CleanPress

Schlagwort: Root

  • Linux-Rechtemanagement: Sudo durch Doas ersetzen

    Root werden mit Doas | Bild: Unsplash

    Sudo ist ein mächtiger Befehl, der Administratoren in die Lage versetzt, aufwändige Systemadministrations-Infrastrukturen mit verfeinerten Berechtigungen und Kontrollmechanismen aufzubauen. so lässt sich unter anderem fein granuliert festlegen, wer welche Befehle damit ausführen darf. So kann man einem User oder einer Gruppe erlauben, das System zu aktualisieren, ihm aber verwehren, Konfigurationsdateien in /etc zu editieren und vieles mehr.

    Sudo überdimensioniert

    Für Desktop-Einzelplatzsysteme ist Sudo in den allermeisten Fällen völlig überdimensioniert, denn dort geht es meist nur um zeitweise Root-Rechte für die Systemadministration. Dabei kann der unbedarfte Anwender bei falschen Einträgen in der umfangreichen Sudoers-Konfigurationsdatei leicht die Sicherheit des Systems unbemerkt schwächen. Mit der zunehmenden Verbreitung von Ubuntu ab 2005 kam Sudo auf Desktop-Systemen immer mehr in Mode und setzte sich mit der Zeit durch. Viele Distributionen, die früher einen echten Root verwendeten, liefern heute Sudo standardmäßig aus.

    Mehr Übersicht

    Bei OpenBSD wurde vor rund 5 Jahren doas als einfacher Ersatz für Sudo entwickelt und wird mittlerweile bei einigen BSD-Distributionen als Standard eingesetzt. Im Vergleich zu den rund 3,4 MByte, die Sudo belegt, ist doas mit 40 KByte um einiges kleiner. Ist die Konfigurationsdatei bei Sudo ziemlich überladen und für Neueinsteiger unübersichtlich, so reicht bei doas für die allermeisten Fälle eine Zeile, auch bei Mehrbenutzersystemen. Mit doas lassen sich bei Bedarf aber auch komplexer gegliederte Berechtigungssysteme erstellen. Der Code von doas wird auf Github gepflegt und ist schnell mit make und make install oder checkinstall gebaut.

    Anschließend wird (falls die Distribution keine bietet) als Root eine Konfigurationsdatei mit nano /etc/doas.conf (oder dem Editor eurer Wahl) erstellt und anschließend im einfachsten Fall mit der Zeile permit [user] as root versehen, wobei [user] durch den zu berechtigenden User ersetzt wird. Damit lassen sich Befehle einfach als Root ausführen, indem man dem Befehl doas voranstellt anstelle von sudo.

    Mit oder ohne Passwort

    Wird doas kurz darauf wieder verwendet, wird das Passwort erneut abgefragt und nicht wie bei Sudo für eine Weile gespeichert. Soll das Passwort gar nicht abgefragt werden, so lautet die Zeile permit nopass [user] as root. Auf Mehrbenutzersystemen werden Mitglieder der Gruppe wheel mit der Zeile permit :wheel autorisiert. Weitere Optionen sind der Manpage zu entnehmen.

  • Magisk: Rooten ohne Reue

     

     

    Magisk
    Bild von Touge Tough Lizenz CC BY 2.0

     

    Wer gerne Experimente mit seinen Android-Geräten betreibt, kennt das bestimmt: Ein gerootetes Gerät verwandelt sich gerne mal in einen nutzlosen Backstein. Dann ist die Frustration groß, denn ein mühsam eingerichtetes System ist dahin. Abhilfe verspricht Magisk.

    Rooten immer schwieriger

    Traditionell wurden Android-Geräte gerootet, indem, vereinfacht gesagt, der Bootloader entsperrt, ein Recovery-System wie TWRP und SuperSU installiert wurden. Mit Android 6  Marshmallow erhöhte Google die Sicherheit und verhinderte diese Methode, indem der su daemon in die Partition /system verschoben wurde. Dadurch wurde die Methode Systemless Root geboren, die ohne Änderungen an der System-Partition auskommt.

    Mehr Sicherheit – weniger Freiheit

    Mit einem weiteren Anziehen der Sicherheit durch Google SafetyNet arbeiteten viele Apps für Banking, sowie Netflix, PokemonGo und andere nicht mehr auf gerooteten Geräten. Einen ausführlichen technischen Hintergrund dieser Technik liefert ein Artikel von John Kozyrakis.

    Hier setzt Magisk an. Es lässt beim Rooten des Geräts die System-Partition unangetastet und verhindert dadurch, dass SafetyNet erkennt, dass das Gerät gerooted ist. Somit funktionieren weiterhin alle Apps. Magisk erreicht dies, indem es alle Modifikationen virtuell maskiert und in den Bootloader schreibt.

    Xposed Framework

    Magisk erlaubt die Installation des Xposed Framework und seiner Module. Dieses Framework ist ein Grund warum Anwender heute noch ihre Geräte rooten möchten. Es erlaubt weitgehende Modifikationen am Android-Betriebssystem ohne dass ein CustomROM aufgespielt werden muss. Beliebte Module des Xposed Framework sind etwa GravityBox oder App Settings. Während sich mit GravityBox tiefgreifende Änderungen am Betriebssystem vornehmen lassen, dient App Settings zur Anpassung von Sprache, Schriftart und Auflösung bei installierten Apps und deren Widgets. Das Xposed Framework ist bis zu Android 7 Nougat verfügbar, eine Version für Android 8 Oreo ist in Arbeit.

    Ausführliche Anleitung

    Magisk kann aber noch mehr. So kann es beispielsweise den gerooteten Zustand eines Geräts maskieren und dieses so auch nach Außen als ungerooted erscheinen lassen. Sollte einmal etwas schief gehen, ist ein Magisk-Unistaller verfügbar, der das Gerät so hinterlässt wie es vor der Installation war. Eine ausführliche Anleitung zur Installation von Magisk hält die Webseite How-To Geek bereit.