debianx hat geschrieben: 25.11.2017 18:46:50
Ok das heißt am besten einfach bei einem beliebigen User in der Konsole zum root werden und dort wieder raus gehen.
Nee, nicht mit einem beliebigen, sondern mit dem, mit dem Du gerade angemeldet bist. Es ist nicht notwendig, sich dafür noch mit einem anderen User anzumelden. Sinnigerweise sollten nur Dein Password und das root-Password nicht das gleiche sein.
Dann ist es ja eigentlich wie bei Ubuntu.
Nee, soweit mir bekannt ist, ist das überhaupt nicht so. Wenn ich mich recht erinnere, ist per Default bei Ubuntu kein root-Password vorgesehen, sondern der betroffene Anwender erhält das Recht, unter seinem eigenen Account Änderungen am System durchzuführen. Und dazu ist er Mitglied der Gruppe sudo und kann dann diese Änderungen nach Eingabe seines eigenen Passworts durchführen. Das ist m.M.n eine völlig andere Philosophie... die eigentlich, wie Radfahrer schon bemerkt hat, missbraucht wurde, weil die ursprüngliche Intention zu sudo eine völlig andere war. Und zwar nicht einem Hauptbenutzer volle root-Rechte zu geben, sondern einem Stellvertreter-Admin beschränkte und explizite root-Rechte für eine besondere Aufgabe zu geben. Der wesentliche Unterschied ist, dass es bei Debian 2 verschiedene Accounts sind, einmal der User und einmal root. Bei Ubuntu wechselt der User nicht den Account, sondern wird via sudo selber berechtigt, Änderungen am System durchzuführen.
Ist denn das Aufrufen der grafische Oberfläche des root grundsätzlich schon gefährlich?
Nur insofern, dass das Einfluss auf Owner-Rechte haben kann, weil vielleicht durch einen schreibenden Zugriff Besitzrechte verändert werden könnten. Das könnte dann zu merkwürdigen Phänomenen bis hin zu Datenverlust führen, wenn man wieder als User darauf zugreifen will und mit diesem Problem unsachgemäß umgeht. Wie gesagt, sowas ist völlig unnötig und widerspricht dem Debian-Gedanken. Ich würds lassen, das ist unnötig und man braucht das nicht. Ich habe mich auf etlichen System in mehreren Jahren noch nicht ein einziges Mal als root auf einer grafischen Oberfläche anmelden müssen. Ich starte wohl synaptic oder gparted mit root-Rechten, aber das tue ich aus meinem Account heraus und gebe beim Start des Programms das root-Passwort ein.... nicht meines, sondern das von root.
Aber nochmal eine hypothetische Überlegung:
Ein normales Benutzerkonto wird kompromittiert durch z.B Firefox.
Keine Ahnung... nur wenn Du vielleicht auf echte attackierende Seiten gehst..... so einfach geht das aber alles nicht. Wenn ich "unseriös" surfe, mach ich das allerdings nicht in meinem Firefox-Konto, sondern starte ne VM... und da ist mir das dann egal. Weil in der VM nix anderes installiert ist.
Wäre es daher nicht "sicherer" die root-Aktivitäten auch nur unter der angemeldeten Oberfläche des root zu machen?
Nicht Debian ist das Problem, sondern der Anwender, der Debian sabotiert *lacht*. Machs einfach, wie ich gesagt habe, aus Deinem Account heraus im Terminal als root anmelden und tun, was zu tun ist, dann abmelden. Wenn Du auf zweifelhafte Seiten surfst, oder das Tracking reduzieren willst, geht das prima über eine VM... und auch das ist kein Hexenwerk. Es reicht sogar schon, für diese zweifelhafte Seiten Firejail mit flüchtigen Einstellungen für den Firefox zu nutzen. Da kriegst Du bei jedem Firefox-Start ein neues Profil. Und du kannst sogar alles 3 gleichzeitig nutzen, den regulären FF fürs Debian-Forum, einen Firejail-FF für die bösen Seiten, einen VM-FF fürs Banking... oder was auch immer....
Ich würde einfach mal anfangen... allein mit dem Wechsel nach Debian hast Du schon einen großen Schritt Richtung Sicherheit getan.
HTH