Server Support Forum
Anzeige:


Zurück   Server Support Forum > Betriebssysteme > Linux


Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1  
Alt 06.07.2012, 02:39
Ron Ron ist offline
Registered User
 
Registriert seit: 07.2012
Beiträge: 6
Frage Root-Rechte an einen User vergeben?

Hallo zusammen,

ich wollte mal fragen ob es sinnvoll ist einen User mit Root-Rechten einzurichten, da ich gehört habe das der Username "root" ja überall verbreitet ist. Ich hatte mir dadurch gehofft wenn ich den Zugang mit dem Loginnamen "root" sperre und mir die Rechte auf einen anderen Loginnamen gebe, es viel schwerer wäre dieses zu knacken. Ich hoffe ich bin mit meinem Gedankengang nicht ganz falsch. *g

Die Frage wäre dann nur, wie ich einem Benutzer volle Root-Zugriffe für den VServer gebe und gleichzeitig den Loginnamen "root" sperre.

Danke im Vorraus für eure Hilfe.

Liebe Grüße, Ron.
Mit Zitat antworten

  #2  
Alt 06.07.2012, 03:08
Registered User
 
Registriert seit: 10.2008
Beiträge: 55

Hallo,

ganz einfach gesagt, guck dir den Befehl 'sudo' mal an, der sollte bei soetwas meiner Meinung nach, das bevorzugte Werkzeug sein.

Ansonsten wüsste ich zwar wege, aber diese sind nicht 'von der feinen Art'
Mit Zitat antworten
  #3  
Alt 06.07.2012, 05:04
Support Guru
 
Registriert seit: 10.2008
Beiträge: 2.577

Solange wir nicht von kaputter Software (wie z.B. Plesk) reden ist der Superuser der mit der UID 0 und nicht der mit dem Namen root.

Aber wie sammy schon schrieb: sudo (alternativ su) ist hier das Mittel der Wahl, ein Login mit root haben hier viele gesperrt.
Mit Zitat antworten
  #4  
Alt 06.07.2012, 11:40
Benutzerbild von Thunderbyte
Moderator
 
Registriert seit: 01.2006
Alter: 38
Beiträge: 5.835

Ergänzend zu diesen Ausführungen: man legt einen normalen User an. Dieser User loggt sich normal ein. Wenn Root Rechte gebraucht werden, kann er sich mit "su" dauerhaft zum Superuser (=root) machen (z.B. unter Debian), oder - wie bei Ubuntu, wo das nicht geht - man verwendet "sudo" vor jedem Befehl der mit Rootrechten ausgeführt werden soll. Logischerweise muss man dann das Rootpasswort angeben.

TIP: Man sollte den Login mit dem normalen Nutzer testen, BEVOR man den root SSH Login sperrt. Auch muss der SSH Dienst wohl neu gestartet werden, bevor diese Konfigurationsänderung aktiv ist (in der Regel mit "etc/init.d/ssh restart").
__________________

...Der Werdegang eines Rootserveradmins...
Mit Zitat antworten
  #5  
Alt 06.07.2012, 11:43
Benutzerbild von wstuermer
Support Guru
 
Registriert seit: 04.2007
Ort: Hürth
Alter: 34
Beiträge: 2.910
wstuermer eine Nachricht über ICQ schicken

Zitat:
Zitat von Thunderbyte Beitrag anzeigen
Logischerweise muss man dann das Rootpasswort angeben.
Du gibst natürlich das USER-Passwort an. root hat unter Ubuntu kein Passwort - bzw. auch keinen PW-Hash, weshalb der Login als root auch nicht funktioniert.
In dem Moment, wo du ein "sudo passwd root" erfolgreich durchführst, ist auch der Login per SSH möglich.
Mit Zitat antworten
  #6  
Alt 06.07.2012, 11:48
Benutzerbild von Thunderbyte
Moderator
 
Registriert seit: 01.2006
Alter: 38
Beiträge: 5.835

Da hast Du natürlich recht. Bin ein Debian Warrior....
__________________

...Der Werdegang eines Rootserveradmins...
Mit Zitat antworten
  #7  
Alt 06.07.2012, 14:08
Benutzerbild von Joe User
R​o​o​t​F​o​r​u​m Team
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 36
Beiträge: 2.863

Zitat:
Zitat von wstuermer Beitrag anzeigen
Du gibst natürlich das USER-Passwort an.
Ist das wirklich so? Dann hätte ein Angreifer also root-Rechte ohne den root-Account knacken zu müssen? Ist sudo unter Ubuntu also so kaputt gepatched dass selbst bei gesetztem root-Passwort nur das User-Passwort abgefragt wird?

Nutzerfreundlichkeit ist ja duchaus lobenswert, aber doch nicht auf solch hohe Kosten der Sicherheit...
__________________
Ist ein dedizierter Server das Richtige für mich? ¤ Vorgehensweise bei gehacktem Server ¤ FreeBSD Remote Installation ¤ RootForum Community ¤ RootWiki
„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #8  
Alt 06.07.2012, 15:08
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 31
Beiträge: 1.332
DeaD_EyE eine Nachricht über ICQ schicken

Sehr gute Frage. Ich würde mal einfach behaupten, dass die die 'sudoers' angepasst haben. Dabei ist wohl der erste angelegte User der auch Rechte für sudo bekommt. Ich persönlich mag das nicht. Debian nervt auch so langsam. Da gibt es einige Sachen, die bei der Standard-Installation eines Servers einfach ein NO-GO sind.
Mit Zitat antworten
  #9  
Alt 06.07.2012, 15:32
Benutzerbild von Thunderbyte
Moderator
 
Registriert seit: 01.2006
Alter: 38
Beiträge: 5.835

Zitat:
Zitat von Joe User Beitrag anzeigen
Ist das wirklich so? Dann hätte ein Angreifer also root-Rechte ohne den root-Account knacken zu müssen? Ist sudo unter Ubuntu also so kaputt gepatched dass selbst bei gesetztem root-Passwort nur das User-Passwort abgefragt wird?
Das funktioniert natürlich nur, wenn vorher der Nutzer auch der sudoer Liste hinzugefügt wurde. Aber dann ist es wohl wirklich das Userpasswort.
__________________

...Der Werdegang eines Rootserveradmins...
Mit Zitat antworten
  #10  
Alt 06.07.2012, 15:54
Benutzerbild von wstuermer
Support Guru
 
Registriert seit: 04.2007
Ort: Hürth
Alter: 34
Beiträge: 2.910
wstuermer eine Nachricht über ICQ schicken

Der erste angelegte User (während der Install) bekommt ein ~/.sudo_as_admin_successful

Was mich an der Stelle nun aber interessiert - und ich die Tage mal testen werde - was passiert, wenn ich die Datei einfach bei einem anderen User anlege. Ob der dann auch einfach sudo darf, obwohl er nicht in der /etc/sudoers steht.
Mit Zitat antworten
  #11  
Alt 06.07.2012, 16:02
Benutzerbild von Joe User
R​o​o​t​F​o​r​u​m Team
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 36
Beiträge: 2.863

Zitat:
Zitat von Thunderbyte Beitrag anzeigen
Aber dann ist es wohl wirklich das Userpasswort.
OK, ich habe nochmal schnell die Manpage gelesen und das ist das Standardverhalten. Da ich selbst ausschliesslich su verwende, war ich von identischem Verhalten ausgegangen :-/

Aber dem ersten User per Default root-Rechte per sudo zu geben, ist trotzdem inakzeptabel. Daher mangels Ubuntu die Frage, ob der erste User uneingeschränkt Befehle als root ausführen darf, oder nur auserwählte?
__________________
Ist ein dedizierter Server das Richtige für mich? ¤ Vorgehensweise bei gehacktem Server ¤ FreeBSD Remote Installation ¤ RootForum Community ¤ RootWiki
„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #12  
Alt 06.07.2012, 16:04
Benutzerbild von wstuermer
Support Guru
 
Registriert seit: 04.2007
Ort: Hürth
Alter: 34
Beiträge: 2.910
wstuermer eine Nachricht über ICQ schicken

Das definiert sich zusätzlich über die Zugehörigkeit zur Gruppe 'admin', die wie folgt definiert ist.
Code:
%admin ALL=(ALL) NOPASSWD: ALL
Mit Zitat antworten
  #13  
Alt 06.07.2012, 16:13
Benutzerbild von Joe User
R​o​o​t​F​o​r​u​m Team
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 36
Beiträge: 2.863

Nett, also exakt der Default, der Microsoft immer als unsicher vorgeworfen wird...
__________________
Ist ein dedizierter Server das Richtige für mich? ¤ Vorgehensweise bei gehacktem Server ¤ FreeBSD Remote Installation ¤ RootForum Community ¤ RootWiki
„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #14  
Alt 06.07.2012, 16:44
Registered User
 
Registriert seit: 09.2010
Ort: Halle (Saale)
Beiträge: 1.749

Nein, weil du immer nochmal dein Passwort eingeben musst. Zumindest ist das bei allen Ubuntus so, die ich kenne.
Mit Zitat antworten
  #15  
Alt 06.07.2012, 17:10
Benutzerbild von Joe User
R​o​o​t​F​o​r​u​m Team
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 36
Beiträge: 2.863

http://technet.microsoft.com/en-us/l...5%28v=ws.10%29
Wenn $User per RunAs zu $Admin werden will, muss er das Passwort von $Admin angeben und nicht wie bei sudo das Passwort von $User. Also ist RunAs zumindest in diesem Punkt sicherer als sudo
__________________
Ist ein dedizierter Server das Richtige für mich? ¤ Vorgehensweise bei gehacktem Server ¤ FreeBSD Remote Installation ¤ RootForum Community ¤ RootWiki
„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
vsftp FTP-"Root" für einen User verbiegen vserverix FTP 3 21.09.2010 14:01
no root login -> Wie root rechte unter WinSCP erlangen? gbit Security 4 10.06.2009 16:19
Zugrifsrechte für einen Softlink vergeben hukido Virtuelle Server 4 10.09.2007 12:54
Rechte für User stoertebeker Security 1 08.02.2006 19:19
User einige Rechte des Root zuteilen? net-spacy Security 1 20.09.2005 14:16





Powered by vBulletin® Version 3.8.8 (Deutsch)
Copyright ©2000 - 2014, vBulletin Solutions, Inc.
Content Relevant URLs by vBSEO ©2011, Crawlability, Inc.