vdr als root laufen lassen - was spricht konkret dagegen?

    Ich hatte bisher meine selbst aufgezogenen VDRs immer so konfiguriert, dass vdr als root lief. Die Maschine ist ausschließlich als VDR im Einsatz und hängt über einen Router im Netz. Meine Überlegung war bisher, dass vdr für 99% der Platte (die Video-Partition) sowieso Schreibrechte hat, und der Rest könnte für den Fall, dass vdr Amok läuft und was zerschießt, leicht wieder hergestellt werden. In all den Jahren, in denen ich ein PVR350-System laufen hatte, gab es auch nie Probleme.

    Für den neuen VDR mit softhddevice, den ich allmählich hochziehe, wollte ich eigentlich vdr unter meinem Usernamen laufen lassen. Allerdings hat sich gezeigt, dass das doch nicht ganz so trivial ist. Für shutdown mit acpi-wakeup brauche ich einen wrapper, und das Setzen der Systemzeit durch vdr anhand der Transponderdaten soll wohl auch nicht unproblematisch sein. Insofern frage ich mich jetzt, welche konkreten Gefahren ich eigentlich eingehe, wenn ich vdr weiterhin als root laufen lasse.

    In welchen Fällen haltet Ihr das für vertretbar, und wann nicht? Was machen diejenigen, die keine Fertig-Distri benutzen, sondern das System selbst aufgesetzt haben?

    VDR1: Odroid N2+ mit CoreELEC und Ubuntu in chroot, 2x WinTV DualHD, Sandisk 2TB SSD

    VDR2: Tanix TX3 mit VDR*ELEC, WinTV DualHD, 500GB SSD

    Meine vdrs laufen unter Debian schon immer als root und es gab nie irgendwelche Probleme deswegen.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Alle meine VDRs laufen als root, denn diese Maschinen sind genau dazu da und für sonst nix.

    In den ganzen Jahren hat iirc VDR noch nie die Maschine gecrasht.
    Wenn, dann war es ein Treiber, bei mir meistens ein USB-Treiber (ehci_hcd :§$% ).

    VDR selbst halte ich für unproblematisch.

    Man muß allerdings auch an Plugins denken:
    Ich würde keinen VDR unter root laufen lassen, wenn da ein Plugin läuft, das sich mit dem Internet verbindet.

    CU
    Oliver

    Quote from Dr. Seltsam

    Für den neuen VDR mit softhddevice, den ich allmählich hochziehe, wollte ich eigentlich vdr unter meinem Usernamen laufen lassen. Allerdings hat sich gezeigt, dass das doch nicht ganz so trivial ist. Für shutdown mit acpi-wakeup brauche ich einen wrapper, und das Setzen der Systemzeit durch vdr anhand der Transponderdaten soll wohl auch nicht unproblematisch sein. Insofern frage ich mich jetzt, welche konkreten Gefahren ich eigentlich eingehe, wenn ich vdr weiterhin als root laufen lasse.


    Da muss man aber ganz klar differenzieren.

    Startest du den VDR als User, oder startest du den VDR als root, der sich dann selbst auf einen User degradiert.
    Zweiteres ist absolut unproblematisch. Denn dann nimmt der VDR die Rechte fürs Zeitsetzen mit.

    Du brauchst nur den von dir angesprochenen Wrapper um das ACPI-Wakeup zu setzen.
    Shutdown geht theoretisch auch als User.

    Es ist eigentlich so unproblematisch, dass man die Frage eher umdrehen sollte. Warum den VDR als Root laufen lassen?

    VDR4Arch ➡️ Die VDR Distribution für Arch Linux

    Quote from Dr. Seltsam


    Für den neuen VDR mit softhddevice, den ich allmählich hochziehe, wollte ich eigentlich vdr unter meinem Usernamen laufen lassen.

    Ich kenne das eher so, dass man für Daemons sogar spezielle User anlegt (oft heißt der dann auch "vdr").

    Quote


    Allerdings hat sich gezeigt, dass das doch nicht ganz so trivial ist. Für shutdown mit acpi-wakeup brauche ich einen wrapper, und das Setzen der Systemzeit durch vdr anhand der Transponderdaten soll wohl auch nicht unproblematisch sein.

    Beides unproblematisch. Den Link auf meinen Wrapper-Sourcecode habe ich dir ja gepostet und wenn es da weitere Fragen gibt, dann nur zu.

    Quote

    Was machen diejenigen, die keine Fertig-Distri benutzen, sondern das System selbst aufgesetzt haben?

    Da ich meine Pakete für Archlinux basierend auf den vdr4arch-PKGBUILDs selber kompiliere würde ich schon sagen, dass ich alles selber aufgesetzt habe und bei mir läuft der VDR im Kontext des Users "vdr".

    Wie du es aber machst ist deine Sache. Die meisten Kaufgeräte haben auch ein "Single-User-Root-Setup".

    Generell gilt halt, dass man als "root" mehr kaputt machen kann. Gerade wenn man, wie ich, gerne etwas rund um den VDR herumscriptet oder auch mal "VDR-Fremde" Programme zusätzlich starten will (z.B. Firefox zum Surfen auf dem TV) ist eine Rechtebeschränkung sicher eine gute Idee.

    Die Generelle Regel ist, das Dienste die über das Netzwerk ansprechbar sind nicht als root laufen sollten. Ich glaube nicht das VDR und Plugins (Live) schon jemand einen Pentest unterzogen hat.

    Machen kannst du es wie du willst - aber ich würds nicht machen (VDR als root)

    Wie schon gesagt wurde, 3 kleine Settings und du hast keine Probleme. Läuft auf Debian und Ubuntu und yavdr ja auch :)

    VDR User: 87 - LaScala LC14B - LG/Phillipps 6,4" VGA Display | Asrock H61/U3S3 | G630T | 1x 16GB Mobi Mtron 3035 1x WD 750GB 2,5" |1x L4m DVB-S2 Version 5.4

    vdr-wiki YaVDR |YaVDR Blog

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login