[gelöst] Fragen zu root-Rechten

[rei19]

Mag an mir liegen, könntest du daher nochmal langsam schreiben, worum’s dir nun überhaupt geht?

Und was muss ich mit dem Live-System machen, um Rootrechte zu ermöglichen?

Booten, die Partition, auf der sich /etc des Systems befindet, mounten. Dann die Änderung in der sudoers mit einem Editor rückgängig machen, und wieder in das System booten.

Nee, da ist nichts rückgängig zu machen. Es war noch nie anders als so wie es jetzt ist. Also, dann mal ganz ausführlich:
Ehrlich gesagt, zweifel ich nun auch an mir selbst. Ich erinnere noch, dass ich beim Installieren aufgefordert wurde jeweils einen Benutzernamen für den user und root, sowie jeweils 1 Passwort dafür zu vergeben. Alternativ konnte man die Anmeldung als root deaktivieren, womit der user mithilfe von "sudo" Administratorrechte erlangt, - soweit meine Erinnerung. Ich hatte mich für das Deaktivieren entschieden, weil ich meinte, Administratorrechte sind dasselbe wie Rootrechte. Aber das hatte ich wohl falsch verstanden? So, nun stehe ich doof da ohne Rootrechte, und frage: "Wie mache ich mir 2 Konten, eines für "user" mit Administratorrechte mittels "sudo" und ein zweites Konto für den root mit einem eigenen Passwort?"
(Wir schaffen das noch! Ich gebe nicht so schnell auf.)

[rei19]

So wie ich ihn verstanden habe, möchte er letztlich zwei Dinge erreichen:
1. ein eigenständiges Root-Passwort einrichten
2. als User die Möglichkeit behalten, sudo zu benutzen (z.B. in Scripten)

Ja, genau! Wenigstens einer, der mich versteht! Und wie mache ich das Gewünschte möglich?

[MSfree]

So wie ich ihn verstanden habe, möchte er letztlich zwei Dinge erreichen:
1. ein eigenständiges Root-Passwort einrichten
2. als User die Möglichkeit behalten, sudo zu benutzen (z.B. in Scripten)

Ja, genau! Wenigstens einer, der mich versteht! Und wie mache ich das Gewünschte möglich?

Zu 1:
Das root-Konto wird bei der "Deaktivierung" im Installationsprozeß nicht entfernt. Es wird lediglich ein zufällig generiertes Paßwort für root erzeugt, das du niemals zu Gesicht bekommst. Es reicht aus, das root-Paßwort nachträglich zu setzen, das geht mit

Code: Alles auswählen

sudo passwd

Zu 2.:
Dein Wunsch ist mir komplett unverständlich. Sobald du das root-Paßwort erstellt hast, kannst du beides nutzen. Das ist dann halt doppelt unsicher. Ein Angreifer muß dann nur dein Paßwort oder das Root-Paßwort ausspionieren, denn mit beiden kann er sich die absolute Herrschaft über das System besorgen.

[MSfree]

Ich hatte mich für das Deaktivieren entschieden, weil ich meinte, Administratorrechte sind dasselbe wie Rootrechte.

Das meinst du nicht nur, das ist auch so. Der Administrator darf sudo benutzen und mit sudo wird man genauso temporät zum Benutzer "root" wie mit einem Login als root.

[fischig]

Das hängt jetzt vom aktuellen Stand der Dinge ab. Du hast ja nun schon was (erfolglos) verstellt. Wenn es dir gelingt, das rückgängig zu machen, hat niemand weiter oben schon die Vorgehensweise beschrieben:

(du) wirst das Passwort für Root auf einen bekannten Wert setzen müssen, was nunmal mit sudo passwd zu machen ist, um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren

wobei ich „bekannt“ mit „neu, selbstgewählt“ interpretierte. Wenn falsch, habe ich ihn auch nicht verstanden.

MSFree war schneller, was 1. betrifft. 2. sehe ich etwas anders.

[rei19]

Ich habe nun mit "sudo passwd" ein Passwort eingegeben. Und wie kann mich mich nun als root anmelden? Welchen Benutzernamen hat root?

[MSfree]

Und wie kann mich mich nun als root anmelden?

Code: Alles auswählen

su -

mit Minuszeichen!

Welchen Benutzernamen hat root?

root

[rei19]

Welchen Benutzernamen hat root?

root

Das funzt nicht.

[DeletedUserReAsG]

Was „funzt“ nicht?

Langsam bin ich mir nicht mehr sicher, ob hier nicht doch wieder nur getrollt wird.

[fischig]

Den Namen „root“ wirst du höchst selten benötigen.

„su“ steht für substitute user und der Bindestrich/das Minuszeichen signalisiert dem System, dass root sich anzumelden wünscht. Mit

Code: Alles auswählen

su rei19

wirst du wieder User rei19. Mit exit geht's jeweils eine Anmeldung zurück.

[rei19]

Was „funzt“ nicht?

Ich habe im Terminal "sudo passwd" eingegeben. Dann wurde nach dem user-Passwort gefragt. Ich habe es eingegeben. Dann sollte ich ein neues Passwort eingeben. Ich habe dich so verstanden, dass dies mein root-Passwort sein soll. Nach "Enter" sollte ich das neue Passwort wiederholen. Es erschien die Meldung "Das Passwort wurde erfolgreich geändert." Dann habe ich oben rechts auf "Benutzer wechseln" geklickt, dann beim Anmeldebildschirm auf "nicht aufgeführt?" weil root nicht aufgeführt war. Es erschien ein Eingabefeld für den Benutzernamen, wo ich "root" eingetippt habe. nach "Enter" konnte ich das neue Passwort eingeben, aber es erschien die Meldung "Das hat nicht geklappt". Ich habe es nochmal versucht, um Tippfehler auszuschließen, aber es funzt nicht. Eine Anmeldung als user mit dem alten Passwort funktioniert (zum Glück) immer noch.

[TRex]

"Ich konnte mich nicht grafisch mit root anmelden".

Das war die optimale Darstellung deines Problems. Und die Antwort darauf ist: das geht auch nicht (grafisch). Du kannst jetzt in einem Terminal mit dem Passwort root werden oder dich an einem der ttys anmelden, das war der gewünschte Effekt.

[DeletedUserReAsG]

Ach so, du versuchst, eine grafische Session für Root zu starten? An der Stelle bin ich raus.

Das Einzige, was ich darüber weiß: das wird aktiv erschwert – es gibt absolut keinen Grund, eine X-Session (oder auch Wayland) unter Root laufen zu lassen, aber viele Gründe dagegen.

[rei19]

"Ich konnte mich nicht grafisch mit root anmelden".

Das war die optimale Darstellung deines Problems. Und die Antwort darauf ist: das geht auch nicht (grafisch). Du kannst jetzt in einem Terminal mit dem Passwort root werden oder dich an einem der ttys anmelden, das war der gewünschte Effekt.

Aber im Terminal zum root werden, konnte ich doch vorher auch. Habe ich denn jetzt nur erreicht, dass ich 2 Passwörter statt 1 Passwort habe?

[rei19]

Das Einzige, was ich darüber weiß: das wird aktiv erschwert – es gibt absolut keinen Grund, eine X-Session (oder auch Wayland) unter Root laufen zu lassen, aber viele Gründe dagegen.

Ich finde das auch riskant. Aber kann man denn Programme wie Synaptic und "Software & update", für die root-Rechte benötigt werden, nur vom Terminal aus mit root-Rechten starten?

[TRex]

Habe ich denn jetzt nur erreicht, dass ich 2 Passwörter statt 1 Passwort habe?

Du hast direkten Zugriff auf den root-Account.

Je nach Konfiguration (es gab in dem Thread ja schon ein paar Hinweise) hast du jetzt ein oder zwei Möglichkeiten/Passwörter, um zu root zu werden, nämlich direkt mit su und indirekt mit sudo.

Was machst du, wenn du bei gescheitertem boot vor "enter root password to continue" stehst? Richtig, das root-Passwort eingeben, dass du jetzt hast.
Wenn du die Sicherheit deines Systems erhöhen möchtest, entfernst du jetzt sudo, damit es nicht wie beschrieben gegen dich verwendet werden kann. Das ist deine Entscheidung, ich habe auf fast allen Systemen sudo (mit unterschiedlichen Konfigurationen).


Und Hinweise auf den Bindestrich bei su bitte an der Poststelle abgeben, danke! Ich beschreibe da ein Tool, keinen vollständigen Befehl.

[rei19]

Je nach Konfiguration hast du jetzt ein oder zwei Möglichkeiten/Passwörter, um zu root zu werden, nämlich direkt mit su und indirekt mit sudo.

Was machst du, wenn du bei gescheitertem boot vor "enter root password to continue" stehst? Richtig, das root-Passwort eingeben, dass du jetzt hast.

Das habe ich verstanden. Also lasse ich es so. Ich habe jetzt für root dasselbe Passwort gesetzt wie für den user, um mir nur eines merken zu müssen. Hat das Nachteile oder ist das ok?

[DeletedUserReAsG]

Hat das Nachteile […]?

Natürlich. Aber solange du sowieso alles via sudo und Userpasswort erlaubst, hat’s zumindest keine zusätzlichen Nachteile.

[katzenfan]

Mir erschließt sich nicht, wieso man sich via Konsole als Root anmelden will, nur um bspw. Synaptic zu starten, welches sowieso nach dem Paßwort fragt, wenn man bereits als User angemeldet ist?

Viele Grafikprogramme incl. üblicher Editoren starten oft nicht via Konsole, wenn man sie als Root aufruft.

[rei19]

Mir erschließt sich nicht, wieso man sich via Konsole als Root anmelden will, nur um bspw. Synaptic zu starten, welches sowieso nach dem Paßwort fragt, wenn man bereits als User angemeldet ist?

Dies Unverständnis verstehe ich. Mein Problem ist, dass sich Synaptic vom Anwendungsmenü nicht starten lässt. Wenn du dabei mitschreiben möchtest, hier ist der Link zum Thema.

[uname]

Ich habe jetzt nicht alles gelesen.

Aber wer sudo verwendet wie es z. B. bei Ubuntu vorgegeben ist, kann auch gleich für seinen Benutzer und root dasselbe Passwort vergeben.
Denn am Ende ist es fast egal ob man per "su" und dem Passwort oder "sudo -s" und demselben Passwort root wird.

Das Risiko von außen mag bei einem root-Passwort etwas größer sein, da hier der Angreifer schon den Benutzernamen root kennt.
Aber wirklich hift das nicht: https://de.wikipedia.org/wiki/Security_ ... _obscurity