da frag' ich mich allmᅵhlich schon - muᅵ das sein?
Will die Xorg X11 abschaffen? Nachdem letzthin schon der Treiber fᅵr die
in Notebooks (auch meinem) verbreiteten intel-Grafik-Chips total zerlegt
wurde - bei mir hᅵngt sich die Karte total auf, nur ein Reboot kann sie
wieder zum Laufen bringen - und sogar nach Rᅵckbauen auf einen
funktionierenden ᅵlteren Stand das System vᅵllig instabil wurde, kommt
jetzt der nᅵchste Schlag in Form einer vᅵllig umgeworfenen Authorisierung.
Netterweise geht es damit ᅵberhaupt nicht mehr, einem anderen Benutzer -
auᅵer root natᅵrlich - den Zugriff auf das "eigene" Display zu ermᅵglichen,
weil jetzt ein dynamisch erzeugtes und dem jeweiligen Benutzer exklusiv
zugewiesenes File in /tmp (Berechtigungen 0600) dafᅵr benutzt wird. Man
kann natᅵrlich die Zugriffrechte fᅵr einen anderen Benutzer eintragen -
nutzt nur nix, weil der keinen Zugriff mehr darauf (statt wie frᅵher auf das
File in seinem lokalen Home-Verzeichnis) bekommt.
Hintergrund fᅵr mich ist, daᅵ ich mir einen minderberechtigten Benutzer
fᅵrs "Websurfen" eingerichtet habe, der das "normale" X-Display mitbenutzt,
aber nur beschrᅵnkte Dateizugriffsrechte besitzt. (Auch wenn das nicht die
sicherst mᅵgliche Methode ist, aber sicherer als direkt ans Netz zu gehen
sollte das jedenfalls sein - ich habe keinen Router vorgeschaltet, sondern
muᅵ direkt ᅵbers DSL-Modem gehen.)
Jetzt steh' ich da wie der Ochs vorm Tor und "komm' nicht ins Web"...)
Muuuhhh! ];->
(Soll heiᅵen: gibt's da noch 'nen Ausweg?)
--
(Weitergabe von Adressdaten, Telefonnummern u.ᅵ. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ᅵhnlichem)
-----------------------------------------------------------
Mit freundlichen Grᅵᅵen, S. Schicktanz
-----------------------------------------------------------
Sieghard Schicktanz <Sieghard....@SchS.de> schrieb:
> Netterweise geht es damit überhaupt nicht mehr, einem anderen Benutzer -
> außer root natürlich - den Zugriff auf das "eigene" Display zu ermöglichen,
> weil jetzt ein dynamisch erzeugtes und dem jeweiligen Benutzer exklusiv
> zugewiesenes File in /tmp (Berechtigungen 0600) dafür benutzt wird. Man
> kann natürlich die Zugriffrechte für einen anderen Benutzer eintragen -
> nutzt nur nix, weil der keinen Zugriff mehr darauf (statt wie früher auf das
> File in seinem lokalen Home-Verzeichnis) bekommt.
Wieso hatte er früher Zugriff auf die Datei? Wieso gewährst Du ihm jetzt
nicht wieder Zugriff auf die Datei? Warum machst Du es nicht richtig und
erzeugst eine eigene Datei für ihn?
Kann es sein, dass Du bisher eine Unzulänglichkeit ausgenutzt hast, die
jetzt nicht mehr funktioniert? Und darüber beschwerst Du Dich?
Schöne Grüße, Jörg.
--
“…anytime you install something new on the Windows platform, you risk
spending the next five or six hours trying to figure out what happened”
(Robert Roblin, Adobe)
> (Soll heißen: gibt's da noch 'nen Ausweg?)
alias minderX="ssh -X -u $MINDERUSER -i $MINDERUSER_ID_RSA localhost"
Wolfgang
> Netterweise geht es damit überhaupt nicht mehr, einem anderen Benutzer -
> außer root natürlich - den Zugriff auf das "eigene" Display zu ermöglichen,
> weil jetzt ein dynamisch erzeugtes und dem jeweiligen Benutzer exklusiv
> zugewiesenes File in /tmp (Berechtigungen 0600) dafür benutzt wird. Man
> kann natürlich die Zugriffrechte für einen anderen Benutzer eintragen -
> nutzt nur nix, weil der keinen Zugriff mehr darauf (statt wie früher auf das
> File in seinem lokalen Home-Verzeichnis) bekommt.
Was für eine Version ist das denn? Gibt es da kein xauth mehr?
Jörg
Du schriebst am Tue, 22 Dec 2009 16:52:20 +0100:
> > (Soll heiᅵen: gibt's da noch 'nen Ausweg?)
>
> alias minderX="ssh -X -u $MINDERUSER -i $MINDERUSER_ID_RSA localhost"
Ja, an sowas hatte ich auch schon gedacht. Wenn es nach einem Reboot
(schᅵner Gruᅵ aus Redmond) nicht wieder funktioniert hᅵtte, hᅵtte ich das
wohl so gemacht.
(So hat sich das in einer Aufrᅵumaktion fᅵr die Versuchsreste erledigt. Hat
ja nur einen halben Tag unnᅵtz vertane Zeit gekostet.)
Du schriebst am Tue, 22 Dec 2009 10:24:13 +0000 (UTC):
> > Benutzer eintragen - nutzt nur nix, weil der keinen Zugriff mehr darauf
> > (statt wie frᅵher auf das File in seinem lokalen Home-Verzeichnis)
> > bekommt.
>
> Wieso hatte er frᅵher Zugriff auf die Datei? Wieso gewᅵhrst Du ihm jetzt
Weil der wildgewordene X-Server nur noch _ausschlieᅵlich_ die _eine_ Datei
in /tmp zur Authentifizierung benutzt hat. "Natᅵrlich" mit Rechten 0600,
also keinen anderen als den Besitzer zugᅵnglich.
> nicht wieder Zugriff auf die Datei? Warum machst Du es nicht richtig und
> erzeugst eine eigene Datei fᅵr ihn?
Hatte ich versuchtm, hatte ich gemacht, hat aber nicht funktioniert...
> Kann es sein, dass Du bisher eine Unzulᅵnglichkeit ausgenutzt hast, die
> jetzt nicht mehr funktioniert? Und darᅵber beschwerst Du Dich?
... bis ich den ganzen Kram mal wieder komplett abgerᅵumt und neu gebootet
hatte.
Und was sagtmer nu? jetzt geht alles wieder so wie frᅵher - aber _warum_?
Und der Auslᅵser war - "natᅵrlich" - mal wieder eine Update-Orgie, wie sie
ja immer mal wieder nᅵtig wird.
Ich mach' deswegen schon keine "rollierenden Updates" (wie das mal wer hier
genannt hat), weil dann solche Effektchen immer wieder mal unerwartet
auftauchen kᅵnnen - so weiᅵ ich wenigstens, daᅵ es an der Aktualisierung
lag, und kann "etwas" gezielter auf die betroffenen Teile losgehen.
In _diesem_ Fall war das Problem aber erstmal so "stabil", daᅵ ich schon
eine tieferliegende ᅵnderung am X-System im Verdacht hatte...
Wobei ich nicht direkt sagen kann, daᅵ die derzeitigen ᅵnderungen im System
das fᅵr meine Begriffe immer einfacher zu unterhalten machen - oft eher im
Gegenteil, wie z.B. die Bestrebungen, die xorg.conf durch HAL-basierte
Konfiguration zu ersetzen (wobei der HAL angeblich auch schon wieder ersetzt
werden soll); der Firefox verlangt seit neuestem dbus zum Laufen, u.a.m.
> "...anytime you install something new on the Windows platform, you risk
> spending the next five or six hours trying to figure out what happened"
> (Robert Roblin, Adobe)
Das ist sehr schᅵn zusammengefasst, was offenbar der aktuelle
Entwicklungsweg von Linux und seinen Systemkomponenten zu bieten
vorhat... :-(
> Du schriebst am Tue, 22 Dec 2009 10:24:13 +0000 (UTC):
>
>> > Benutzer eintragen - nutzt nur nix, weil der keinen Zugriff mehr darauf
>> > (statt wie fr�her auf das File in seinem lokalen Home-Verzeichnis)
>> > bekommt.
>>
>> Wieso hatte er fr�her Zugriff auf die Datei? Wieso gew�hrst Du ihm jetzt
>
> Weil der wildgewordene X-Server nur noch _ausschlie�lich_ die _eine_ Datei
> in /tmp zur Authentifizierung benutzt hat. "Nat�rlich" mit Rechten 0600,
> also keinen anderen als den Besitzer zug�nglich.
Das d�rfte nicht am X-Server, sondern eher an [xgk]dm liegen, der wohl
$XAUTHORITY entsprechend setzt.
Florian
--
<http://www.florian-diesch.de/software/xxgamma/>
> --
> "...anytime you install something new on the Windows platform, you risk
> spending the next five or six hours trying to figure out what
> happened"
Kommt mir bekannt vor - von den tᅵglichen Aktualisierungen von Debian Sid :-)
Wolf
--
Es muᅵte halt unbedingt eine neue Gnome-Version her, in einer Woche ist
Linux-Tag und Gentoo war gnomemᅵssig genauso "uptodate" wie wie debian.
DAS GEHT NICHT (Martin Brauns auf gentoo-user-de)
Du schriebst am Tue, 22 Dec 2009 23:06:09 +0100:
> > Weil der wildgewordene X-Server nur noch _ausschlieᅵlich_ die _eine_
> > Datei in /tmp zur Authentifizierung benutzt hat. "Natᅵrlich" mit
...
> Das dᅵrfte nicht am X-Server, sondern eher an [xgk]dm liegen, der wohl
> $XAUTHORITY entsprechend setzt.
Auch mᅵglich, der ist dabei auch gleich ausgetauscht worden.
Der muᅵ da nicht nur die Variable umgesetzt haben, sondern auch noch die
verwendete Datei neu angelegt. Jetzt ist da grundsᅵtzlich und prinzipiell
immer eine IPv6-Adresse dabei, die vorher nicht drin war.
Leider macht die bei dem neuen "Netbook" (fᅵr eine Spezialanwendung) das
Problem, daᅵ dafᅵr die Bearbeitung "ewig" (an die 10 Sekunden) dauert...
bei jedem Fenster! (Macht halt keinen guten Eindruck...)
Du schriebst am Tue, 22 Dec 2009 20:36:37 +0100:
> Was fᅵr eine Version ist das denn? Gibt es da kein xauth mehr?
X.Org X Server 1.7.1.901 (1.7.2 RC 1), ein xauth gibt es schon.
Aber vergiᅵ es - nach 'nem Reboot hat er sich wieder eingerenkt...
Irgendwas ist bei der Aktualisierung verbogen worden, und das hatte den
gesamten Authentifizierungs-Mechanismus zerlegt.
(Jetzt habe ich "bloᅵ noch" das Problem, daᅵ die Authetifizierung bei dem
neuen Netbook [das ich fᅵr einen Spezialeinsatz brᅵuchte] "ewig" dauert -
um die 10 Sekunden, bevor sich was tut, und wenn's nur ein Terminal-Fenster
ist. Macht halt keinen guten Eindruck.)
> Hallo Florian,
>
> Du schriebst am Tue, 22 Dec 2009 23:06:09 +0100:
>
>> > Weil der wildgewordene X-Server nur noch _ausschlie�lich_ die _eine_
>> > Datei in /tmp zur Authentifizierung benutzt hat. "Nat�rlich" mit
> ...
>> Das d�rfte nicht am X-Server, sondern eher an [xgk]dm liegen, der wohl
>> $XAUTHORITY entsprechend setzt.
>
> Auch m�glich, der ist dabei auch gleich ausgetauscht worden.
> Der mu� da nicht nur die Variable umgesetzt haben, sondern auch noch die
> verwendete Datei neu angelegt. Jetzt ist da grunds�tzlich und prinzipiell
> immer eine IPv6-Adresse dabei, die vorher nicht drin war.
> Leider macht die bei dem neuen "Netbook" (f�r eine Spezialanwendung) das
> Problem, da� daf�r die Bearbeitung "ewig" (an die 10 Sekunden) dauert...
> bei jedem Fenster! (Macht halt keinen guten Eindruck...)
Wenn du IPv6 nicht brauchst, kannst du die Unterst�tzung mit
irgendeinem Kernel-Parameter deaktivieren. Damit sollte dann auch der
Timeout weg sein.
Florian
--
<http://www.florian-diesch.de/software/pdfrecycle/>
Du schriebst am Wed, 23 Dec 2009 05:15:59 +0100:
> > verwendete Datei neu angelegt. Jetzt ist da grundsᅵtzlich und
> > prinzipiell immer eine IPv6-Adresse dabei, die vorher nicht drin war.
> > Leider macht die bei dem neuen "Netbook" (fᅵr eine Spezialanwendung) das
> > Problem, daᅵ dafᅵr die Bearbeitung "ewig" (an die 10 Sekunden) dauert...
> > bei jedem Fenster! (Macht halt keinen guten Eindruck...)
>
> Wenn du IPv6 nicht brauchst, kannst du die Unterstᅵtzung mit
> irgendeinem Kernel-Parameter deaktivieren. Damit sollte dann auch der
> Timeout weg sein.
Das wᅵre schᅵn, wenn das ginge - aber vᅵllig IPv6-frei geht leider diverses
anderes nicht mehr, was mit dem Netzwerk zu tun hat. Ich habe schon alles
abgeschaltet, was nach IPv6 riecht, aber um das Laden des IPv6-Moduls komm'
ich trotzdem nicht 'rum, und dann ist diese blᅵde Adresse im Interface, die
xauth in die Authentifikationsdatei schreibt...
Interessanterweise funktioniert das auf meiner "groᅵen" Maschine ohne
merkliche Verzᅵgerung, und auch auf dem anderen (Service-) Notebook, aber
obwohl das Netbook auch 'nen 1,6-GHz-Prozessor hat (gegen 2,6 und 2,4 bei
den beiden anderen) ist das wesentlich langsamer. Wird wohl am Hersteller
liegen - Netbook VIA, Notebook intel, Desktop AMD...
(Oder da ist doch noch eine Einstellung falsch?)
Na, sei's drum - ich kann auf meine Langeweile verzichten... ;->
>> Wenn du IPv6 nicht brauchst, kannst du die Unterstützung mit
>> irgendeinem Kernel-Parameter deaktivieren. Damit sollte dann auch der
>> Timeout weg sein.
> Das wäre schön, wenn das ginge - aber völlig IPv6-frei geht leider diverses
> anderes nicht mehr, was mit dem Netzwerk zu tun hat. Ich habe schon alles
> abgeschaltet, was nach IPv6 riecht, aber um das Laden des IPv6-Moduls komm'
> ich trotzdem nicht 'rum, und dann ist diese blöde Adresse im Interface, die
> xauth in die Authentifikationsdatei schreibt...
Ich habe den Thread nicht komplett verfolgt, also sorry falls ich etwas
doppelt schreibe.
* Bei neueren Kerneln gibt es kein ipv6.ko mehr.
* IPv6 (selektiv) abschalten:
net.ipv6.conf.eth0.disable_ipv6=1
* ggf. IPv6 Adressen flushen:
ip -6 addr flush dev eth0
mfg Friedemann
Du schriebst am Thu, 24 Dec 2009 05:18:07 +0100 (CET):
> * Bei neueren Kerneln gibt es kein ipv6.ko mehr.
Unschᅵn, aber zu erwarten - in Bᅵlde soll ja IPv6 zwangseingefᅵhrt werden.
Zumindest bei 2.6.31.5 und .6 ist es noch vorhanden,
> * IPv6 (selektiv) abschalten:
> net.ipv6.conf.eth0.disable_ipv6=1
Oder 'echo "1" > /net/ipv6/conf/eth0/disable_ipv6'.
Ja, danke, hab' ich inzwischen auch noch gefunden und gemacht (gleich mit
Rundumschlag fᅵr alle Interfaces). Hat gut gewirkt - die lᅵstigen Pausen
sind weg. (Da hab' ich das gleich den anderen Maschinen auch verordnet;)
(Ich mᅵchte sowieso nicht fᅵr jeden Transistor eine eigene Adresse - so
wie mit IPv4, wo ganze Bereiche "anonym" sind, ist mir das wesentlich
angenehmer, weil privater. Gut, auch bei IPv6 ist sowas - angeblich -
vorgesehen; allerdings war der "ursprᅵngliche Gedanke" eben der, jedem
Gerᅵt eine eigene, unverwechselbare Adresse zu geben, um es von ᅵberallher
eindeutig ansprechen zu kᅵnnen - nur, _wer_ will sowas? Und, will er das
fᅵr _sich_ _selber_ auch? [Mal ganz abgesehen von dem Verwaltungsaufwand
fᅵr sowas, der in wesentlich schwᅵcherer Form schon in anderen Bereichen
- MAC-Adressen, USB, Bluetooth u.ᅵ. - enorme Kosten verursacht, unnᅵtige
und unnᅵtze Kosten.])
> * ggf. IPv6 Adressen flushen:
> ip -6 addr flush dev eth0
Ist eh schon gemacht.
Danke fᅵr die Hilfe, und schᅵne Weihnachten!
Sieghard Schicktanz <Sieghard....@SchS.de> schrieb:
> Du schriebst am Tue, 22 Dec 2009 10:24:13 +0000 (UTC):
>
>> > Benutzer eintragen - nutzt nur nix, weil der keinen Zugriff mehr darauf
>> > (statt wie früher auf das File in seinem lokalen Home-Verzeichnis)
>> > bekommt.
>>
>> Wieso hatte er früher Zugriff auf die Datei? Wieso gewährst Du ihm jetzt
>
> Weil der wildgewordene X-Server nur noch _ausschließlich_ die _eine_ Datei
> in /tmp zur Authentifizierung benutzt hat. "Natürlich" mit Rechten 0600,
> also keinen anderen als den Besitzer zugänglich.
Na und? Vorher hieß die Datei .Xauthority und lag so in Deinem
Benutzerverzeichnis. Da hat sich nur der Ort, aber nicht die Rechte
geändert.
Dennoch hast Du nicht erklärt, wieso und auf welchem Weg vorher der
minderberechtigte Benutzer an den Inhalt der Datei gekommen ist, denn
auch in Deinem Verzeichnis kann kein andere eine 600‐Datei lesen.
>> nicht wieder Zugriff auf die Datei? Warum machst Du es nicht richtig und
>> erzeugst eine eigene Datei für ihn?
>
> Hatte ich versuchtm, hatte ich gemacht, hat aber nicht funktioniert...
Das wusste ich, denn sonst hättest Du ja auch hier nicht so rumgetönt.
Viel interessanter wäre aber gewesen, was Du versucht hast – außer
jammern und nölen.
Schöne Grüße, Jörg.
--
Die zehn Gebote Gottes enthalten 172 Wörter, die amerikanische
Unabhängigkeitserklärung 300 Wörter, die Verordnung der europäischen
Gemeinschaft über den Import von Karamelbonbons exakt 25911 Wörter.
Friedemann Stoyan <dev...@swapon.de> schrieb:
> * Bei neueren Kerneln gibt es kein ipv6.ko mehr.
Was ist bei Dir neu?
% modinfo ipv6
filename: /lib/modules/2.6.32/kernel/net/ipv6/ipv6.ko
Schöne Grüße, Jörg.
--
Manchmal denke ich, das sicherste Indiz dafür, daß anderswo im Universum
intelligentes Leben existiert, ist, daß niemand versucht hat, mit uns
Kontakt aufzunehmen. (Calvin und Hobbes)
Du schriebst am Sun, 27 Dec 2009 16:37:09 +0000 (UTC):
> > Weil der wildgewordene X-Server nur noch _ausschlieᅵlich_ die _eine_
> > Datei in /tmp zur Authentifizierung benutzt hat. "Natᅵrlich" mit
> > Rechten 0600, also keinen anderen als den Besitzer zugᅵnglich.
>
> Na und? Vorher hieᅵ die Datei .Xauthority und lag so in Deinem
> Benutzerverzeichnis. Da hat sich nur der Ort, aber nicht die Rechte
> geᅵndert.
Soweit ok.
> Dennoch hast Du nicht erklᅵrt, wieso und auf welchem Weg vorher der
> minderberechtigte Benutzer an den Inhalt der Datei gekommen ist, denn
> auch in Deinem Verzeichnis kann kein andere eine 600-Datei lesen.
Die habe ich ihm per xauth-Export und -Merge gegeben, genau zu dem Zweck,
daᅵ er das aktive Display benutzen kann, ohne entsprechende Dateirechte zu
brauchen. Eben so, wie man das normalerweise macht.
> Viel interessanter wᅵre aber gewesen, was Du versucht hast -ᅵauᅵer
> jammern und nᅵlen.
Danke fᅵr Dein Mitgefᅵhl - ich hᅵtte nicht geschrieben, wenn ich nicht
alles versucht gehabt hᅵtte, was mir so einfiel - sogar einen Neustart des
X-Servers. Lediglich einen kompletten Reboot hatte ich da noch nicht
gemacht - der erst hat das dann "irgendwie" wieder hingebogen.
Das ist jetzt schon ein paar Tage her, und das hatte ich auch schon direkt
darauf geschrieben. Hast Du eben noch nicht gelesen...
(Vielleicht schaust Du Dich mal nach einem zuverlᅵssigen News-Server um.)
> Was ist bei Dir neu?
> % modinfo ipv6
> filename: /lib/modules/2.6.32/kernel/net/ipv6/ipv6.ko
Mir fiel das auf bei:
$ cat /proc/version
Linux version 2.6.32-trunk-686 (Debian 2.6.32-3) (b...@decadent.org.uk) (gcc version 4.3.4 (Debian 4.3.4-6) ) #1 SMP Thu Dec 24 05:52:30 UTC 2009
Kein ipv6.ko mehr. Und ich schloss vom Speziellen auf das Allgemeine.
mfg Friedemann
> Hintergrund für mich ist, daß ich mir einen minderberechtigten
> Benutzer fürs "Websurfen" eingerichtet habe, der das "normale"
> X-Display mitbenutzt, aber nur beschränkte Dateizugriffsrechte
> besitzt.
Habe ich auch. Ich starte den hier so:
ssh -i ~/.ssh/id_dsa_secsurf -X secsurf@localhost firefox
CU