Sudo Account herstellen, wie in Ubuntu-howto?

[mali]

Hi,

ich möchte jetzt in Zukunft auf Debian setzten. Allerdings bin ich gewohnt von Ubuntu einen Sudo-Account zu haben. Wie stelle ich das an und erstellen den?

In der Install habe ich root ein PW zugewiesen. Dann musste ich einen normalen User anlegen "für die tägliche arbeit" namens martin. Dieser User hat eine Root-Konsole . Kann ich ihm die Konsole wegnehmen?

Als root kann man sich nicht in der Grafik anmelden? Kann ich auch root deaktivieren? Wenn ja, wie? Kann ich stattdesen sudo verwenden in Zukunft?

Grüsse und besten Dank

Martin

[tafkad]

Hi,
Kann ich ihm die Konsole wegnehmen?

De normale User hat keine root rechte. Und was für eine Konsole willst Du wegnehmen?

Als root kann man sich nicht in der Grafik anmelden? Kann ich auch root deaktivieren? Wenn ja, wie? Kann ich stattdesen sudo verwenden in Zukunft?

Wenn Du das unbedingt willst, keine Ahnung weshalb. Dann hier mal nachlesen, gilt für jede Distro.

Im zweifel kannst Du auch sämtliche Ubuntu howtos auf Debian anwenden.

[mali]

Mir geht es um die root-konsole. die möchte ich ihm wegnehmen. die bash kann der user , den ich bei der installation angelegt habe behalten. die stört mich nicht und ist eigentlich sinnvoll.

[hikaru]

Mir geht es um die root-konsole. die möchte ich ihm wegnehmen.

Ich vermute du meinst das "Root-Terminal" aus dem Gnome-Menü. Das ist nichts anderes als der gewöhnliche "Terminal"-Aufruf mit einem davorgeschalteten gksu.
Zum Entfernen mach mal einen Rechtsklick auf das Gnome-Menü! Der Rest erklärt sich von selbst.

[mali]

Mir geht es um die root-konsole. die möchte ich ihm wegnehmen.

Ich vermute du meinst das "Root-Terminal" aus dem Gnome-Menü. Das ist nichts anderes als der gewöhnliche "Terminal"-Aufruf mit einem davorgeschalteten gksu.
Zum Entfernen mach mal einen Rechtsklick auf das Gnome-Menü! Der Rest erklärt sich von selbst.

Ja, darum geht es mir. Allerdings möchte ich es nicht verstecken oder so ähnlich. Sondern es ganz weghaben, damit niemand (kein normaler user oder Angreifer) es nutzen kann. Bis jetzt hatte ich es immer so, dass ich mich falls ich etwas installieren etc. musste, ich mich immer mit dem Sudo-Account (Ubuntu) einloggen musste (über Strg+Alt+F1). Also eine totale Trennung von Sudo und "normalem" user.

[Fjunchclick]

Du siehst das genau verkehrt herum.
Bei Ubuntu ist der root-Account deaktiviert. Hier kann der erste (der beider Installation angegebene) User sich mittels sudo root-Rechte beschaffen. Oder weitere Nutzer, die vom ersten die entsprechenden Rechte bekommen haben. Sudo ist kein Account, sondern nur ein Befehl mit dem derjenige, der das Passwort kennt, sich root-Rechte beschaffen kann.
Und du musst dich bei Ubuntu auch nicht über STRG+ALT1-6 einloggen, um etwas zu installieren, sondern du tippst einfach ein sudo apt-get install... ins Terminal, dann wirst du nach dem Passwort gefragt und los geht's. Die totale Trennung von root (was du irrtümlich als sudo bezeichnest) und normalem User gibt es gerade bei Ubuntu eben nicht.

Bei Debian hingegen hast du einen echten root-Account. Das heißt, du hast normale Nutzer und den Adminitrator root. Jemand der das root-Passwort kennt kann mittels su in der Konsole zu root werden (dazu muss er natürlich das Passwort eingeben).

Kein normaler User hat dort root-Rechte. Und die root-Konsole nützt nur demjenigen etwas, der auch das root-Passwort kennt.

Lies einfach mal das hier, da wird der Unterschied erklärt.

[hikaru]

Dieser Befehl steckt hinter dem Menüpunkt:

Code: Alles auswählen

gksu -D Terminal -- env -u ORBIT_SOCKETDIR /usr/bin/x-terminal-emulator

/usr/bin/x-terminal-emulator ruft über ein paar Symlinks und ein Perl-Script /usr/bin/gnome-terminal auf. Wenn du das entfernst hast du nur noch xterm auf dem System. Und der Sicherheitsgewinn ist gleich Null.
Wenn du gksu entfernst gehen auch andere grafische Anmeldungen für die du root-Rechte brauchst nicht mehr, wie z.B. Gparted oder Synaptic. Auch hier erhöhst du nicht die Sicherheit.

[mali]

Du siehst das genau verkehrt herum.
Bei Ubuntu ist der root-Account deaktiviert. Hier kann der erste (der beider Installation angegebene) User sich mittels sudo root-Rechte beschaffen. Oder weitere Nutzer, die vom ersten die entsprechenden Rechte bekommen haben. Sudo ist kein Account, sondern nur ein Befehl mit dem derjenige, der das Passwort kennt, sich root-Rechte beschaffen kann.
Und du musst dich bei Ubuntu auch nicht über STRG+ALT1-6 einloggen, um etwas zu installieren, sondern du tippst einfach ein sudo apt-get install... ins Terminal, dann wirst du nach dem Passwort gefragt und los geht's.

Nö, bei mir hatte ich zwei Accounts, bei einem ging sudo bei anderem ging es nicht , weil der user nicht in der Liste war. Das ist doch besser, als wen jemand eine Root-Konsole hat. Ansonsten erteile ich keinem die Rechte ausser einem. Und das ist eben der erste User.

Grüsse

Naja ich möchte jetzt eigentlich nicht diskutieren was besser ist. Ich denke beides hat seine Daseinsberechtigung. Allerdings finde ich das Ganze verwirrend, dass ein User die Root-konsole hat und PW testen kann. Besser ist ein Loginname + PW, so muss er beide in Kombi kennen, anstatt nur PW.....

[rendegast]

kann mittels su in der Konsole zu root

was bei ubuntu natürlich auch geht,
erst der "halbe" sudo-root, und dann mit 'su -' zum vollwertigen root werden.
In beiden Modi kann der root-Account dann einfach durch Vergabe eines Passworts aktiviert werden,
sodaß direkter Login möglich ist.

[Fjunchclick]

Das ist doch besser, als wen jemand eine Root-Konsole hat. .

Die kann doch aber nur derjenige benutzen, der das root-Passwort kennt! Ein normaler Nutzer kennt das aber nicht, also kann er diese Konsole gar nicht starten! Probiere es doch mal aus: Zum Starten der root-Konsole muss man das Passwort eingeben.

Außerdem kannst du auch in der normalen Konsole jederzeit mit su zum root wechseln - vorausgesetzt du kennst das Passwort.
Ich weiß nicht, was du mit dem Entfernen der root-Konsole bewirken willst. Angenommen, du entfernst sie, dann ruft der Nutzer eben das normale Terminal auf, gibt su und das Passwort ein und ist root. Hat er das Passwort nicht, kann er auch die root-Konsole nicht benutzen.

Nochmal:
Ein normaler Nutzer kann nicht einfach so die root-Konsole aufrufen. Nur jemand, der das Passwort kennt kann das. Der kann sich aber auch über die normale Konsole root-Rechte beschaffen.

[mali]

Nochmal:
Ein normaler Nutzer kann nicht einfach so die root-Konsole aufrufen. Nur jemand, der das Passwort kennt kann das. Der kann sich aber auch über die normale Konsole root-Rechte beschaffen.

ja aber, ich finde Root Konsole nur für Root. Und so etwas wie mit su etc. sollte für den Normalen nicht drin sein. So war es zumindest auf meiner Ubuntu-Maschine. Ich konnte aus der Box mit dem Normalen User nicht in die Root-box auch mit su und richtigem Pw ohne Witz.

So konnnte man es nicht einmal raten durch probieren. Man musste sich erstmal anmelden als sudo und PW. Das jemand der das PW nicht kennt, die Root Konsole nicht starten kann ist mir klar!

[KBDCALLS]

Ich denke mal du hast es immer noch nicht verstanden. Wenn ich mich als User anmelde und per su zu einem anderen User werden will , dann brauche ich dessen Paswort. Also im normalfalle wäre das Root also brauche ich auch das Root Passwort. Hab ich mich aber angemeldet und benutze Sudo , dann brauche im Falle von Ubuntu kein Passwort, das gilt aber nur für den ersten anglegten User. Fragt sudo nach einem Passwort, dann wird nicht das Root Passwort verlangt, sondern das des Users. Tschuldigung wenn ich das so platt ausdrücke , wenn man schon so paranoid vernlangt ist, dann ist SU Variante vorzuziehen. Dann sollte man sich aber ein Passwort aussuchen welches entsprechend schwer zu knacken ist. Entsprechende Mindestänge usw.

Und ich kann mir auch mit sudo eine RootShell holen. Selbst wenn das Passwort deaktiviert ist, so das sich der User nicht anmelden kann,

[mali]

Bei mir war es jedenfalls so, dass ich zwei User hatte mathew und martin. So und mathew hatte ein Pw :"x ". Wenn mahtew eingeloggt war, dann konnte er in der bash ein sudo machen. Anschliessend Pw "x" und fertig. Alles möglich. martin dagegen konnte ein sudo eintippen, aber auch bei Pw "x" ging nichts für martin.

So war das jedenfalls bei mir.

[Saxman]

Bei mir war es jedenfalls so, dass ich zwei User hatte mathew und martin. So und mathew hatte ein Pw :"x ". Wenn mahtew eingeloggt war, dann konnte er in der bash ein sudo machen. Anschliessend Pw "x" und fertig. Alles möglich. martin dagegen konnte ein sudo eintippen, aber auch bei Pw "x" ging nichts für martin.

So war das jedenfalls bei mir.

In der /etc/sudoers die man mit visudo bearbeitet wird eingetragen welche Nutzer per sudo zu root werden können. Alternativ könnte man das auch über eine Gruppenmitgliedschaft in der /etc/pam.d/sudo erreichen. Mit deiner terminaltheorie hat das nichts zu tun.

Du solltest dich mal ein wenig in die Basics einlesen bevor du am System rumschraubst.

Hier und Hier

Und Wilkommen bei debian

[mali]

Naja,

aber es geht müsst ihr zugeben. Ist ja auch nicht so wild. Danke für das Willkommen

[Danielx]

martin dagegen konnte ein sudo eintippen, aber auch bei Pw "x" ging nichts für martin.

Ich habe zwar das Problem nicht verstanden, aber wenn martin angemeldet ist, dann kann er, wenn er das Passwort von mathew kennt, problemlos mit "su - mathew" die Identität von mathew annehmen und dann mit "sudo" als root Befehle ausführen.
Wo ist da bzgl. der Sicherheit der Unterschied zu einem root-Konto, außer dass es bei dem root-Konto getrennte Passwörter für root und mathew gäbe, bei der sudo-Lösung aber das selbe Passwort zu verwenden wäre?

Gruß,
Daniel

[mali]

Ne, ging bei mir nicht nur mathew konnte ein sudo verwenden. Ist aber jetzt auch nicht so wichtig. Ich persönlich bevorzuge ein root-account bzw. ein sudo-account der so eingestellt ist, dass nur der erste user sich einloggen kann, alleine weil die directories gut getrennt sind etc. Ist aber nicht so wichtig.

[KBDCALLS]

Wie du schon sagst du bevorzugst. Andererseits ist das ein großes Security Loch. Da bin ich sicher nicht der einzige hier mit der Meinung. Vor allem wenn das unbedacht einsetzt. Nicht umsonsts installiert Debian Sudo erst garnicht. Es sei denn man will explizit was anderes. Und in bestimmten Umgebungen hat das erst garnichts zu suchen.

Und was Sudo mit getrennten Dirktorys zu tun hat , ist bestimmt nicht nur mir mehr als schleierhaft.

[rendegast]

Ich persönlich bevorzuge ein root-account bzw. ein sudo-account der so eingestellt ist, dass nur der erste user sich einloggen kann,

Code: Alles auswählen

# User privilege specification
der_eine_user	ALL=(ALL) ALL

oder

Code: Alles auswählen

der_eine_user	dein_hostname=ALL

Wegen des großen Sicherheitslochs

Code: Alles auswählen

Defaults	env_reset
Defaults	timestamp_timeout=5,passwd_timeout=1

oder eventuell noch kürzer. Vista-artig wäre 'timestamp_timeout=0'.

Mit sudo kann soviel gemacht werden, 'man sudoers' (leider auch soviel falsch).

[henny]

Um 'root' als Acount zu deaktivieren müsste man das Passwort sperren das ginge am einfachsten wen man in 'shadow
' hinter den ersten Eintrag 'root:'nochmal root setzt .Damit lässt sich kein Passwort setzen, hat aber den Nachteil das einige Mechanismen für die Systemrettung nicht mehr laufen.
Leider gibt es die Anwendung 'su' in /bin die dann nicht mehr funktioniert und die ein weiteres Problem mit den Start der graphischen Oberfläche mit sich bringt.
Ich arbeite gerade daran das zu beseitigen muss aber erst meine Testergebnisse abwarten um dazu was zu sagen.
'Passwort deaktivieren' klingt verwirrend ist aber ein sichererer Schutz da es immer ein Passwortabfrage gibt.
Man versucht sich dann vergeblich einzuloggen einfach weiter klicken geht nicht, das würde eben nur mit 'sudo' funktionieren wider 'root' Rechte zu erlangen.
Gruß
henny

[Danielx]

Um 'root' als Acount zu deaktivieren müsste man das Passwort sperren das ginge am einfachsten wen man in 'shadow
' hinter den ersten Eintrag 'root:'nochmal root setzt

Man beachte auch:

Code: Alles auswählen

passwd -l root

Code: Alles auswählen

       -l, --lock
           Lock the password of the named account. This option disables a password by changing it to a value which matches no possible encrypted value (it adds a ´!´
           at the beginning of the password).

           Note that this does not disable the account. The user may still be able to login using another authentication token (e.g. an SSH key). To disable the
           account, administrators should use usermod --expiredate 1 (this set the account´s expire date to Jan 2, 1970).

           Users with a locked password are not allowed to change their password.

Gruß,
Daniel

[henny]

Zu meiner Ausführung es gibt ja sehr viele Linux Systeme, auch welche die diese von mir erwähnten Einstellungen zulassen.
Nur eben 'Debian' nicht.
Ich habe extra das mit den (Defaults timestamp_timeout=0) getestet und es hat den erwünschten Erfolg gehabt.
Bei 'Etch' ging das nicht.
Die klassische 'sudo' Konfiguration hat auch funktioniert für die graphische Passwortabfrage für 'sudo' (gksudo) must du dir ein Script runterladen.
Hier ist das Wiki von Ubuntuusers sehr hilfreich.
Ein Rootpasswort musst du bei Debian in jeden falle vergeben.
Solltest du einen Server Einrichten dann wird für bestimmte Anwendungen auch 'su' gebraucht.
henny