist sei mal dahingestellt, ebenso ob das zum gewünschten Erfolg führt.
MCC --> Sicherheit --> Konfiguration der Systemsicherheit, .... --> Reiter Überblick --> Menüpunkt Sicherheit --> Schaltfläche "einrichten" --> MSEC Tool einschalten (deaktivieren)

[BrunoHa]

Habe alles deaktiviert und keine Änderung.

Code: Alles auswählen

bash-4.2$ cd /run/media/bruno/DTVP/linux/linux32
bash-4.2$ ./dtvp_login
Can not detect DTVP device !!
bash-4.2$

bash-4.2$ su
Passwort:
[root@linux linux32]# cd /run/media/bruno/DTVP/linux/linux32
[root@linux linux32]# ./dtvp_login
Please input your DTVP password : ********
You have successfully logged in.
[root@linux linux32]#


Mache jetzt für heute Schluss und geh in die Koje, irgend etwas haben wir da übersehen.
Wenn das weiter nichts wird, versuche ich es mal die nächsten Tage mit Mageia3, ob dies ebenfalls nicht will..
Danke aber für die vielen Anregungen und Tipps.
Bruno.

[doktor5000]

Im Mageia Kontrollzentrum – Benutzerverwaltung habe ich bei meinem Account außer adm und root alle Gruppen aktiviert.
Kann mir hier jemand einem Nichtprofi einen Tipp geben, warum das hier nur unter root funktioniert?

Einfachster Würgaround wäre wohl sudo einzurichten, damit du als Benutzer den Stick mounten kannst, ggf. auch passwortlos.
Da der Mountpunkt normalerweise immer nach dem Label des Mediums erstellt wird, sollte der auch immer gleich sein.

[wanne]

Also ich habe das nicht so ganz kapiert aber wenn ich das richtig verstanden habe, ist da auf dem Stick irgend ein ominöses Programm namens "dtvp_login". Und da würde ich mal gucken was das macht. Wenn das an der Hardware rumschraubt dann ist doch zu hoffen dass das OS da dazwichen geht. Wenn nicht kann es eigentlich nur noch um SW-basierte crypto handeln. (Würde mir echt mal spaß machen das Programm zu beobachten, wenn es arbeitet.)
Wenn du's als user machen können willst pack den dateipfad in sudo und Gut ist. Wahrscheinlich kansnt du die Dateiauch einfach nach /usr/local/bin/ kopieren und das suid bit setzen.
Wobei du dir mit beidem natürlich ein potentielles Sicherloch baust, weil du nicht weißt, wie man die Datei den noch so bedienen kann.
Ich verstehe sowieso nicht warum immer alle um's verrecken alles in HW haben wollen. Die 25MBit/s würden bei SW-crypto bei nem schlechten Prozessor 10% ausmachen (solange mit voller geschwindigkeit gelesen wird was sowieso praktisch nie der fall sein wird. Bei nem modernen Intel-Prozessor mit AES-NI Sind's weit unter einem.)

[Pitti]

(Würde mir echt mal spaß machen das Programm zu beobachten, wenn es arbeitet.)

Die Idee hatten andere auch schon.
http://www.heise.de/security/meldung/NI ... 94962.html

[wanne]

@Pitti: Warum habe ich mit sowas gerechnet?

[BrunoHa]

Hallo zusammen,
noch einmal kurz erklärt:
Ich nutze diesen Stick als Datenträger zwischen meiner Arbeitsstelle (Windows 7 ohne Adminrechte) und Zuhause (Opensuse und Fedora oder vielleicht auch mal Mageia).
Auf dem Stick sind Office-Dateien, die ich immer wieder bearbeiten muss. Es ist mir klar, dass der Stick kein Hochsicherheitsstick ist.
Ich kann mir in der Firma die Verschlüsselunssoftware jedoch nicht aussuchen, kann nur wählen zwischen dem oben genannten Stick oder normalem Datenträger mit SafeGuard PrivateCrypto verschlüsselt. Ich will die Kingston-Stick-Variante.

Habe mir zuhause ( Linux) eine simple Textdatei namens „Login“ auf der Arbeitsfläche angelegt mit den beiden Zeilen:

Code: Alles auswählen

cd /run/media/bruno/DTVP/linux/linux32
./dtvp_login

Wenn ich arbeiten will, stecke ich den Stick ein, ein Laufwerk DTVP wird gemountet, doppelclick auf Login, Click auf „im Terminal ausführen“, das DTVP-Passwort eingeben, dann kann ich arbeiten.
Habe ich keine Lust mehr, ziehe ich den Stick heraus und fertig ist. Für mich sehr komfortabel.
Dies klappt bei allen Distributionen, die ich bis jetzt genutzt oder probiert hatte, nur nicht bei Mageia. Das macht mich etwas fertig.
Ich wollte hier auch keine Diskussion über den Sinn oder Unsinn der verschiedensten Systeme lostreten. Ich konnte nur nicht nachvollziehen, weil es da geht und hier nicht geht.

Wenn du's als user machen können willst pack den dateipfad in sudo und Gut ist. Wahrscheinlich kansnt du die Dateiauch einfach nach /usr/local/bin/ kopieren und das suid bit setzen.

Hallo wanne,
will noch nicht komplett aufgeben und gerne deine Variante noch versuchen, weis aber nicht wie ich das anstellen soll. Gib mir doch bitte noch eine kleine Hilfestellung wie ich "pack den dateipfad in sudo" oder "suid bit setzen" kann.
Bruno

[doktor5000]

Der sudoers-Eintrag ist recht simpel. Dazu muss das Paket sudo installiert sein, und als root gibst du dann visudo ein, das startet den vi-Editor für die Datei /etc/sudoers wo die Einstellungen gespeichert werden.

Wenn der Pfad zu dem Entschlüsselungsprogramm immer gleich ist (was ich deinen obigen Ausführungen mit dem Skript entnehme) schreibst du folgendes in die Datei rein (dazu I für den Einfüge-Modus drücken, und dann per Shift+Einfügen oder per mittlerer Maustaste folgendes einfügen ganz unten am Ende:

Code: Alles auswählen

bruno     localhost=/run/media/bruno/DTVP/linux/linux32/dtvp_login

hinterher per Druck auf Esc und danach :wq und Enter speichern und verlassen.

Jetzt solltest du als dein normaler Benutzer (ich habe hier bruno angenommen, so geht es aus deinen Posts hervor) mittels des folgenden Befehles
deinen Stick entschlüsseln können:

Code: Alles auswählen

sudo /run/media/bruno/DTVP/linux/linux32/dtvp_login

Dann muss du dein Benutzer-Passwort eingeben. Das kann man auch noch abschalten, also passwortlos machen, und letztenendes
kann man es auch so machen, dass das alles automatisch nach Einstecken des Sticks automatisch passiert, und du nur noch ein kleines
Popup bekommst a la "Bitte gib dein Passwort" ein und dann ist der Stick gemountet.

[alf]

Muss man dafür unbedingt sudo bemühen, sollte doch auch mit dem vorhandenen Instrumentarium gehen, MSEC. einfach unter Dateiberechtigungen den Pfad mit den entsprechenden Berechtigungen für User current eintragen und fertig, oder?

[doktor5000]

Keine Ahnung, ich hab nie groß mit msec gearbeitet.

[BrunoHa]

Jetzt solltest du als dein normaler Benutzer (ich habe hier bruno angenommen, so geht es aus deinen Posts hervor) mittels des folgenden Befehles deinen Stick entschlüsseln können:

Code: Alles auswählen

sudo /run/media/bruno/DTVP/linux/linux32/dtvp_login

Dann muss du dein Benutzer-Passwort eingeben.

Hallo doktor5000,
danke für die Anleitung, habe ich alles eingegeben und gestartet. Bin jetzt aber auf das Probelm gestoßen.

Code: Alles auswählen

bash-4.2$ sudo /run/media/bruno/DTVP/linux/linux32/dtvp_login
[sudo] password for bruno:
bruno is not allowed to run sudo on linux.  This incident will be reported.
bash-4.2$


Das Benutzer-Passwort reicht in diesem Fall anscheinend nicht aus und das root-PW passt nicht zu meinem useraccount.
Noch eine Idee für den letzten kleinen Schritt?
Bruno