Linux Distribution mit wenig Updates & AUR Support für Skype

[Alexander2]

Das funktioniert so nur, wenn du das mit deiner herangehensweise machst einfach jeder darf alles als root ausführen ohne passwortabfrage, das das jedwede Sicherheit aushebelt hatten wir schon.

also die zeile da die du per script machst, kannst du auch einfach weil die ja auch sowieso bei reboot steht in die fstab eintragen.

 

[n/a]

Das funktioniert so nur, wenn du das mit deiner herangehensweise machst einfach jeder darf alles als root ausführen ohne passwortabfrage, das das jedwede Sicherheit aushebelt hatten wir schon.

Also, dann nimm einfach das sudo raus und trage das in das root crontab ein. Geht auch.

Ergänzung (25. Februar 2025)

einfach jeder darf alles als root ausführen ohne passwortabfrage,

Ich bin aber alleine auf dem System und meine Paranoia hält sich in Grenzen. 🤣

 

[Tanzmusikus]

Ich bin aber (noch) alleine auf dem System und meine Paranoia hält sich in Grenzen. 🤣

Man darf die Welt nicht immer so ernst sehen, so gibt es 'was zu lachen.

 

[n/a]

Möchte gar nicht wissen, wie viele Hijacks nicht entdeckt wurden, auf Systemen, wo sudo mit Passwort läuft.

 

[Tanzmusikus]

Also mit einem Passwort in Seahorse für den Benutzer läuft Skype bisher unauffällig gut (in der VM).
Tja, dann werd ich das morgen noch mit der sudoers-Datei bzw. dem sudoers.d-Ordner angehen.
Danach dann auf dem Baremetal-PC mit ZorinOS testen.

 

[n/a]

mit der sudoers-Datei bzw. dem sudoers.d-Ordner angehen

Manuell sollte man dort nix selber machen. -> visudo bzw. usermod -a -G sudo user + Neustart

 

[KlausBaerbel]

Anstatt "sudo" kann auch gut "doas" benutzt werden.

 

[Tanzmusikus]

Also ich bin gestern nach diesen Hinweisen in der Zorin-VM vorgegangen: https://askubuntu.com/questions/159...mands-without-a-password/159009#answer-159009

Ab Absatz:

Using /etc/sudoers.d instead of modifying /etc/sudoers

sudo visudo -f /etc/sudoers.d/run-skype

Inhalt:
zorin zorin-VirtualSox = (root) NOPASSWD: /usr/sbin/run-skype

beim 2. Test mit:
%sudo zorin zorin-VirtualSox = (root) NOPASSWD: /usr/sbin/run-skype

Zusätzlich unter /usr/sbin/run-skype dies eingetragen:

#!/bin/bash
/usr/bin/flatpak run --branch=stable --arch=x86_64 --command=/app/bin/skype --file-forwarding com.skype.Client @@u %U @@

Das funktioniert so leider nicht.
Vielleicht habt Ihr noch Ideen, was ich verändern könnte/müsste, dass es ohne Passwort einzugeben klappt.
Mit Passwort eingeben funktioniert es zumindest.

 

[Alexander2]

Skype soll wirklich mit root rechten laufen? das macht irgendwie keinen sinn.

 

[Tanzmusikus]

Nein. Es soll das "Passwort eingeben" vermieden werden - quasi eine einzelne Ausnahme für Skype.

Soll ich das "(root)" entfernen?

 

[Alexander2]

um welches passwort geht es genau? das login passwort für skype?

denn in der sudoers datei geht es ausschließlich darum sachen mit root rechten zu starten und co.

Edit:
das hast du gelesen?
https://wiki.ubuntuusers.de/sudo/Konfiguration/

 

[Tanzmusikus]

Ja genau. Statt "All" hab ich "zorin" (user) und "zorin...." (host). Da kann ich den Host wohl weglassen.

Edit: Statt dem host muss ich wohl eine bestimmte Gruppe vom Benutzer "zorin" angeben.

Als "Script" hab ich die Anwendungsverknüpfung genommen. Da könnte ich auch mal den flatpak Befehl "run com.microsoft.skype" o.s.ä. ausprobieren.

 

[Alexander2]

beim host kannst du einfach ALL lassen.

 

[Tanzmusikus]

Okay, also:
zorin ALL = NOPASSWD: /usr/sbin/run-skype

sudo chmod 0440 /usr/sbin/run-skype
hab ich natürlich auch gemacht.

Ich teste das, wenn ich wieder am Rechner bin.

 

[n/a]

chmod 440 macht keinen sinn, nimm bitte chmod 755

 

[Alexander2]

scheint doch sehr passend was @Tanzmusikus da ausgewählt hat. das hat Hand und Fuß!

 

[Tanzmusikus]

chmod 440 macht keinen sinn, nimm bitte chmod 755

Da hast Du vermutlich recht. Danke für den Hinweis!
Ich war unterwegs und hatte es anders herum in Erinnerung. 🙃

So ist es wohl richtig.
Für den sudoers-Eintrag: /etc/sudoers.d/run-skype => chmod 0440
Für das Script: /usr/sbin/run-skype => chmod 0755

$ groups
zorin adm cdrom sudo dip plugdev lpadmin sambashare

$ which run-skype
/usr/sbin/run-skype

Schade, weder

#!/bin/bash
/usr/bin/flatpak run --branch=stable --arch=x86_64 --command=/app/bin/skype --file-forwarding com.skype.Client @@u %U @@

... noch

#!/bin/bash
flatpak run com.skype.Client

starten das Skype-Flatpak ohne Passwort-Abfrage. 😟

... und auch nicht ohne #!/bin/bash. Immer wird die Passwortabfrage von SeaHorse angezeigt.

    The @includedir directive can be used to create a sudoers.d directory that the
    system package manager can drop sudoers file rules into as part of package
    installation. For example, given:

        @includedir /etc/sudoers.d

    sudo will suspend processing of the current file and read each file in
    /etc/sudoers.d, skipping file names that end in ‘~’ or contain a ‘.’ character
    to avoid causing problems with package manager or editor temporary/backup files.

    Files are parsed in sorted lexical order. That is, /etc/sudoers.d/01_first will
    be parsed before /etc/sudoers.d/10_second. Be aware that because the sorting
    is lexical, not numeric, /etc/sudoers.d/1_whoops would be loaded after
    /etc/sudoers.d/10_second. Using a consistent number of leading zeroes in the
    file names can be used to avoid such problems. After parsing the files in the
    directory, control returns to the file that contained the @includedir directive.

    Unlike files included via @include, visudo will not edit the files in a
    @includedir directory unless one of them contains a syntax error. It is still
    possible to run visudo with the -f flag to edit the files directly, but this will
    not catch the redefinition of an alias that is also present in a different file.

  Other special characters and reserved words
    The pound sign (‘#’) is used to indicate a comment (unless it is part of a
    #include directive or unless it occurs in the context of a user name and is
    followed by one or more digits, in which case it is treated as a user-ID).
    Both the comment character and any text after it, up to the end of the line,
    are ignored.

    The reserved word ALL is a built-in alias that always causes a match to succeed.
    It can be used wherever one might otherwise use a Cmnd_Alias, User_Alias,
    Runas_Alias, or Host_Alias. Attempting to define an alias named ALL will result
    in a syntax error. Using ALL can be dangerous since in a command context, it
    allows the user to run any command on the system.

Quelle: https://manpages.ubuntu.com/manpages/oracular/en/man5/sudoers.5.html

 

[n/a]

@Tanzmusikus Es gibt bezüglich des Keyring Stores wohl einen Trick: https://askubuntu.com/a/529305

 

[Tanzmusikus]

Es ist vermutlich eher so:

Es gibt gab ggf. bezüglich des Keyring Stores wohl einen Trick:

Hast Du das mal ausprobiert (z.B. in einer VM), ob's geht?

Ich bin eher soweit, dass meine Familie sich damit abfinden muss, hin-und-wieder mal ein (wohlbekanntes) Passwort pro Session einzugeben, wenn Apps Login-Daten erfordern. Im Firefox macht dies der PW-Manager.

 

[n/a]

Hast Du das mal ausprobiert (z.B. in einer VM), ob's geht?

Keine Lust, jetzt eine VM und Skype zu starten, zudem hab ich mich mit denen eh verworfen.