PrivacyPulseGuide

OpenWrt 25.12 & sudo-rs: Zwei Linux-Änderungen, die Admins diese Woche kennen sollten

Written by

itsMe

in

Was heute auffällt: zwei kleine Änderungen mit großer Wirkung

In den tagesaktuellen Linux-News stechen diese Woche zwei Themen heraus, die auf den ersten Blick unspektakulär wirken, im Alltag von Admins aber schnell echte Auswirkungen haben: OpenWrt 25.12 stellt seinen Paketmanager um (weg von opkg, hin zu apk), und sudo-rs ändert das Default-Verhalten bei der Passworteingabe (standardmäßig mit *-Feedback statt „stumm“).

Beide Änderungen sind technisch nachvollziehbar – und beide sind Beispiele dafür, wie stark „Defaults“ Sicherheit, Betrieb und Support-Aufwand beeinflussen.

1) OpenWrt 25.12: Paketmanager-Wechsel auf APK

OpenWrt ist in vielen Heim- und KMU-Setups das Herzstück des Netzwerks. Mit Version 25.12 vollzieht das Projekt einen klaren Schnitt: Der bisherige opkg-Fork gilt als nicht mehr gepflegt, deshalb wird APK (Alpine Package Keeper) neuer Standard.

Warum das relevant ist

  • Kompatibilität im Betrieb: Viele Howtos, Automations-Skripte und Runbooks setzen opkg voraus.
  • Neue Syntax: Paketnamen bleiben oft ähnlich, aber die Bedienung ändert sich.
  • Upgrade-Mechanik: OpenWrt integriert „Attended Sysupgrade“ stärker, um Upgrades inkl. installierter Pakete reproduzierbar zu machen.

Was sich praktisch ändert: opkg vs. apk

Wenn du Geräte oder Playbooks betreust, lohnt sich ein kurzer „Muskelgedächtnis“-Reset. Ein Minimal-Spickzettel:

# Pakete aktualisieren (Index)
apk update

# Paket installieren
apk add tcpdump

# Paket entfernen
apk del tcpdump

# Paketinfos
apk info tcpdump

Hinweis: In Bestandsumgebungen wird die Umstellung nicht überall sofort schmerzfrei sein – besonders dann, wenn du auf kleinen Routern mit wenig Flash automatisiert arbeitest und nur selten „Hands-on“ Zugriff hast.

Upgrade ohne böse Überraschungen: Checkliste

  • Vorher Backup ziehen: Konfiguration exportieren, bevor du das Image erneuerst.
  • Pakete inventarisieren: Welche Zusatzpakete sind installiert, welche sind „nice-to-have“, welche kritisch?
  • Automations-Skripte prüfen: Alles, was opkg aufruft, anpassen oder sauber abfangen.
  • Staged Rollout: Erst ein weniger kritisches Gerät upgraden, dann die „Core“-Router.

2) sudo-rs: Passworteingabe zeigt jetzt standardmäßig Asteriske

sudo-rs ist eine in Rust geschriebene, speichersichere Neuimplementierung von sudo. Ein kürzlich gemergter Change aktiviert pwfeedback standardmäßig: Bei der Passworteingabe erscheinen Asteriske * im Terminal.

Sicherheits- vs. UX-Abwägung

  • Pro UX: Weniger Verwirrung bei Einsteigern (“es passiert doch was!”).
  • Contra Security: Die Passwortlänge wird sichtbar (Shoulder Surfing / Videoaufnahmen / Screen-Sharing).

In hochsensiblen Umgebungen ist das kein theoretisches Thema: Bei Pairing-Sessions, Remote-Support oder aufgezeichneten Terminals kann die Längeninformation in Kombination mit anderen Leaks relevant werden.

So stellst du das klassische Verhalten wieder her

Wenn du das traditionelle, stille Prompt-Verhalten willst, kannst du es in der sudoers-Konfiguration zurückdrehen:

# /etc/sudoers oder /etc/sudoers.d/*
Defaults !pwfeedback

Wichtig: Setze Änderungen an sudoers immer über visudo, um dich nicht auszusperren.

Was bedeutet das für Docker-/Linux-Setups im Alltag?

Auch wenn die beiden Meldungen nicht direkt „Docker-News“ sind, berühren sie typische DevOps-Realitäten:

  • Immutable vs. mutable Systeme: OpenWrt-Upgrades werden besser, wenn Images reproduzierbar gebaut werden – eine Denkweise, die wir aus Container-Workflows kennen.
  • Defaults als Policy: sudo-rs zeigt, wie UX-Entscheidungen sicherheitsrelevante Nebenwirkungen haben. Das gilt genauso für Base-Images, Kubernetes Admission Policies oder Docker Daemon Defaults.
  • Dokumentation altert schnell: Ein einziger Default-Change kann eine ganze Wissensbasis entwerten (Wiki, Runbooks, Onboarding).

Empfehlungen (kurz & pragmatisch)

  1. OpenWrt: Plane die Umstellung auf APK bewusst ein und aktualisiere Skripte/Runbooks. Wer mehrere Geräte betreibt, sollte ein Rollout-Konzept definieren.
  2. sudo-rs: Entscheide explizit, ob Passwort-Feedback in deiner Umgebung akzeptabel ist. Für Shared-Terminals, Screen-Sharing oder Security-Training ist „stumm“ oft die bessere Default-Wahl.
  3. Team-Communications: Kommuniziere Default-Änderungen proaktiv – sie erzeugen sonst Support-Tickets („Mein sudo ist kaputt“ / „opkg geht nicht mehr“).

Affiliate-Hinweis

Wenn du OpenWrt-Geräte oder Security-Hardware suchst, findest du passende Produkte hier: Affiliate-Link-Platzhalter.

Quellen

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts