Miksi zypperin oikeudet heittelehtivät?

[SuperOscar]

Minulla oli tämä ongelma jo 12.2:ssa mutta koska luulin jollakin söhelöinnilläni aiheuttaneeni sen itse en lähtenyt mekkaloimaan. Nyt se kuitenkin ilmaantui tuoreisiin varsin neitseellisiin 12.3-asennuksiinkin:

Kun zypper on päivittänyt pakettivarastoja, se tuntuu asettavan /var/cache/zypp-kansion alla joidenkin alikansioiden ja tiedostojen oikeudet luettaviksi vain pääkäyttäjälle. Tämän seurauksena zypper se -komennosta seuraa esim. tällainen virheilmoitus:

Koodia: [Valitse]

Asennuslähde "Packman Repository" on virheellinen.
[|] Valid metadata not found at specified URL
Tarkista että asennuslähteen URI-osoitteet osoittavat kelvolliseen asennuslähteeseen.
Ongelma ladattaessa tietoja "Packman Repository"
"Packman Repository" ei voida käyttää virheiden vuoksi.
...PAITSI jos zypper se -komennon ajaa sudolla.

12.2-aikaan tein jo pienen skriptin ongelman korjaamiseksi, mutta alkaa hiljalleen pänniä, että jokaisen zypperin ref- tai in-komennon jälkeen pitää suorittaa tämä:

Koodia: [Valitse]

#!/bin/sh
ZYPPCACHE=/var/cache/zypp
find $ZYPPCACHE -type d -print0 | xargs -0 chmod 755
find $ZYPPCACHE -type f -print0 | xargs -0 chmod go+rX
Milloinkaan eivät kaikki pakettivarastot ole joutuneet yhtä aikaa saman oikeusongelman uhreiksi, mutta sitä en osaa sanoa, käykö näin esim. vain päivittyneille varastoille tai ovatko jotkin varastot kokonaan immuuneja. Pitäisi kai tarkkailla paremmin tilannetta...

Ideoita?

Varmemmaksi vakuudeksi vielä zypper lr -tuloste:

Koodia: [Valitse]

#  | Alias                        | Nimi                                      | Käytössä | Päivitä
---+------------------------------+-------------------------------------------+----------+--------
 1 | download.opensuse.org-Extra  | openSUSEn paketointipalvelu - KDE:Extra   | Kyllä    | Kyllä 
 2 | download.opensuse.org-Stable | openSUSEn paketointipalvelu - LibreOffice | Kyllä    | Kyllä 
 3 | ftp.gwdg.de-suse             | Packman Repository                        | Kyllä    | Kyllä 
 4 | openSUSE-12.3-1.7            | openSUSE-12.3-1.7                         | Ei       | Ei     
 5 | opensuse-guide.org-repo      | libdvdcss repository                      | Kyllä    | Kyllä 
 6 | repo-debug                   | openSUSE-12.3-Debug                       | Ei       | Ei     
 7 | repo-debug-update            | openSUSE-12.3-Update-Debug                | Ei       | Ei     
 8 | repo-debug-update-non-oss    | openSUSE-12.3-Update-Debug-Non-Oss        | Ei       | Ei     
 9 | repo-non-oss                 | openSUSE-12.3-Non-Oss                     | Kyllä    | Kyllä 
10 | repo-oss                     | openSUSE-12.3-Oss                         | Kyllä    | Kyllä 
11 | repo-source                  | openSUSE-12.3-Source                      | Ei       | Ei     
12 | repo-update                  | openSUSE-12.3-Update                      | Kyllä    | Kyllä 
13 | repo-update-non-oss          | openSUSE-12.3-Update-Non-Oss              | Kyllä    | Kyllä 

[jmp]

Mä en muista että mulle tuollaista olisi sattunut koskaan.
Ja ainoa ero käyttötavoissamme on se että sudo-komentoa en käytä juuri koskaan.

[SuperOscar]

Ja ainoa ero käyttötavoissamme on se että sudo-komentoa en käytä juuri koskaan.

Se tietysti voi riittää selittämään – yhdessä sen kanssa, että umaskini on 077. Ehkä jos pitäisin umaskin oletuksessa eli 022:ssa tätäkään ei ilmaantuisi

[jmp]

Ja ainoa ero käyttötavoissamme on se että sudo-komentoa en käytä juuri koskaan.

Se tietysti voi riittää selittämään – yhdessä sen kanssa, että umaskini on 077. Ehkä jos pitäisin umaskin oletuksessa eli 022:ssa tätäkään ei ilmaantuisi

Jos haluat noita pääsyasetuksia tiukemmiksi, niin tee se "oikein" eli

Koodia: [Valitse]

/sbin/yast2 security &
ja tuolta Muut turva-asetukset  ja vaihda siellä tiedostojen käyttöoikeudet joko Turvallinen tai Vainoharhainen arvoon.
Oletuksena tuon arvo on Helppo

[SuperOscar]

Jos haluat noita pääsyasetuksia tiukemmiksi, niin tee se "oikein" eli

Koodia: [Valitse]

/sbin/yast2 security &
ja tuolta Muut turva-asetukset  ja vaihda siellä tiedostojen käyttöoikeudet joko Turvallinen tai Vainoharhainen arvoon.

Tein tuon nyt. Olin jo unohtanut, että SUSEssakin on tuommoinen tsydeemi kuten Mageiassa.

Muoks: Vaikuttaa siltä, että kun toimii ”oikein”, palkitaan – asetettuani Yastissa tiedostoasetukset ”turvallisiksi” ei zypper tunnu enää kirjoittaneen cache-tietojensa oikeuksia vääriksi. Ikävä kääntöpuoli on, että läppäri pyytää aina rootin salasanaa halutessaan siirtyä nukkutilaan, mutta siihen löytynee varmaan ratkaisu jostakin.

[guest1093]

Vastaus lienee PolicyKit jos turvallisuutta nostetaan 'Helppo' tasosta.
kts. http://opensuse.fi/keskustelu/index.php?topic=3313.msg27746#msg27746

Esim. VirtualBox tuppaa muuttamaan tiedosto-oikeuksia, eli mullakin on vastaava scripti käytössä... 

-tjka-

[SuperOscar]

Unohdin palata tähän...

Muut turva-asetukset -kohdan nostaminen arvoon ”Turvallinen” toimii hienosti sikäli, että umask = 077 mutta zypper ei enää valita. Arvosta on kuitenkin sivuvaikutuksia, jotka eivät ole niin toivottuja: koneen sammutus ja nukuttaminen vaativat pääkäyttäjän salasanaa, virtuaalikoneiden käynnistäminen ei onnistu kuin rootilta jne.

Jostain pitäisi löytyä hienosäätömahdollisuus, että voisi pitää oletusasetukset muutamin kiristyksin.

[jmp]

Koodia: [Valitse]

sudo vi /etc/permissions.secure
ja sitten vain  muokkaamaan mitä parhaaksi näet

[SuperOscar]

Koodia: [Valitse]

sudo vi /etc/permissions.secure
ja sitten vain  muokkaamaan mitä parhaaksi näet

Kiitos! En greppaamalla löytänyt