Re: [Debian]: Sicherheitsrisiko Rootaccount ohne Passwort

To: Andre Langemeyer <ALangemeyer@knuut.de>
Cc: debian-user-de@jfl.de, dlug-list@hsp.de
Subject: Re: [Debian]: Sicherheitsrisiko Rootaccount ohne Passwort
From: Marcus Brinkmann <Marcus.Brinkmann@ruhr-uni-bochum.de>
Date: Sun, 16 May 1999 14:38:08 +0200
Message-id: <[🔎] 19990516143807.D256@flora.ruhr-uni-bochum.de>
In-reply-to: <[🔎] 37399C4B.5B5E6C14@knuut.de>; from Andre Langemeyer on Wed, May 12, 1999 at 05:20:43PM +0200
References: <37399B85.38F7A885@knuut.de> <[🔎] 37399C4B.5B5E6C14@knuut.de>

On Wed, May 12, 1999 at 05:20:43PM +0200, Andre Langemeyer wrote:
>  
> M.a.W. es ist grundsätzlich möglich unter Debian Rootkonten ohne
> Passwort anzulegen, was haltet Ihr davon?

Hallo Andre,

ich möchte Dir jetzt mal sagen, warum das in Unix allgemein möglich ist:
Weil root, der Systemadministrator ALLES machen darf.

Mit den Root Rechten darfst Du zum Beispiel:

* das Login Programm ersetzen durch eins, was automatisch als root einlogged
  (sogar ohne username+passwort).
* die Sysstembibliotheken so abändern, daß überhaupt nicht mehr
  Unterschieden wird zwischen mehreren Benutzern.
* etc etc.

Als root darfts Du alles. Du darfst AUCH das root Passwort löschen. Es würde
KEINE zusätzliche Sicherheit geben, daß zu verbieten, denn Du kannst immer
noch die Passwort Datei von Hand ändern, und die glibc so ändern, daß das
Passwort gar nicht geprüft wird (oder ein leeres Paßwort akzeptiert wird).

Das System (z.B. Debian), KANN nicht verhindern, daß der Systemadministrator
die Sicherheit seines Systems in den Sand setzt.

Nun willst Du vielleicht argumentieren, daß das System es ein bißchen
schwerer machen könnt, gegen gute Regeln zu verstoßen. Klar. Aber nicht auf
Kosten von Flexibilität.

Die Flexibilität liegt zum Beispiel darin: Wenn Du Dein root Paßwort
vergessen hast, oder ein Hacker es verändert hat, dann nimmst Du Deine Boot
disk, mountest die root Partition und löscht das Passwort einfach. Dann
bootest Du in single mode (ohne Netzwerk), loggst Du Dich mit leeren Passwort
ein und änderst es sofort.

Weitere Möglichkeiten, Dein System zu zerstören:

rm -fR /

mke2fs /dev/hd*

rm /lib/*

etc etc

Mir scheint es, daß Dir die Unix Philosophie noch fast gar nicht vertraut
ist. Du wirst Dich daran gewöhnen, und nach einem jahr wirst Du bemerken,
daß das alles Sinn macht, und ein stimmiges Bild ergibt.

Marcus

-- 
`Rhubarb is no Egyptian god.' Debian http://www.debian.org   finger brinkmd@ 
Marcus Brinkmann              GNU    http://www.gnu.org     master.debian.org
Marcus.Brinkmann@ruhr-uni-bochum.de                        for public  PGP Key
http://homepage.ruhr-uni-bochum.de/Marcus.Brinkmann/       PGP Key ID 36E7CD09
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     743

Reply to:

Follow-Ups:
- [Debian]: Re: Sicherheitsrisiko Rootaccount ohne Passwort
  - From: Martin Bialasinski <martin@internet-treff.uni-koeln.de>
- Re: [Debian]: was Sicherheitsrisiko Rootaccount ohne Passwort
  - From: Andre Langemeyer <alangemeyer@knuut.de>

References:
- [Debian]: Sicherheitsrisiko Rootaccount ohne Passwort
  - From: Andre Langemeyer <ALangemeyer@knuut.de>

Prev by Date: [Debian]: XFree86 3.3.3.1 mit Weitek P9100
Next by Date: [Debian]: Re: Matrox G200 PCI/AGP
Previous by thread: Re: [Debian]: Sicherheitsrisiko Rootaccount ohne Passwort
Next by thread: [Debian]: Re: Sicherheitsrisiko Rootaccount ohne Passwort
Index(es):
- Date
- Thread