Hi, ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag AuthInfoRequired none auf AuthInfoRequired username,password geändert wird, speziell bei Druckern von Windows-Maschinen, die über Samba angesteuert werden. Obwohl DeviceURI smb://user:password@host/printershare verwendet wird, verlangt cups dann (nicht bei jedem Drucker, aber immer wieder mal) eine Authentifizierung, was ich nicht nachvollziehen kann. Die Druckaufträge werden mittels lpr -P<printer> file gesendet, im allgemeinen auf raw-Drucker vorformatiert. Kommt sowas irgendwem bekannt vor? Gibt es ein Setting in cups.conf oder so, mit dem man das unterbinden kann? Evt. mit "DefaultAuthType"? Kann man da "none" reintun. In der Doku gibts nur "basic", das steht drin, und "negotiate", das hat aber IMHO die gleichen Auswirkungen, wie "username,password"... Seit dem Wechsel auf 2.x ist die printers.conf - Doku nicht mehr vorhanden (steht nur noch "in change" oder so) Bin auch für rtfm dankbar, wenn jemand ein gutes Tutorial weiß, cups.org ist es leider nicht (mehr?) -- cu jth
Zitat von Jörg Thümmler <listen@vordruckleitverlag.de>:
Hi,
ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
selinux oder spezielle Suse-Tools Ist länger her aber es gab früher mal ein "Härtungs-Tool" Gruß
Am 09.11.22 um 08:21 schrieb Ralf Prengel:
Zitat von Jörg Thümmler <listen@vordruckleitverlag.de>:
Hi,
ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
selinux oder spezielle Suse-Tools Ist länger her aber es gab früher mal ein "Härtungs-Tool"
Gruß
Hi, selinux hab ich nicht installiert und (zumindest vorsätzlich) nichts dergleichen... Die Maschine bietet ausser ein paar VPN-Tunneln nach außen nichts an. -- cu jth
Am Mittwoch, 9. November 2022, 08:21:33 CET schrieb Ralf Prengel:
Zitat von Jörg Thümmler <listen@vordruckleitverlag.de>: was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
selinux oder spezielle Suse-Tools
selinux ändert keine Inhalte von configfiles. Cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org OBS: lemmy04 Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on liberachat and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Am Mittwoch, dem 09.11.2022 um 08:13 +0100 schrieb Jörg Thümmler:
ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
[snip...] Kann Dir evtl. etwas hiervon [1] hilfreich sein? 1: <https://qastack.com.de/server/320716/find-out-which-process-is-changing-a-fi...
-- MfG Richi
Am 09.11.22 um 20:57 schrieb Richard Kraut:
Am Mittwoch, dem 09.11.2022 um 08:13 +0100 schrieb Jörg Thümmler:
ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
[snip...]
Kann Dir evtl. etwas hiervon [1] hilfreich sein?
1: <https://qastack.com.de/server/320716/find-out-which-process-is-changing-a-fi...
Hi und Danke. Ja, das scheint mir inzwischen auch die einzige Möglichkeit zu sein, mit Fallen zu arbeiten, statt aus diversen Dokus zu ermitteln, wer da dazwischenfunkt. Da ist der Link hilfreich. -- cu jth
Hallo Jörg, weiter unten in einem Beitrag hat Richard Kraut eine Diskussion verlinkt, bei der es um einen Zusammenhang mit dem samba-Server geht - dazu fällt mir ein, dass mir im letzten Jahr zum ersten Mal apparmor Probleme gemacht hat, und zwar im Zusammenhang mit dem samba-Server in OS 15.3. Vielleicht solltest du mal in dieser Richtung forschen. (Ich weiß nicht, ob apparmor Configfiles ändert.) (Bei meinem Problem ging es nicht um Drucker, sondern um SMB-Share-Definitionen, in denen keine Pfadangabe steht. Die funktionierten nicht, weil irgend ein Script beim Start von samba erst anhand dieser Pfadangabe apparmor-Regeln ändert, damit der samba-Server auf das betreffende Filesystem zugreifen darf - bzw. eben nicht ändert, wenn keine Pfadangabe dasteht - und nicht alle Definitionen brauchen eine. Das stand dann natürlich nicht einfach als Fehler im Logfile, sondern es war mehr Zufall, dass ich anhand der Fehlermeldung eine 11 Jahre alte Diskussion gefunden habe, die mich auf die apparmor-Fährte brachte. (Vor vier Wochen haben wir den samba-Server dann endlich final beerdigt - was bin ich froh!)) Am 09.11.22 um 08:13 schrieb Jörg Thümmler:
Hi,
ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
AuthInfoRequired none
auf
AuthInfoRequired username,password
geändert wird, speziell bei Druckern von Windows-Maschinen, die über Samba angesteuert werden. Obwohl ...
-- Viele Grüße Michael Behrens
Am 10.11.22 um 19:09 schrieb Michael Behrens:
Hallo Jörg,
weiter unten in einem Beitrag hat Richard Kraut eine Diskussion verlinkt, bei der es um einen Zusammenhang mit dem samba-Server geht - dazu fällt mir ein, dass mir im letzten Jahr zum ersten Mal apparmor Probleme gemacht hat, und zwar im Zusammenhang mit dem samba-Server in OS 15.3. Vielleicht solltest du mal in dieser Richtung forschen. (Ich weiß nicht, ob apparmor Configfiles ändert.)
(Bei meinem Problem ging es nicht um Drucker, sondern um SMB-Share-Definitionen, in denen keine Pfadangabe steht. Die funktionierten nicht, weil irgend ein Script beim Start von samba erst anhand dieser Pfadangabe apparmor-Regeln ändert, damit der samba-Server auf das betreffende Filesystem zugreifen darf - bzw. eben nicht ändert, wenn keine Pfadangabe dasteht - und nicht alle Definitionen brauchen eine. Das stand dann natürlich nicht einfach als Fehler im Logfile, sondern es war mehr Zufall, dass ich anhand der Fehlermeldung eine 11 Jahre alte Diskussion gefunden habe, die mich auf die apparmor-Fährte brachte. (Vor vier Wochen haben wir den samba-Server dann endlich final beerdigt - was bin ich froh!))
Am 09.11.22 um 08:13 schrieb Jörg Thümmler:
Hi,
ich habe auf meinem Server (OS15.1) ein merkwürdiges Phänomen: irgendeine Sicherheitsfunktion, "Systemhärtung", vielleicht auch der cups-daemon beim Start ... was auch immer, ändert meine printers.conf dahingehend, dass der Eintrag
AuthInfoRequired none
auf
AuthInfoRequired username,password
geändert wird, speziell bei Druckern von Windows-Maschinen, die über Samba angesteuert werden. Obwohl ...
Hi, Danke, apparmor war auch mein erster Verdächtiger... und Samba ist naheliegend, weil es ja alles SMB-Drucker sind... werde dem mal nachgehen. Habe das Apparmor-Zeugs erstmal deaktiviert. Prinzipiell bin ich ohnehin der Ansicht, dass derartige Tools oft mehr Sicherheit vorspiegeln, als sie wirklich schaffen und man mehr Arbeit damit hat, sie zu kontrollieren, als wenn man Grundregeln der Sicherheit selbst konfiguriert... aber das ist meine rein persönliche Sicht und letztendlich muss jeder selbst wissen, was er unter IT-Sicherheit verstehen mag... -- cu jth
participants (5)
-
Jörg Thümmler -
Mathias Homann -
Michael Behrens -
Ralf Prengel -
Richard Kraut