staging.inyokaproject.org

hallo user#
habh hier ein kleínes problem!
ich habe ein root passwort gestzt und hinterher erfahren das das ja gar nicht so gut sein soll.
hab dann ins wicki geguckt und gesehen das man sudo passwd -l root eingeben muß damit es wieder gespeert wird.
hab ich gemacht und es kam ne passwortanfrage - darufhin hab ich eins reingeschrieben und bekam die antwort passwort gesetzt. dann hab ich
wieder sudo passwd -l root eingegeben und bei der passwortabfrage einfach enter gedrückt und habe nicht die antwort bekommen das ein passwort gesetzt ist!
wie finde ich denn jetzt heraus ob ein rootpasswort gesetzt ist bzw. ob jemand mit root rechten auf meinen pc zugreifen kann?
bin dankbar für jede hilfe
waynemcmoerph

waynemcmoerph hat geschrieben:

wie finde ich denn jetzt heraus ob ein rootpasswort gesetzt ist bzw. ob jemand mit root rechten auf meinen pc zugreifen kann?

Terminal/Konsole aufrufen und su eingeben. Wenn du dich anmelden kannst, bist du root.

Ich habe ein root-Passwort gesetzt und halte es für eine gravierende Sicherheitslücke, das nicht zu tun.
Lies mal in http://forum.ubuntuusers.de/topic/101767/?highlight= das 2. Posting.

Ich habe ein root-Passwort gesetzt und halte es für eine gravierende Sicherheitslücke, das nicht zu tun.

Wenn jemand lokalen Zugriff auf deinen Computer hat, bringt dir kein Passwort der Welt was (auch kein root-pwd), es sei denn dein System ist Vollverschlüsselt.

Don´t Panic 😀

Standardmäßig ist zwar kein Root-Kennwort gesetzt, jedoch ist der Root-Account auch gesperrt. Somit kann sich niemand auf deinem System als Root anmelden. Gesperrte Accounts erkennst du in der /etc/shadow daran, dass sie ein !-Zeichen am Anfang des verschlüsselten Kennworts stehen haben:

root:!$1$O3Vsc2Vi$WvP3AqtPx/:13660:0:99999:7:::

Der Meinung von Herrn Smith bin ich auch voll und ganz!!! Ok, nesta hat natürlich auch Recht, aber es geht dabei ja auch um Geschwindigkeitsaspekte. In der Standardkonfiguration kannst ja ganz normal mit dem Recovery-Modus booten und dann gelangst du durch ein

startx

in die Desktop-Umgebung mit Root-Rechten. Das kann jeder sich einigermaßen auskennende Linux-User und vor allem ist es wahnsinnig schnell gemacht! Und genau hier liegt das Problem.

Also, entscheide selbst wie du das regelst

Greetz
Army

Wie gesagt, da der Root-Account gesperrt ist, ist es auch keine Sicherheitslücke.

Die von mir geschilderte Methode funktioniert aber!

Greetz
Army

vielendank für die hilfe!
ging ja superschnell

@ Army: Ja, tut sie. Aber um Zugriff durch lokale Angreifer zu verhindern, genügt es nicht, die Haustür zu verrammeln und alle Fenster offen zu lassen. Lokale Absicherung ist deutlich komplizierter als das Setzen eines Passworts. Es wird nicht standardmäßig gemacht, weil es mit Nachteilen verbunden ist und von den meisten Anwendern nicht benötigt wird. Siehe Wiki, Lokale_Sicherheit.

Es ist aber eben immer eine Frage des Aufwandes. Welchen Absicherungsaufwand will ich selber? Welchen Angriffsaufwand nehme ich dann doch letztendlich in Kauf. Ich denke, darum ging es Army in erster Linie.

Einen lokalen _Angreifer_ abzuhalten ist im Prinzip durch Softwarelösungen (das schließt Passwörter mit ein) gar nicht möglich. Selbst bei Verschlüsselung des Systems kann durch das Anbringen eines Keyloggers (kleine unauffällige Dinger, relativ preiswert) zwischen PC und Tastatur dieser Schutz umgangen werden.

Daher bin ich über diese Möglichkeit nicht glücklich. Es ist so einfach, Zugang zu bekommen, daß die Hemmschwelle sicher niedriger ist, als in Fällen, wo etwas an der Hardware "geschraubt" werden muss. In diesem Fall ist ja nichtmal eine besondere/trickreiche Handlungsweise erforderlich (Stichwort Unrechtsbewußtsein).
Genau aus diesem Grund fragt ja auch der GDM bei einer lokalen Anmeldung nach einem Passwort: Ein relativ guter Schutz. Gut aber nicht perfekt. Genauso sollte es auch im Recovery Modus gesehen werden. Gibt es dazu eigentlich was im Launchpad? Ich habe nichts finden können (Da war doch mal was mit sulogin?).

Über das Setzen eines Rootpassworts bin ich aber auch nicht glücklich: Es untergräbt (prinzipiell) die Vorteile von sudo. Dieses Passwort würde normalerweise auch nie Verwendung finden ⇒ Wenn dann doch der Notfall eintritt, dann ist es oft vergessen.
Schön wäre es, an dieser Stelle die Daten eines "sudo-admin-accounts" abzufragen. Selbst in einer Notfallsituation müßte nicht viel mehr "da" sein, als beim bisherigen System. Es wäre nur geringfügig empfindlicher bei Fehlern, da mehr Dateien beteiligt wären: passwd, shadow, group und sudoers. Das bisherige System sollte eigentlich klar kommen, solange nur die Datei shadow korrekt ist.