PrivacyPulseGuide

Blog

  • OpenWrt 25.12 & sudo-rs: Zwei Linux-Änderungen, die Admins diese Woche kennen sollten

    Was heute auffällt: zwei kleine Änderungen mit großer Wirkung

    In den tagesaktuellen Linux-News stechen diese Woche zwei Themen heraus, die auf den ersten Blick unspektakulär wirken, im Alltag von Admins aber schnell echte Auswirkungen haben: OpenWrt 25.12 stellt seinen Paketmanager um (weg von opkg, hin zu apk), und sudo-rs ändert das Default-Verhalten bei der Passworteingabe (standardmäßig mit *-Feedback statt „stumm“).

    Beide Änderungen sind technisch nachvollziehbar – und beide sind Beispiele dafür, wie stark „Defaults“ Sicherheit, Betrieb und Support-Aufwand beeinflussen.

    1) OpenWrt 25.12: Paketmanager-Wechsel auf APK

    OpenWrt ist in vielen Heim- und KMU-Setups das Herzstück des Netzwerks. Mit Version 25.12 vollzieht das Projekt einen klaren Schnitt: Der bisherige opkg-Fork gilt als nicht mehr gepflegt, deshalb wird APK (Alpine Package Keeper) neuer Standard.

    Warum das relevant ist

    • Kompatibilität im Betrieb: Viele Howtos, Automations-Skripte und Runbooks setzen opkg voraus.
    • Neue Syntax: Paketnamen bleiben oft ähnlich, aber die Bedienung ändert sich.
    • Upgrade-Mechanik: OpenWrt integriert „Attended Sysupgrade“ stärker, um Upgrades inkl. installierter Pakete reproduzierbar zu machen.

    Was sich praktisch ändert: opkg vs. apk

    Wenn du Geräte oder Playbooks betreust, lohnt sich ein kurzer „Muskelgedächtnis“-Reset. Ein Minimal-Spickzettel:

    # Pakete aktualisieren (Index)
apk update

# Paket installieren
apk add tcpdump

# Paket entfernen
apk del tcpdump

# Paketinfos
apk info tcpdump

    Hinweis: In Bestandsumgebungen wird die Umstellung nicht überall sofort schmerzfrei sein – besonders dann, wenn du auf kleinen Routern mit wenig Flash automatisiert arbeitest und nur selten „Hands-on“ Zugriff hast.

    Upgrade ohne böse Überraschungen: Checkliste

    • Vorher Backup ziehen: Konfiguration exportieren, bevor du das Image erneuerst.
    • Pakete inventarisieren: Welche Zusatzpakete sind installiert, welche sind „nice-to-have“, welche kritisch?
    • Automations-Skripte prüfen: Alles, was opkg aufruft, anpassen oder sauber abfangen.
    • Staged Rollout: Erst ein weniger kritisches Gerät upgraden, dann die „Core“-Router.

    2) sudo-rs: Passworteingabe zeigt jetzt standardmäßig Asteriske

    sudo-rs ist eine in Rust geschriebene, speichersichere Neuimplementierung von sudo. Ein kürzlich gemergter Change aktiviert pwfeedback standardmäßig: Bei der Passworteingabe erscheinen Asteriske * im Terminal.

    Sicherheits- vs. UX-Abwägung

    • Pro UX: Weniger Verwirrung bei Einsteigern (“es passiert doch was!”).
    • Contra Security: Die Passwortlänge wird sichtbar (Shoulder Surfing / Videoaufnahmen / Screen-Sharing).

    In hochsensiblen Umgebungen ist das kein theoretisches Thema: Bei Pairing-Sessions, Remote-Support oder aufgezeichneten Terminals kann die Längeninformation in Kombination mit anderen Leaks relevant werden.

    So stellst du das klassische Verhalten wieder her

    Wenn du das traditionelle, stille Prompt-Verhalten willst, kannst du es in der sudoers-Konfiguration zurückdrehen:

    # /etc/sudoers oder /etc/sudoers.d/*
Defaults !pwfeedback

    Wichtig: Setze Änderungen an sudoers immer über visudo, um dich nicht auszusperren.

    Was bedeutet das für Docker-/Linux-Setups im Alltag?

    Auch wenn die beiden Meldungen nicht direkt „Docker-News“ sind, berühren sie typische DevOps-Realitäten:

    • Immutable vs. mutable Systeme: OpenWrt-Upgrades werden besser, wenn Images reproduzierbar gebaut werden – eine Denkweise, die wir aus Container-Workflows kennen.
    • Defaults als Policy: sudo-rs zeigt, wie UX-Entscheidungen sicherheitsrelevante Nebenwirkungen haben. Das gilt genauso für Base-Images, Kubernetes Admission Policies oder Docker Daemon Defaults.
    • Dokumentation altert schnell: Ein einziger Default-Change kann eine ganze Wissensbasis entwerten (Wiki, Runbooks, Onboarding).

    Empfehlungen (kurz & pragmatisch)

    1. OpenWrt: Plane die Umstellung auf APK bewusst ein und aktualisiere Skripte/Runbooks. Wer mehrere Geräte betreibt, sollte ein Rollout-Konzept definieren.
    2. sudo-rs: Entscheide explizit, ob Passwort-Feedback in deiner Umgebung akzeptabel ist. Für Shared-Terminals, Screen-Sharing oder Security-Training ist „stumm“ oft die bessere Default-Wahl.
    3. Team-Communications: Kommuniziere Default-Änderungen proaktiv – sie erzeugen sonst Support-Tickets („Mein sudo ist kaputt“ / „opkg geht nicht mehr“).

    Affiliate-Hinweis

    Wenn du OpenWrt-Geräte oder Security-Hardware suchst, findest du passende Produkte hier: Affiliate-Link-Platzhalter.

    Quellen

  • Testpost (API)

    Hallo Nico – das ist ein erster Test-Post, erstellt ueber die WordPress REST API via Application Password.

    Wenn du willst, passe ich Titel, Inhalt, Kategorien/Tags und Featured Image an.

  • Hello world!

    Welcome to WordPress. This is your first post. Edit or delete it, then start writing!