Re: Zweiten root-user einrichten

To: debian-user-german@lists.debian.org
Subject: Re: Zweiten root-user einrichten
From: Matthias Houdek <linux@houdek.de>
Date: Wed, 8 Sep 2004 07:49:28 +0200
Message-id: <[🔎] 200409080749.28316.linux@houdek.de>
In-reply-to: <[🔎] 413DF995.4040202@leogic.com>
References: <[🔎] 20040907123609.GC3905@nutrimatic.ping.de> <[🔎] 200409071713.07927.linux@houdek.de> <[🔎] 413DF995.4040202@leogic.com>

Am Dienstag 07 September 2004 20:10 schrieb Sven Mueller:
> Matthias Houdek [u] wrote on 07/09/2004 17:13:
> > Andreas, wenn es dir darum geht, den Usernamen root zu eleminieren
> > (weil der halt immer gleich ist, dann benenne das root-Konto einfach
> > um (in /etc/passwd _und_ in /etc/shadow). Dann kannst du auch noch
> > ein neues "root"-Konto anlegen, das kaine Rechte hat ;-)
>
> Was keine gute Idee ist, denn viele Skripte prüfen nicht auf die UID,
> sondern auf den Namen des aktuellen benutzers (als den Namen der
> aktuellen EUID, um genau zu sein) auf Gleichheit mit "root". Und genau
> das funktioniert dann nicht mehr.

Wenn dem so ist - ja. (Schön, wieder was dazu gelernt *freu*)

> > Allerdings ist das eine trügerische Sicherheit, denn intern wird ja
> > immer die UID verwendet, und die ist und bleibt "0".
>
> Hehe, ich hatte mal ein System aufgebaut, bei dem die allmächtige UID
> eben nicht 0 war (und der zugehörige User auch nicht root hieß - der
> hatte weiter UID 0). Allerdings bedeutete das, dass ich beinahe jedes
> wichtige Programm patchen und neu übersetzen musste (von Apache bis
> sshd, von passwd bis login etc....). Viel Arbeit für wenig Nutzen. Aber
> machbar ist es.

Ja, aber eben wirklich der Aufwand. Wo macht das Sinn?

> Einige (aber nicht alle) Hacker sind bei diesem Honeypot immerhin drauf
> reingefallen und haben alles daran gesetzt, UID 0 zu erreichen.

*g*

> > Wenn es darum geht, weiteren Personen Administrationsaufgaben
> > zuzugestehen, so bleibt dir wohl nur, diese der Gruppe "root"
> > zuzufügen, wobei es natürlich gewisse Einschränkungen gibt (ich würde
> > dafür auch keine normalen Userkonten verwenden, sondern zusätzliche
> > Admin-Konten).
>
> Gruppe root ist nicht wirklich nötig dafür, sudo wäre erheblich besser.

Für gezielte Adminverteilung auf jeden Fall.

> > Es gibt noch mehr Möglichkeiten (z.B. mit dem "s"-Bit bei den
> > Dateirechten -> man chmod) und Skripten.
>
> Ja, für Teilaufgaben sicher. Vor allem mit sudo zusammen.

Jepp.

-- 
Gruß
		MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

References:
- Zweiten root-user einrichten
  - From: Dirk Salva <dsalva@nutrimatic.ping.de>
- Re: Zweiten root-user einrichten
  - From: Matthias Houdek <linux@houdek.de>
- Re: Zweiten root-user einrichten
  - From: Sven Mueller <sm+debian@leogic.com>

Prev by Date: Re: TV unter sarge
Next by Date: Re: Unauffindbare Dateien...
Previous by thread: Re: Zweiten root-user einrichten
Next by thread: Re: Zweiten root-user einrichten
Index(es):
- Date
- Thread