Re: Zweiten root-user einrichten
Matthias Houdek [u] wrote on 07/09/2004 17:13:
Andreas, wenn es dir darum geht, den Usernamen root zu eleminieren (weil
der halt immer gleich ist, dann benenne das root-Konto einfach um
(in /etc/passwd _und_ in /etc/shadow). Dann kannst du auch noch ein neues
"root"-Konto anlegen, das kaine Rechte hat ;-)
Was keine gute Idee ist, denn viele Skripte prüfen nicht auf die UID,
sondern auf den Namen des aktuellen benutzers (als den Namen der
aktuellen EUID, um genau zu sein) auf Gleichheit mit "root". Und genau
das funktioniert dann nicht mehr.
Allerdings ist das eine trügerische Sicherheit, denn intern wird ja immer
die UID verwendet, und die ist und bleibt "0".
Hehe, ich hatte mal ein System aufgebaut, bei dem die allmächtige UID
eben nicht 0 war (und der zugehörige User auch nicht root hieß - der
hatte weiter UID 0). Allerdings bedeutete das, dass ich beinahe jedes
wichtige Programm patchen und neu übersetzen musste (von Apache bis
sshd, von passwd bis login etc....). Viel Arbeit für wenig Nutzen. Aber
machbar ist es.
Einige (aber nicht alle) Hacker sind bei diesem Honeypot immerhin drauf
reingefallen und haben alles daran gesetzt, UID 0 zu erreichen.
Wenn es darum geht, weiteren Personen Administrationsaufgaben
zuzugestehen, so bleibt dir wohl nur, diese der Gruppe "root" zuzufügen,
wobei es natürlich gewisse Einschränkungen gibt (ich würde dafür auch
keine normalen Userkonten verwenden, sondern zusätzliche Admin-Konten).
Gruppe root ist nicht wirklich nötig dafür, sudo wäre erheblich besser.
Es gibt noch mehr Möglichkeiten (z.B. mit dem "s"-Bit bei den Dateirechten
-> man chmod) und Skripten.
Ja, für Teilaufgaben sicher. Vor allem mit sudo zusammen.
Ciao,
Sven
Reply to: