Re: Zweiten root-user einrichten
Am Dienstag 07 September 2004 20:10 schrieb Sven Mueller:
> Matthias Houdek [u] wrote on 07/09/2004 17:13:
> > Andreas, wenn es dir darum geht, den Usernamen root zu eleminieren
> > (weil der halt immer gleich ist, dann benenne das root-Konto einfach
> > um (in /etc/passwd _und_ in /etc/shadow). Dann kannst du auch noch
> > ein neues "root"-Konto anlegen, das kaine Rechte hat ;-)
>
> Was keine gute Idee ist, denn viele Skripte prüfen nicht auf die UID,
> sondern auf den Namen des aktuellen benutzers (als den Namen der
> aktuellen EUID, um genau zu sein) auf Gleichheit mit "root". Und genau
> das funktioniert dann nicht mehr.
Wenn dem so ist - ja. (Schön, wieder was dazu gelernt *freu*)
> > Allerdings ist das eine trügerische Sicherheit, denn intern wird ja
> > immer die UID verwendet, und die ist und bleibt "0".
>
> Hehe, ich hatte mal ein System aufgebaut, bei dem die allmächtige UID
> eben nicht 0 war (und der zugehörige User auch nicht root hieß - der
> hatte weiter UID 0). Allerdings bedeutete das, dass ich beinahe jedes
> wichtige Programm patchen und neu übersetzen musste (von Apache bis
> sshd, von passwd bis login etc....). Viel Arbeit für wenig Nutzen. Aber
> machbar ist es.
Ja, aber eben wirklich der Aufwand. Wo macht das Sinn?
> Einige (aber nicht alle) Hacker sind bei diesem Honeypot immerhin drauf
> reingefallen und haben alles daran gesetzt, UID 0 zu erreichen.
*g*
> > Wenn es darum geht, weiteren Personen Administrationsaufgaben
> > zuzugestehen, so bleibt dir wohl nur, diese der Gruppe "root"
> > zuzufügen, wobei es natürlich gewisse Einschränkungen gibt (ich würde
> > dafür auch keine normalen Userkonten verwenden, sondern zusätzliche
> > Admin-Konten).
>
> Gruppe root ist nicht wirklich nötig dafür, sudo wäre erheblich besser.
Für gezielte Adminverteilung auf jeden Fall.
> > Es gibt noch mehr Möglichkeiten (z.B. mit dem "s"-Bit bei den
> > Dateirechten -> man chmod) und Skripten.
>
> Ja, für Teilaufgaben sicher. Vor allem mit sudo zusammen.
Jepp.
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: