# Was bedeutet "suid root"?

## hitachi

Hallo Zusammen,

mir ist bewusst, dass die Frage vermutlich sehr leicht zu beantworten ist, nur ich habe weder auf leo.dict noch im Forum eine Antwort gefunden. Jörg Schilling schreibt auf der Mailingliste immer wieder: "Install cdrecord suid root." Was genau bedeutet das? Was ist die Übersetzung zu suid root?

Danke für die Antwort

----------

## papahuhn

http://de.wikipedia.org/wiki/Setuid

----------

## mv

Speziell zu Jörg Schillings cdrecord wäre anzumerken, dass k3b ein Config-Programm enthält (enthielt?), das die Berechtigungen auf Wunsch automatisch korrekt gesetzt hat. IIRC wurde dieses Config-Programm aber unter Gentoo entfernt (ev. existiert es in neuen k3b-Versionen auch ohnehin nicht mehr?). Auch mehrere Bugreports, cdrecord gleich beim Emergen mit den entsprechenden Rechten zu versehen (oder dies zumindest mit einem USE-Flag zu ermöglichen) wurden als "invalid" geschlossen. Der Grund für beides sind wohl persönliche Differenzen.

Natürlich muss man sich im Klaren sein, dass suid root möglicherweise ein Sicherheitsrisiko bedeutet. Für ein Ein-Benutzer-System ist es u.U. das Beste, das suid-Bit nicht zu setzen, aber dafür nur als root zu brennen. Für ein Mehr-Benutzer-System, bei dem auch Leute brennen sollen, die kein Root-Passwort bekommen sollen, ist suid root aber wohl die bessere Lösung. Schade, dass k3b nicht einen cdrecord-wrapper via sudo vorsieht.

----------

## Polynomial-C

Ob das wirklich nur persönliche Differenzen sind, kann ich mir nicht vorstellen.

Soweit ich das noch in Erinnerung habe, geht es einfach nur darum, daß ein Teil der cdrtools-Paketmaintainer diverser Distributionen der Meinung sind, daß SUID-root für cdrecord unnötig und sogar potentiell gefährlich ist. Jörg Schilling sieht das natürlich anders und besteht darauf, daß cdrecord ohne SUID-root auf Linuxkernel >=2.6.8.1 bestimmte SG_IO-Befehle nicht als user absetzen darf, was bei Versionen zwischen 2.6.8.1 und 2.6.11 auch zutrifft, in späteren Versionen des Kernels allerdings  nicht mehr (zumidnest in den Tests, die ich damals, als das Thema gerade "heiß" war, gemacht hatte).

Was nun stimmt und ob SUID-root wirklich nötig ist, soll jeder für sich selbst entscheiden. Ich persönlich habe das SUID-bit länger nicht mehr benötigt, um problemlos brennen zu können (vielleicht auch, weil ich cdrkit verwende  :Very Happy: ). 

Man sollte allerdings berücksichtigen, daß Jörg Schilling schon seit Jahren ein Problem mit Linux zu haben scheint, immer wieder FUD der schlimmsten Sorte über Linuxkernel / Distributionen / andere Programmierer verbreitet und generell sehr schwierig im Umgang ist, gerade wenn es um Probleme mit seiner Software geht, die unter Linux auftreten.

----------

## mrsteven

cdrkit brennt auch ohne dass wodim und Konsorten SUID-root sind. K3B kann seit ein paar Versionen auch mit cdrkit umgehen, somit ist cdrkit eigentlich für die meisten Fälle ausreichend. Jedenfalls ist mir seitdem wurscht, was Schilling meint...  :Wink: 

----------

## hitachi

@papahuhn: Danke. Mir war wohl schon beim schreiben bewusst, dass ich irgend eine wichtige Quelle übersehen hatte.

@alle: Jetzt bleibt nur noch die wichtigste Frage: Wie mache ich cdrecord zu suid root Installation?

Weiterhin möchte ich klar stellen, dass ich keine Diskusion über das Thema cdrkit vs. cdrtools und über Jörg Schilling möchte. Das Netz scheint voll davon zu sein. Ich suche nur eine Antwort auf eine technische Frage, die durch meine Unerfahrenheit auftritt. (Wer hat mich eigentlich jemals vom n00b1 zu was anderem befördert?)

----------

## Polynomial-C

 *hitachi wrote:*   

> (Wer hat mich eigentlich jemals vom n00b1 zu was anderem befördert?)

  Dein postcount, was sonst?  :Wink: 

Zu deiner eigentlichen Frage:

```
chmod -v u+s $(which cdrecord)
```

 wenn du es manuell machen möchtest. Andernfalls bliebe dir nur noch die Möglichkeit, die von dir verwendeten cdrtools-ebuilds umzuschreiben...

----------

## mv

 *mrsteven wrote:*   

> cdrkit brennt auch ohne dass wodim und Konsorten SUID-root sind.

 

Jein: Es soll zwar brennen, aber da Jörg Schilling zufolge unter Nicht-Root-Rechten einige Features fehlen (gewisse nicht-standardisierte Befehle sollen nicht funktionieren, wie Polynomial-C schon schrieb, und es soll auch irgendwelche Einschränkungen beim Setzen von Prioritäten geben, was zu Puffer-Unterläufen führen kann), würde ich nicht damit rechnen, dass die gebrannte CD/DVD die selbe Qualität hat wie eine mit root-Rechten gebrannte.

Ich habe nicht die Hardware, um das Brennergebnis zu überprüfen, und bin erst recht kein Hardwarespezialist, der Jörgs Aussagen ohne Experiment beurteilen kann. Im Zweifelsfall vertraue ich da aber den Aussagen des Entwicklers, denen m.W. auch nie widersprochen wurde: In den Diskussionen ging es immer nur darum, ob nicht auch ein schlechteres Ergebnis aus Sicherheitsgründen akzeptabel sei. Dass Jörg über den cdrkit-Fork nicht glücklich ist, der i.W. nichts anderes getan hat, als Jörgs Test auf "root" auszubauen, der das schlechtere Brennergebnis vermeiden soll, kann ich da sehr gut nachvollziehen. (Ganz abgesehen davon, dass wodim auf einer älteren Version von cdrecord basiert, die bei einigen Brennern noch weitere Probleme haben soll).

 *Polynomial-C wrote:*   

> Ob das wirklich nur persönliche Differenzen sind, kann ich mir nicht vorstellen.

 

Das liegt klar auf der Hand: Gentoos Politik war es immer, die Vorstellungen von Upstream möglichst gut umzusetzen (was teilweise sogar ganz grotesk wird, etwa wenn kde von avahi/mDNSResponder abhängt oder sdlmame von gnome [letzteres z.B. trotz existierenden Patches, weil Upstream unbedingt will, dass man im Debugger den Font mit dem gnome-Menü wählen kann]). Darüber kann man sich nicht beschweren, wenn es halt Gentoos Politik ist, Upstreams Wünschen zu folgen. Dass bei cdrtools aber trotz mehrmaliger Bugreports und dem ganz eindeutigen Wunsch des Upstream-Autors das Programm nicht suid root installiert wird, ja nicht einmal optional und nicht einmal darauf hingewiesen wird, zeigt, dass Gentoos Politik hier bewusst und ohne technische Gründe verletzt wird.

```
chmod -v u+s $(which cdrecord)
```

cdrecord ist per Default der Gruppe bin:bin zugeordnet. Das muss man auch ändern:

```
chown -v root:root $(which cdrecord)
```

----------

