Arch Linux

yaourt -- "keine Berechtigung" ?

ZaphodX

Tach zusammen!

Seit eingen Tagen brechen auf meinem Desktop immer häufiger yaourt-Installationen von AUR-Paketen ab, wegen "keine Berechtigung" -- z. B. gerade wieder wie bei fbsplash:

...
==> Entpacke Quellen...
  -> Entpacke splashutils-1.5.4.4.tar.bz2 mit bsdtar 
==> Beginne build()...
/tmp/yaourt-tmp-ottugi/aur-fbsplash/./PKGBUILD: Zeile 49: ./configure: Keine Berechtigung
==> FEHLER: Ein Fehler geschah in build().
    Breche ab ...
==> ERROR: Makepkg was unable to build fbsplash.

tja, was soll denn da Verbotenes sein? Betreffender Abschnitt:

...
build() {
  cd ${srcdir}/splashutils-${pkgver}

  autoreconf

  # fix fbcondecor_ctl splash type
  sed -e 's,fbsplash_lib_init(fbspl_bootup),fbsplash_lib_init(fbspl_undef),' -i src/fbcon_decor_ctl.c

  # fix set_event_dev call for initcpio usage (if evdev module is there)
  #patch -Np2 -i ${srcdir}/splash_start_initcpio.patch

  export LIBS="-lbz2"
  ./configure --prefix=/usr --sysconfdir=/etc --without-klibc --enable-fbcondecor --with-gpm --with-mng --with-png --with-ttf --with-ttf-kernel
  make
}

/etc/sudoers

# visudo
...
ich Archlinux=/usr/bin/pacman       # beim Läppi
...

Hab auch das versucht:

# visudo
...
ich   ALL=(ALL) NOPASSWD: /usr/bin/pacman
...

(bin jetzt nicht ganz sicher, ob das Auswirkungen hat)

Ich habe außerdem sudo installiert und bin bei wheel drin, in der /etc/yaourtrc ist SUDONOVERIF=1 gesetzt. -- Auf meinem Läppi hab ich eigentlich dieselben Einstellungen, und da läuft es.
Allerdings muss ich zugestehen, dass ich bis vor Kurzem noch alle AUR-Pakete händisch runtergeladen, extrahiert, gebaut und installiert habe.

Ideen?

Kinch

Ist das configure script ausführbar?

ZaphodX

ähm, wie jetz zum Beispiel?

-- Alle Dateien in /tmp/yaourt-tmp-ich/aur-fbsplash/./src sind

lrwxrwxrwx 1 ich users 51 15. Sep 15:51

ZaphodX

Ist irgendein Rechte-Problem. Eigentlich kalter Kaffee, aber ich find den Fehler nicht 😛

# chmod 440 /etc/sudoers

brachte auch nichts, weiterhin z. B.

$ sudo pacman -Syu
Passwort: 
ich is not allowed to run sudo on ichhost.  This incident will be reported.
$ ls -all /etc/sudoers
-r--r----- 1 root root 3893 15. Sep 15:51 /etc/sudoers

Auch keine Änderung nach nem An-/Abmelden oder eim Reboot.
Nochma meine /etc/sudoers:

root ALL=(ALL) ALL
Defaults:ich timestamp_timeout=0,rootpw
ich Archlinux=/usr/bin/pacman
Defaults	env_reset
Defaults	editor=/usr/bin/vim, !env_editor
Defaults insults

Also, ich kann da nichts komisches finden...

AliWam

Die /etc/sudeors dürften damit nix zu tun haben, wenn ich mich nicht irre.
Darüber hinaus solltest du für den user ich folgendes einfügen:

ich ALL=(ALL) ALL

Ist dein System auf dem aktuellsten Stand (inkl. yaourt?)

ZaphodX

AliWam schriebDie /etc/sudeors dürften damit nix zu tun haben, wenn ich mich nicht irre.
Darüber hinaus solltest du für den user ich folgendes einfügen:
ich ALL=(ALL) ALL
Ist dein System auf dem aktuellsten Stand (inkl. yaourt?)

Es ist, inklusive yaourt:

$ pacman -Qi yaourt
Name           : yaourt
Version              : 0.10.2-1

Hab deinen Code in die sudoers eingefügt:

root ALL=(ALL) ALL
Defaults:ich timestamp_timeout=0,rootpw
ich ALL=(ALL) ALL
ich Archlinux=/usr/bin/pacman
Defaults	env_reset
Defaults	editor=/usr/bin/vim, !env_editor
Defaults insults

und rebootet.

Damit geht nun

$ sudo pacman -Syu

-- aber das Build-Problem mit yaourt bleibt weiter 😛

NB: Das mit dem

USERNAME   ALL=(ALL) ALL

steht ja auch so im Wiki, aber warum fand/findet es GerBra dann gefährlich?

Ach ja, meine /etc/yaourtrc (außer der defaults):

ABS_REPO=(testing core extra community-testing community gnome-unstable kde-unstable)
AUTOSAVEBACKUPFILE=1	## def=0
DEVELBUILDDIR="/var/abs/local/yaourtbuild"
#SUDONOVERIF=0      # Avoid multiple sudo checks when timestamp_timeout=0
### nach https://wiki.archlinux.org/index.php/Yaourt#Yaourt_asking_for_password_twice
SUDONOVERIF=1
EXPORT=1           # Export to 1: EXPORTDIR or PKGDEST		### def: 0
EXPORTDIR="/home/ich/.abs/"

(und ist das jetzt so richtig, wenn ich die fertigen .pkg.tar.gz in ~/.abs abgelegt haben will?)

stefanhusmann

Die Frage nach der ausführbarkeit des configure-Skript hast du ja nur mit einer Gegenfrage beantwortet. Gemeint war, ob in einem der nicht funktionierenden Builds das configure-Skript unter

/tmp/yaourt-tmp-ich/aur-fbsplash/./src/<name des Paketes-versionsnummer>

das x-bit gesetzt hat, und wenn ja für wen.

ZaphodX

Wie gesagt:

ZaphodX schriebähm, wie jetz zum Beispiel?

-- Alle Dateien in /tmp/yaourt-tmp-ich/aur-fbsplash/./src sind

lrwxrwxrwx 1 ich users 51 15. Sep 15:51

so hat auch

$ ls --all  /tmp/yaourt-tmp-ich/aur-fbsplash/./src/splashutils-1.5.4.4
insgesamt 1088
...
-rwxr-xr-x  1 ich users 458063 15. Sep 20:04 configure
...

überall "x".

AliWam

ZaphodX schriebNB: Das mit dem
USERNAME   ALL=(ALL) ALL
steht ja auch so im Wiki, aber warum fand/findet es GerBra dann gefährlich?

Da kann ich nur mutmaßen. Mich würde der Grund ebenfalls sehr interessieren. Anyone?

stefanhusmann

Vermutlich, weil du damit fast schon root-Rechte hast.

efreak4u

AliWam schrieb
ZaphodX schriebNB: Das mit dem
USERNAME   ALL=(ALL) ALL
steht ja auch so im Wiki, aber warum fand/findet es GerBra dann gefährlich?
Da kann ich nur mutmaßen. Mich würde der Grund ebenfalls sehr interessieren. Anyone?

Das ist Ubuntu-Methode o_0

mannohneschuh

stefanhusmann schriebVermutlich, weil du damit fast schon root-Rechte hast.

Fast? Was fehlt denn noch?

Army

Wenn man danach noch reinkonfiguriert, dass man nicht mit dem Benutzerpasswort, sondern mit dem Rootpasswort die Root-Rechte bekommt und zusätzlich den Passwortspeicher deaktiviert, dann sollte es doch eigentlich passen, dann ist sudo ja so sicher wie su und su kann man ja immer verwenden.

GerBra

ZaphodX schriebz. B.

$ sudo pacman -Syu
Passwort: 
ich is not allowed to run sudo on ichhost.  This incident will be reported.
$ ls -all /etc/sudoers
-r--r----- 1 root root 3893 15. Sep 15:51 /etc/sudoers

Auch keine Änderung nach nem An-/Abmelden oder eim Reboot.
Nochma meine /etc/sudoers:

root ALL=(ALL) ALL
Defaults:ich timestamp_timeout=0,rootpw
ich Archlinux=/usr/bin/pacman
Defaults	env_reset
Defaults	editor=/usr/bin/vim, !env_editor
Defaults insults

Also, ich kann da nichts komisches finden...

Was hier stört ist die Meldung " is not allowed to run sudo"... Ich habe deine sudoers-Einstellungen nachgestellt und habe keine Probleme damit. Vermutung: hast du evtl. einen Shell-Alias für pacman der automatisch ein "sudo pacman" ausführt? So wäre die Meldung erklärbar, daß du sudo nicht über sudo ausführen kannst.
Allerdings sollte die Fehlermeldung auch anders aussehen (sudo 1.8.2-1):

gerhard@myhost ~ % sudo sudo
Passwort: 
Sorry, user gerhard is not allowed to execute '/usr/bin/sudo' as root on myhost.

Was sagt bei dir eigentlich ein:

ls -ln /usr/bin/sudo

Jetzt noch ein bißchen Gelaber/Roman zu sudo ;-)
<Laber>
a) Ich bin Anhänger der Adminart: Gib wenn möglich einem User/Aufgabe nur genausoviel Rechte wie es genau für den Vorgang braucht. Hier: beim Paketbau (makepkg oder auch yaourt) wird allenfalls pacman -Sy, -S und -Sr benötigt, was eben am simpelsten mit sudo erreicht werden kann. Das verhindert z.B. daß statt im Bautool über sudo pacman lediglich benötigte Paketw installiert werden eben auch ein "sudo dd" möglich ist (aus sudoers Sicht) wenn der User aus Unachtsamkeit überall die sudo-Abfrage bestätigt.

b) Glücklich der Admin, der ohne sudo auskommt ;-)

Army schrieb Wenn man danach noch reinkonfiguriert, dass man nicht mit dem Benutzerpasswort, sondern mit dem Rootpasswort die Root-Rechte bekommt...

c) Moderne Systeme sind Mehrbenutzersysteme. Ich würde den Teufel tun und jedem "Hinz und Kunz" auf einem System das Root-PW zu geben um z.B. sudo zu benutzen. Wir müssen aufpassen, ein privates Heimsystem als "Normalfall" zu betrachten wenn wir über Systemadministration und deren Tools (hier sudo) allgemein reden. "Daheim" bin ich i.d.R. root und User, wir trennen das bei der Systemnutzung wohlweißlich - eben um unser System nicht zu gefährden. Aber eben weil root und $USER oftmals die gleiche Person sind gibt es den Hang zur Bequemlichkeit; also wird kurzerhand %wheel/%sudoers konfiguriert oder halt eben (mein im anderen Beitrag kritisiertes) "ALL=(ALL) ALL". Das ist in 1min bequem erledigt, gilt dann aber "ein Leben lang"... Auf meinem Heim-PC wie gesagt eigentlich kein Problem (aber s.o. oftmals unnötig), aber für "sudo an sich" eben IMHO ncht anzuraten. Irgendwann hat man mal Systeme evtl. beruflich zu administrieren, da sollte man sich das "lasche" Herangehen mit Rechten garnicht erst angewöhnt haben....

d) Ein Normaluser (auch unser $HOMEUSER) kann per default (also ohne zusätzliche root-Rechte) das *SYSTEM* nicht "kaputtmachen". U.a. deshalb sind z.B. makepkg (und wohl auch yaourt) nicht ohne weiteres als root ausführbar. Wenn jetzt aber (böswillig oder unabsichtlich) über diesen Vorgang meine USERDATEN (bzw. das, worauf ich Rechte habe) "kaputtgemacht" werden kann - und das ist über sudo möglich - dann wäre mir das noch weniger Recht. Wertvoller als die "DATEN des SYSTEM" sind ja eigentlich die "DATEN des USERS/derFIRMA".
Ein unkonfigurertes sudo cached z.B. das (Root)Paßwort, keine Gewähr also das z.B. die für den notwendigen pacman-Aufruf notwendigen Zugangsdaten kurze Zeit später für ein sudo mit weitaus gefährlicherem Befehl genutzt wird. Wenn eben per sudo "alles erlaubt" ist und eben nicht nur "/usr/bin/pacman" (was ja eigentlich schon "gefährlich genug" ist....).

e) Ich kann nur empfehlen zum Paketbau (makepkg,yaourt,...) einen separaten User(account) zu verwenden, der eben NICHT beim Heim-PC der $Normaluser ist. Dieser sollte für sudo eingeschränkt sein (um eben das SYSTEM nicht zu gefährden) und (für mich mindestens ebenso wichtig) keinen Zugriff auf die DATEN haben... Was nützt mir ein System/Prozedur was zwar nicht das System kaputtmachen kann, dafür aber ohne Probleme meine Musiksammlung oder die Firmendatenbank löschen kann?

Ich plädiere (<g>) also lediglich für ein etwas "skeptischeres, überlegteres" Herangehen auch an die Administration des eigenen Rechners/Netzwerkes. Dazu gehört IMHO: nicht alles, was aktuell ein "Problem" beseitigt ist auch auf die Dauer eine (sichere) Lösung und speziell mit sudo sollte man keine Probleme lösen wollen die sich durch mangelnde Rechte ergeben. Mit letzterem meine ich natürlich nicht den "richtigen" Einsatz von sudo sondern eher das "Hej-mit sudo-klappt-es-also-packe-ich-das-immer-vorneweg..."
</Gelaber>

ZaphodX

efreak4u schrieb
AliWam schrieb
ZaphodX schriebNB: Das mit dem
USERNAME   ALL=(ALL) ALL
steht ja auch so im Wiki, aber warum fand/findet es GerBra dann gefährlich?
Da kann ich nur mutmaßen. Mich würde der Grund ebenfalls sehr interessieren. Anyone?
Das ist Ubuntu-Methode o_0

Eben. Darum hab ich auch GerBras Konfig von vornherein besser gefunden. Demzufolge schließt sich also das

# visudo
...
root   ALL=(ALL) ALL
# ich ALL=(ALL) ALL
ich    Archlinux=/ur/bin/pacman
...

und die Benutzung von yaourt aus (außer bei den paar build-Fällen, bei denen es nicht zu Rechteproblemen kommt). -- Das hab ich jetz mal auf meinem Läppi (bei dem yaourt im Ggs. zu meim Desktop funktioniert) eingestellt. Dann sollte doch eigentlich sowas wie $ sudo pacman -Syu mit root-PW-Abfrage funktionieren; tut es aber (bei mir) nicht...?

Vll. könnte mal jemand seine/ihre /etc/sudoers ohne

USER   ALL=(ALL) ALL

posten, wenn yaourt trotzdem reibungslos funktioniert, und dann auch gern die yaourtrc dazu. Aber wahrscheinlich gibt es diesen Fall gar nicht 😉

edith:
da! schon wieder:

~ % yaourt -S joe
...
==> Beginne build()...
/tmp/yaourt-tmp-ottugi/aur-joe/./PKGBUILD: Zeile 24: ./configure: Keine Berechtigung
==> FEHLER: Ein Fehler geschah in build().
    Breche ab ...
==> ERROR: Makepkg was unable to build joe.

~ % cat /tmp/yaourt-tmp-ottugi/aur-joe/PKGBUILD
...
pkgname=joe
pkgver=3.7
pkgrel=3
...
build() {
  cd "$srcdir/$pkgname-$pkgver"

  ./configure \
	--prefix=/usr \
	--sysconfdir=/etc \
	--mandir=/usr/share/man

  make
}

package() {
  cd "$srcdir/$pkgname-$pkgver"

  make DESTDIR="$pkgdir/" install
}

Dagegen klappte es bei dav. Wahrscheinlich, weil das PKGBUILD keinen configure-Kram hat...?

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

GerBra schrieb
ZaphodX schriebz. B.
$ sudo pacman -Syu
Passwort: 
ich is not allowed to run sudo on ichhost.  This incident will be reported.
$ ls -all /etc/sudoers
-r--r----- 1 root root 3893 15. Sep 15:51 /etc/sudoers
Auch keine Änderung nach nem An-/Abmelden oder eim Reboot.
Nochma meine /etc/sudoers:
root ALL=(ALL) ALL
Defaults:ich timestamp_timeout=0,rootpw
ich Archlinux=/usr/bin/pacman
Defaults	env_reset
Defaults	editor=/usr/bin/vim, !env_editor
Defaults insults
Also, ich kann da nichts komisches finden...
Was hier stört ist die Meldung " is not allowed to run sudo"... Ich habe deine sudoers-Einstellungen nachgestellt und habe keine Probleme damit. Vermutung: hast du evtl. einen Shell-Alias für pacman der automatisch ein "sudo pacman" ausführt? So wäre die Meldung erklärbar, daß du sudo nicht über sudo ausführen kannst.
Allerdings sollte die Fehlermeldung auch anders aussehen (sudo 1.8.2-1):
gerhard@myhost ~ % sudo sudo
Passwort: 
Sorry, user gerhard is not allowed to execute '/usr/bin/sudo' as root on myhost.
Was sagt bei dir eigentlich ein:
ls -ln /usr/bin/sudo

Hallo GerBra, nee, ein derartiges pacman-Alias habe ich nicht. Und:

~ % ls -ln /usr/bin/sudo
---s--x--x 2 0 0 76295 18. Aug 14:44 /usr/bin/sudo*

(bin jetzt auch auf die zsh umgestiegen 🙂 )
Aber außerdem

~ % sudo sudo
Passwort: 
usage: sudo [-D level] -h | -K | -k | -V
usage: sudo -v [-AknS] [-D level] [-g groupname|#gid] [-p prompt] [-u user name|#uid]
usage: sudo -l[l] [-AknS] [-D level] [-g groupname|#gid] [-p prompt] [-U user name] [-u user name|#uid] [-g groupname|#gid] [command]
usage: sudo [-AbEHknPS] [-C fd] [-D level] [-g groupname|#gid] [-p prompt] [-u user name|#uid] [-g groupname|#gid] [VAR=value] [-i|-s]
            [<command>]
usage: sudo -e [-AknS] [-C fd] [-D level] [-g groupname|#gid] [-p prompt] [-u user name|#uid] file ...

hm... Könnte es auch damit zu tu haben, dass meine terminals immer diese Meldung ausspucken:

grmlcomp:132: command not found: hostname

(ähnlich wie beim Log von X: "/usr/bin/startx:<andere Zeile> command not found: hostname"; gabs natürlich auch schon auf der bash.).

<halb offtopic> Wie kann man das überhaupt beheben? Bei Arch heißt das ja im Vergleich hierzu /bin/hostname. Das fehlt beim neuen Desktop-System; der Läppi hat das.)</halb offtopic>

GerBra schriebJetzt noch ein bißchen Gelaber/Roman zu sudo ;-)
<Laber>
...
e) Ich kann nur empfehlen zum Paketbau (makepkg,yaourt,...) einen separaten User(account) zu verwenden, der eben NICHT beim Heim-PC der $Normaluser ist. Dieser sollte für sudo eingeschränkt sein (um eben das SYSTEM nicht zu gefährden) und (für mich mindestens ebenso wichtig) keinen Zugriff auf die DATEN haben... Was nützt mir ein System/Prozedur was zwar nicht das System kaputtmachen kann, dafür aber ohne Probleme meine Musiksammlung oder die Firmendatenbank löschen kann?

Ich plädiere (<g>) also lediglich für ein etwas "skeptischeres, überlegteres" Herangehen auch an die Administration des eigenen Rechners/Netzwerkes. Dazu gehört IMHO: nicht alles, was aktuell ein "Problem" beseitigt ist auch auf die Dauer eine (sichere) Lösung und speziell mit sudo sollte man keine Probleme lösen wollen die sich durch mangelnde Rechte ergeben. Mit letzterem meine ich natürlich nicht den "richtigen" Einsatz von sudo sondern eher das "Hej-mit sudo-klappt-es-also-packe-ich-das-immer-vorneweg..."
</Gelaber>

aha, du kommst wohl also gänzlich ohne sudo und erst recht ohne yaourt aus? Naja, ich bis dato eigtl auch. Aber ich dachte mir, ich bringe auf meinem neuen System mal einige neue Admin-Tools unter, und schließlich hat yaourt einge Tausend votes...

Also, e) kann ich auch was abgewinnen. Aber wenn man es mit den Rechten und der Sicherheit ganz ernst nehmen will, dürfte man eigentlich sowas keine Pakete aus dem AUR bauen und anschließend systemweit installieren, sondern nur als $USER auf dem eigenen Konto.

Goshawker

(weiterführung https://forum.archlinux.de/viewtopic.php?id=19914)

ZaphodX schriebJa, vielen Dank.

Mich hatte das
Goshawker schrieb
 [sven@myhost vuze]$ makepkg
... Schreib-Berechtigung, um Pakete in /home/sven/vuze zu lagern.
Wenn ich das Ganze über sudo yaourt -S vuze Installiere, gibt es keine Fehlermeldung.
interessiert. -- Das geht dann mit yaourt bei dir (oder nur mit makepkg)? Wenn ja, wo kann man das denn einstellen, zumal du scheinbar nur Standardeinstellungen hast? Oder hat das auch was mit Rechten zu tun? Also, meine pkg.tar.gz werden mit yaourt nur unter /tmp gebaut und sind dann später wieder verschwunden. (Ich nehme aber eher an, dass das auch bei dir so ist.)

Also bei mir lief yaourt ohne Probleme nur bei makepkg hatte ich die Probleme mit den Benutzer-rechten.

Kannst du denn die Pakete in einzelnen schritten Installieren?
Also mit:

1. sudo yaourt -G [Paketname]
2. makepkg
3. sudo pacman -U [Paket]

ZaphodX

Goshawker schrieb(weiterführung https://forum.archlinux.de/viewtopic.php?id=19914)

Jo, gute Idee 🙂
Tschuldigung, ich wollte auch nicht deinen Thread übernehmen, aber es passte halt zufällig thematisch und zeitlich gerade. 😛

Goshawker schriebAlso bei mir lief yaourt ohne Probleme nur bei makepkg hatte ich die Probleme mit den Benutzer-rechten.

Kannst du denn die Pakete in einzelnen schritten Installieren?
Also mit:

1. sudo yaourt -G [Paketname]
2. makepkg
3. sudo pacman -U [Paket]

so, das macht mich jetzt aber doch stutzig...

(1) Ich dachte ja eigentlich, man führt yaourt nicht mit sudo aus; vielmehr kommt doch erst root (über die sudoers) ins Spiel, wenn das fertige Paket ins System installiert werden soll.
(2) "yaourt -G" lädt nur Dateien runter, und dafür brauch man kein sudo (--> zum Gebrauch von yaourt)! -- Wenn ich das mit sudo mache, habe ich logischer auch das gleiche Rechteproblem wie du, weil root sie runterlädt.
Mein yaourt-Problem (s.o.) tritt jedenfalls mit

$ yaourt [-S[b]] foo

auf. Oder ich hab das Prinzip von yaourt nicht verstanden...