DLSkyNet
Anmeldungsdatum: 13. Juni 2005
Beiträge: Zähle...
|
Hi an alle, ich bin nzwar nicht ganz neu in der Linuxwelt, aber doch "relativ" frisch. Zu hause läuft eine Router-Firewall auf Gentoo-Basis und nun soll ein ansonsten eigentlich ausrangiertes Notebook noch als Linux-Desktop zum Ausprobieren herhalten. Nachdem ich am WE die stable von Debian Sarge installiert und eigentlich doch ziemlich begeistert war hat mich nun ob einiger eklatanter Bugs, speziell ind Gnome, die "Basteltwut" gepackt. Heute also Ubuntu runtergeladen und in Lichtgeschwindigkeit installiert... ... doch was ist das: Kein Root-Passwort angeben? Und wenn ich eins angebe will er unter Gnome trotzdem immer nur mein eigenes? Also nachgelesen und über die Arbeitsweise von sudo gestolpert. Ich will jetzt gar nicht über Sinn oder Unsinn dieses Konzepts bzw. der Verwendung in Ubuntu diskutieren, sondern schlicht und einfach wissen: Kann man das auch abschalten? Ich will nämlich gerade eine Root-Anmeldung für bestimmte Tasks erzwingen bzw. hätte gerne, dass Gnome mich nach dem Root-Passwort fragt... Hilfe 😢 DLSkyNet
|
droebbel
Anmeldungsdatum: 19. Oktober 2004
Beiträge: 5388
|
Was genau meinst Du mit "Root-Anmeldung für bestimmte Tasks"? Was versirpchst Du Dir von der Frage nach dem Root-Passwort statt Deines Benutzerpasswortes? Natürlich kann man das umkonfigurieren, aber das hat zu viele Nachteile, als daß ich Dir das ohne Rückfrage empfehlen könnte. Tu's bitte nicht unüberlegt. P.S.: ich sehe, Du hast schon ein Root-Passwort vergeben... na ja, mal sehen, ob das nötig war.
|
pippovic
Anmeldungsdatum: 12. November 2004
Beiträge: 9130
|
Hallo, schlichte und einfache Antwort: ja, das kann man abschalten! Ich würde es dir aber auf keinen Fall empfehlen, da es eine ziemliche Frickelarbeit ist, bis wirklich alles komplett auf einen separaten Root-Acount umgestellt ist. Wenn du nur ein Passwort für Root einrichtest, dann wirst du zwangsläufig Probleme bekommen. Das hatten wir gerade in der letzten Zeit zur Genüge. Mein Rat ist also: verwende sudo! Da gewöhnt man sich schnell dran und es ist genial einfach. Gruß pippovic
|
Willly
Anmeldungsdatum: 3. Juni 2005
Beiträge: Zähle...
|
pippovic hat geschrieben: Hallo, schlichte und einfache Antwort: ja, das kann man abschalten! Ich würde es dir aber auf keinen Fall empfehlen, da es eine ziemliche Frickelarbeit ist, bis wirklich alles komplett auf einen separaten Root-Acount umgestellt ist. Wenn du nur ein Passwort für Root einrichtest, dann wirst du zwangsläufig Probleme bekommen. Das hatten wir gerade in der letzten Zeit zur Genüge. Mein Rat ist also: verwende sudo! Da gewöhnt man sich schnell dran und es ist genial einfach. Gruß pippovic
Kann mal jemand im Detail erklären was ein direkter Root Account(meine keinen Grafischen) sondern das beim Installieren von Programmen oder Konfigurieren von Ubuntu für Nachteile hat? Benutze Ubuntu noch nicht sehr lange kenne aber von anderen Distris z.b Suse oder Fedora das man Programme installieren oder Linux konfigurieren nur mit root macht. Wenn ich mir mit ubuntu einen direkten root Account mit Passwort mache, was für Nachteile sind hat das dann?
|
DLSkyNet
(Themenstarter)
Anmeldungsdatum: 13. Juni 2005
Beiträge: 8
|
Ich hatte tatsächlich kurzfristig ein Root-Passwort vergeben, habs aber wieder rückgängig gemacht... ... in meinem Fall macht aber sudo alles komplizierter und ich finde den Sinn, mein eigenes Passwort eingeben zu müssen, auch ziemlich fraglich. Es geht ja darum, dass ich ein Desktopsystem haben will, an dem nur ich als normaler User arbeite, aber ab und an auch für Wartungsarbeiten etc. gerne direkt über Gnome administrative Aufgaben wahrnehmen zu können. Da gefällt mir su einfach besser, weil in diesem Fall einfacher. Ist Ubuntu vielleicht einfach nix in meinem Fall und was kann ich ansonsten nehmen? Grüße DLSkyNet
|
droebbel
Anmeldungsdatum: 19. Oktober 2004
Beiträge: 5388
|
DLSkyNet hat geschrieben: Es geht ja darum, dass ich ein Desktopsystem haben will, an dem nur ich als normaler User arbeite, aber ab und an auch für Wartungsarbeiten etc. gerne direkt über Gnome administrative Aufgaben wahrnehmen zu können. Da gefällt mir su einfach besser, weil in diesem Fall einfacher.
Das verstehe ich noch nicht so ganz. Die Menüs sind doch für sudo eingerichtet, und im Terminal verwendest Du statt su einfach sudo -s oder gleich das Root-Terminal. Was sonst hast Du vor, was mit Root-Account einfacher wird?
|
DLSkyNet
(Themenstarter)
Anmeldungsdatum: 13. Juni 2005
Beiträge: 8
|
Ja, die Menüs sind für Sudo eingerichtet, solange ich in der admin-Gruppe bin. Aber ich finde einfach das Root-Konzept sinnvoller und ich fühle mich wohler damit, für betsimmte Aufgaben einfach (und jederzeit) auf Root wechseln zu können. Die Eingabe meines eigenen Passworts bringt doch keinerlei Sichertheitsvorteil, außer das das System weiß, dass ich bzw. jemand mein Passwort kennt. Also nervt mich diese Abfrage. Um das abzuschalten, müsste ich die Abfrage abschalten, dann bin ich ja aber wirklich defakto Root ohne irgendeine weitere Authentifikation. Wenn ich die Sicherheit haben will, muss ich mich also aus der Admin-Gruppe rausnehmen. Dann kann ich aber nicht so einfach per sudo etwas ausführen, sondern muss tatsächlich den Benutzer wechseln... ... ich hoffe, ich habe mich verständlich ausgedrückt 😉 Kann doch nicht so schwer sein, mich zu verstehen, oder? Grüße DLSkyNet
|
droebbel
Anmeldungsdatum: 19. Oktober 2004
Beiträge: 5388
|
DLSkyNet hat geschrieben: Kann doch nicht so schwer sein, mich zu verstehen, oder?
Tut mir leid, ich verstehe Dein Problem tatsächlich immer noch nicht. Zunächst hattest Du geschrieben, mit su sei es für Dich leichter und weniger umständlich. Ich nehme an, das hat sich erledigt? Sonst müsste ich meine Frage nach Details wiederholen. In Deinem letzten Post scheinst Du davon auszugehen, daß sudo gegenüber su weniger sicher sei. Dem ist nicht so. Entscheidend für die Sicherheit ist, daß der berechtigte Benutzer sich für bestimmte Aktionen authentifizieren muß. Das wird über die Passworteingabe gewährleistet. Egal ob mit einem Root-Passwort, oder mit dem eigenen Passwort per sudo. Ich weiß nicht, wieso Du eine Authentifizierung per su für sicherer erachtest, glaube aber, daß zumindest das reine Sicherheitsgefühl, auf das Du Dich in Deinem Post berufst, in dem Fall nicht der beste Ratgeber ist. Wenn Du Deine Überlegungen darlegen würdest, könnte ich Dir vielleicht weiterhelfen.
|
Freeze2006
Anmeldungsdatum: 6. März 2005
Beiträge: Zähle...
|
Hi um mich da mal einzumischen, als vorschalg: du kannst doch noch einen weiteren benutzer hinzufügen und dann unter diesem arbeiten, den konfigurierst du dann so, dass er dann nicht mittels sudo etc dinge einstellen.'kann. dann kannst du wie hier beschrieben(sicherheit:sudo_und_root) mal nachlesen, wieso ubuntu sudo verwendet! aber wenn wir dich dann immer noch nicht davon abhalten können das du es mal mit ubuntu und sudo versuchst kannst du hier lesen, wie du root aktivieren kannst. Allerdings muss man davor warnen wie hier shcon getan wurde! Gruß marcus P.S.: Versuche dich doch erstmal daran zu gewöhnen und einzu arbeiten, wenn du es nicht ohne schaffst dann folge den anleitungen 😉 [klingt nen bisle wie nen süchtiger auf der suche nach stoff, der letzte satz O_o]
|
DLSkyNet
(Themenstarter)
Anmeldungsdatum: 13. Juni 2005
Beiträge: 8
|
Danke erstmal für Eure Rückmeldungen! Ich habe jetzt (hoffentlich) meinen eigenen Weg gefunden und sauber in Ubuntu umgesetzt. Ich kann ja das Prinzip Admin-Gruppe in Verbindung mit Sudo verstehen, denn Admin != Root und damit immer noch sicherer als direkt auf Root zu arbeiten. Auch macht es Sinn, mehr als einen Admin-User haben zu können. Allerdings gibt es in meinen Augen einen Haken: Ohne Admin zu sein, kann ich die normalen Gnome-Shortcuts (und ich will im Normalfall alles über den Gnome-Desktop machen), die Root-Rechte benötigen, nicht ausführen, denn es gibt zwar eine Passwortabfrage (für das eigene Passwort), aber die funktioniert nicht, wenn ich nicht in der Admin-Gruppe bzw. gesondert in Sudoers eingetragen bin. Am praktikabelsten wäre es in meinen Augen, wenn ich bei Aufruf eines solcehn Shortcuts einen Hinweis bekommen würde, dass ich nicht über die nötigen Berechtigungen verfüge und doch bitte angeben möge, mit welchem Benutzer und Passwort (also 2 Eingabefelder) ich die Funktion ausführen möchte. Das gibt es allerdings m.W.n. nicht. So habe ich jetzt schlicht folgendes gemacht: 1. Root mit Passwort versehen 2. Mit grep mir alle Dateien in denen gksudo vorkommt geschnappt und die dabei gefundenen Gnome-Shortcuts auf gksu umgestellt 3. Mich aus der Admin-Gruppe herausgenommen 4. Die Admin-Gruppe in Sudoers auskommentiert So läuft alles, wie ich es möchte, auch wenn es manchem nicht optimal erscheinen mag. Ich kann jetzt wenigstens auch ohne Mitglied in der Admin-Gruppe zu sein Programme mit Root rechten über die entsprechenden Gnome-Shortcuts ausführen. Grüße DLSkyNet
|
droebbel
Anmeldungsdatum: 19. Oktober 2004
Beiträge: 5388
|
Na gut, Problem gelöst - wenn auch auf die umständliche Art. Was ich nach wie vor nicht verstehe: Warum willst Du unter einer Benutzerkennung zwar Befehle per su, aber nicht per sudo ausführen können? Da passt doch was nicht. Du wolltest für einige Konten verhindern, daß man per sudo Befehle ausführen kann, und hast dafür die Ausführung von Befehlen per su ermöglicht. Wie bitte?! Das ergibt doch keinen Sinn, das ist dasselbe in grün,mit viel Arbeit erreicht. Entweder ein Anwender soll alle oder bestimmte Admin-Aufgaben erledigen können, dann richtet man sudo entsprechend ein (das geht ja auch selektiv). Oder eben nicht, dann sollte derjenige aber auch das Root-Passwort nicht in die Finger bekommen. Was die Menüs betrifft: Für nicht-sudo-Benutzer sollen die entsprechenden Menüeinträge aus den Menüs verschwinden.Das ist momentan wirklich etwas ungünstig. Die Angabe eines anderen Benutzers und Passworts ergibt in diesem Fall aber überhaupt keinen Sinn: wenn der betreffende Nutzer da etwas passendes kennt, kann man ihm ja gleich volle sudo-Berechtigungen geben. Es ist doch vollkommen egal, auf welche Weise sich ein Anwender erweiterte Rechte verschaffen kann, ob per sudo oder mit su. Entweder er ist nicht vertrauenswürdig, und soll es weder mit sudo noch sonstwie können, oder er ist kompetent, verantwortungsbewußt und hat nur die besten Absichten - dann ist es egal, ob man ihm ein zusätzliches Passwort (für root) gibt oder ihn in die sudoers einträgt. Und nochmal, falls es immer noch unklar ist:
Ich kann jetzt wenigstens auch ohne Mitglied in der Admin-Gruppe zu sein Programme mit Root rechten über die entsprechenden Gnome-Shortcuts ausführen.
Verrate mir doch: was unterscheidet Dich jetzt von einem Mitglied der "Admin-Gruppe"? 😲 🙄 🤣
|
DLSkyNet
(Themenstarter)
Anmeldungsdatum: 13. Juni 2005
Beiträge: 8
|
Mich selbst unterscheidet im Grunde genommen gar nichts von einem Mitglied der Admin-Gruppe, aber ich kann jetzt auch als jeder beliebige Benutzer eben kurz auf Root wechseln, ohne mich Ab- und wieder Anmelden zu müssen. Auf diesem System wird es eh nur mich als Root/Admin geben, von daher macht einfach die Möglichkeit mehrere Admins haben zu können nicht wirklich Sinn in meinem sehr speziellen Fall. Darüber hinaus stelle ich als "normaler" Benutzer ganz andere Ansprüche an ein Passwort, als das für einen Nutzer mit Admin-Rechten erforderlich sein sollte. Mein normales PW ist z.B. 7-stellig, aber halt nur ein Wort. Mein Rootkennwort hingegen ist 12-stellig alphanumerisch mit Sonderzeichen... Um das Thema dann hoffentlich abzuschließen: Ich ganz persönlich finde es leichter zu bedienen und verständlicher so, das ist aber wirklich rein subjektiv und natürlich hast Du da jedes Recht anderer Meinung zu sein 😉 Auf jeden Fall bin ich mit diesem Weg glücklicher mit Ubuntu, ansonsten habe ich bisher nämlich rein gar nichts "störendes" oder gar negatives gefunden! Grüße DLSkyNet
|
droebbel
Anmeldungsdatum: 19. Oktober 2004
Beiträge: 5388
|
DLSkyNet hat geschrieben: Mein normales PW ist z.B. 7-stellig, aber halt nur ein Wort. Mein Rootkennwort hingegen ist 12-stellig alphanumerisch mit Sonderzeichen...
Das Argument muß ich gelten lassen. Auch wenn ich natürlich energisch protestieren muß: unsichere Passwörter sollte man überhaupt nicht verwenden, dann kann man sie ja gleich weglassen. Aber gut, wenn Dir das wichtig ist, verstehe ich jetzt endlich die Vorteile Deiner Lösung. Noch was: Du mußt Dich nicht abmelden, um Dich als anderer Benutzer anzumelden. Versuch mal im Menü "Anwendungen → Neu anmelden" bzw. "In Fenster neu anmelden". DLSkyNet hat geschrieben: Auf jeden Fall bin ich mit diesem Weg glücklicher mit Ubuntu, ansonsten habe ich bisher nämlich rein gar nichts "störendes" oder gar negatives gefunden! Grüße DLSkyNet
Fein. Viel Spaß und Erfolg.[/i]
|
Sid_Burn
Anmeldungsdatum: 23. Oktober 2004
Beiträge: 2159
|
Warum hier viele meinen es sei Unsinnig root ein PW zu geben verstehe ich nicht. Auch wüste ich nicht welche Probleme es geben sollte. Ich selber Arebiete auch so das root und mein Benutzer Account ein getrenntes PW haben. Mein Benutzer besitzt keinerlei sudo Rechte. Meiner Ansicht nach ist es einfach schöner zwei komplett voneinander getrennte Accounts zu haben. Die jeweils für ihre Aufgaben zuständig sind. root für Administrative aufgaben, und mein benutzer Account für den Rest. Und kein misch masch wie es Ubuntu Standard mäßig macht. Genauso mag ich die Möglichkeit nicht sich Notfalls aussperren zu können. Das sudo eine größere Sicherheit bringt, wäre mir auch neu. Eigentlich rät man gerade immer davon ab sudo auf Sicheren Systemen zu verwenden. Beispielsweise wird nach eingabe des Passwortes das Passwort im Speicher gespeichert. Dies ermöglicht es dem benutzer eben für 10Min. Befehle im root Kontext auszugeben, ohne Ständig sein Passwort einzugeben. Ein Angreifer kann diese Informationen direkt aus den Speicher auslesen, und hätte somit seinen root Zugriff. Allerdings muss dazu natürlich erstmal einer auf den PC kommen. Auch für mehrere Benutzer auf einen System, wo mehrere komplette benutzer root Rechte haben, ist es sicherer sudo abzuschalten, und nur ein root Account zu benutzen. Die Problematik liegt einfach darin: Woher weist du ob ein Benutzer ein Sicheres Passwort gewählt hat? Sofern er ein unsicheres Passwort hat, kann ein Angreifer über dieses unsichere Passwort nicht nur auf das System zugreifen. Er hat auch gleich komplette root Rechte. Wenn man das Login verfahren über einen extra root Account laufen lässt, erzwingt man ein sicheres Passwort. Und auch das unsichere Passwort kann erstmal nur dazu benutzt werden um zwar Zugriff auf dem System zu bekommen, aber noch keinen Schaden anzurichten. Ein weiteres Beispiel ist bei mir der Fall das ich immer einen sshd am laufen habe. Der sshd ist so eingerichtet das nur mein Benutzer Account Zugriff über sshd bekommt. Sollte es wirklich einer Schaffen irgendwie an meinen benutzernamen und PW zu bekommen, ist er zwar auf meinen System. Hat aber immer noch keine root Rechte. Da sudo Deaktiviert ist. Er muss erst einmal noch mein root PW heraus bekommen. Auch wurde sudo nie dazu geschaffen den root Account zu ersetzen. Sudo wurde dazu geschaffen einzelne bestimmte Befehle im root Kontext ausführen zu lassen. So das manche Benutzer bestimmte Sachen im root Kontext ausführen können. Ohne das sie jedoch gleich kompletten root Zugriff bekommen. Der einzige Grund warum Ubuntu diese Methode benutzt, ist das es ziemlich stark für den Desktop Betrieb und Einsteiger Freundlich (Windows Umsteiger) konzipiert wurde. Und da ist diese Methode immer noch ziemlich einfach, und gewährt trotzdem noch ein maß an Sicherheit. Man kann gleich alle root Aufgaben erledigen, und man hat nur ein Passwort. Das ist für die benutzer leicht, und verständlich. Und Windows Umsteiger sind es ja sowieso gewohnt als Admin zu arbeiten. Von daher wird ihnen hier etwas ähnliches vorgegaultet. Allerdings sollte man um es vernünftig zu machen, und wirklich auf Sicherheit wert legt, doch beides wieder vernünftig voneinander trennen. Das sudo die Sicherheit erhöht kann man nicht gerade davon Sprechen.
|
poink
Anmeldungsdatum: 26. Juni 2005
Beiträge: Zähle...
|
Meine Erfahrungen mit sudo sagen mir, dass es ganz praktisch ist. Ich habe aber erst heute das dahinterstehende Konzept verstanden und bin nach Lesen der vorangegangen Beiträge etwas nachdenklich geworden. Da ich mein Benutzerpasswort ebenso in Ehren halte wie ein Rootpasswort, brauch ich mir wohl keine Gedanken machen. Mich würde interessieren, wie ich nun abschalten kann, dass das Passwort im Speicher zwischengespeichert wird. So hätte ich die gleiche Sicherheit wie mit einen seperaten Rootaccount, weil ich ja so jedes Mal mein Passwort erneut eingeben müsste. Auch würde ich keinen zweiten Account in die admin-Gruppe eintragen außer meinen Hauptbenutzer. Übrigens, für ssh-Zugriff kann man ja einen extra Account anlegen, der nicht in der admin-Gruppe ist und sonst im Home-Verzeichnis des Hauptbenutzers Lese- und Schreibrechte hat. Es soll nun eben auch nicht möglich sein, den Rechner von der Ferne zum Beispiel auszuschalten! Ein solcher Benutzer wäre dann auch der einzige, der via ssh einen Zugriff auf meinen Rechner haben darf. Da ich mich ganz gut damit anfreunden kann, dass ein System nicht von außen administriert werden kann, ist das eine akzeptable Lösung. Ich müsste da direkt mal ausfrimeln wie ich das bewerkstelligen könnte. *malspäterdrübernachdenk* Für Samba-Freigaben habe ich bereits eine solche Taktik angewandt, auch wenn es über Samba ja sowieso nicht möglich ist, großartig was am System zu ändern (rein theoretisch natürlich). Einfach einen separaten Account, damit man nie das Passwort seinen Hauptbenutzers preisgeben muss, der ja dank sudo viele Rechte auf dem Rechner hat.
|