KeyHelp Firewall "sudo: no tty present and no askpass program specified" [GELÖST]

[space2place]

Moin zusammen,
ich wollte gerade auf einem Server die Firewall aktivieren und erhalte beim speichern folgende Meldung:

Code: Select all

Fehler beim Übernehmen der Firewall-Regeln.

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

sudo: no tty present and no askpass program specified

Auf dem Server läuft Debian 10 mit der aktuellsten KeyHekp Version.
Die Datei "/etc/sudoers.d/keyhelp" sieht erst einmal gut für mich aus:

Code: Select all

# Manage system services
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/service

# Mail queue management
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/postsuper

# Server reboot
keyhelp ALL = (ALL) NOPASSWD: /sbin/reboot

# Process management
keyhelp ALL = (ALL) NOPASSWD: /bin/kill

# Disk usage
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/du
keyhelp ALL = (ALL) NOPASSWD: /usr/bin/test

# Firewall
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables, /sbin/iptables
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-restore, /sbin/iptables-restore
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/iptables-save, /sbin/iptables-save
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables, /sbin/ip6tables
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables-restore, /sbin/ip6tables-restore
keyhelp ALL = (ALL) NOPASSWD: /usr/sbin/ip6tables-save, /sbin/ip6tables-save

# Last line must be empty, do not trim!

In der "auth.log" erhalte ich diese Meldung

Code: Select all

Dec  9 07:22:57 srv01 sudo:  keyhelp : command not allowed ; TTY=unknown ; PWD=/home/keyhelp/www/keyhelp ; USER=root ; COMMAND=iptables-restore --test /tmp/keyhelp/firewall-config-ipv4

Bevor ich jetzt hier selbst rumschraube, wollte ich erst einmal nachfragen ob das ein bekanntes Problem ist.

Gruß
Sascha

[Alexander]

Hallo,

da ist aktuell nichts bekannt. Ich kann es leider nicht reproduzieren. Wenn du die Ursache gefunden hast, sag gern nochmal Bescheid, woran es lag.

[space2place]

Moin Alex,
das war jetzt sehr komisch. Das Paket "iptables-persistent" hat gefehlt. Deswegen kam diese Meldung.
Nachdem ich es nachinstlliert habe konnte ich die Firewall auch aktiv schalten. Wundert mich nur das es nicht installiert wurde.

Gruß
Sascha

[Alexander]

Nun braucht KeyHelp das Paket "iptables-persistent" aber gar nicht . Die Persistenz wird über andere Wege hergestellt, ohne das zusätzliche Pakete installiert werden müssen.

Sicher das in diesem Zuge nicht auch noch ein anderes Paket installiert wurde?

[space2place]

Es haben aber die Binaries "iptables-save" und "iptables-restore" gefehlt.
Ein which "iptables-restore" oder "iptables-save" war eine leere Ausgabe. Deswegen kamen auch die Fehler in der "auth.log"

[Alexander]

Das Paket "iptables-persistent" sorgt dafür, das iptables Firewall-Regeln einen Reboot des Systems "überleben".
(Wie gesagt, im KeyHelp wird das anders gelöst). Das Paket ist optional.

iptables-save und iptables-restore sind hingegen zwingend erforderlich und sollten eigentlich Teil des Standard-Pakets "iptables" sein.

Wenn du magst, kannst du also "iptables-persistent" wieder entfernen und zur Sicherheit (nicht das er dir zu viel löscht) anschließend nochmal "apt-get install iptables" ausführen.

[space2place]

Danke Alex.
Nach dem deinstallieren von "iptables-persistent" waren die Binaries noch vorhanaden. Nur komisch das die nicht von Anfang an da waren.
Das war ein Server von Host Europe. Der wurde mit der Grundinstallation Debian 10 installiert und anschließend direkt KeyHelp drauf.
Wichtig ist, daß jetzt alles funktioniert.

Gruß
Sascha