[gelöst] Fragen zu root-Rechten

[rei19]

Ich habe mir gestern bullseye (debian11) mit xfce installiert, und dabei das Einloggen als root deaktiviert, weil ich dachte, es sei einfacher nur 1 Passwort und Name zu haben. Ich weiß nicht, ob das schlau war, denn manche Programme brauchen root-Rechte, um sie vollständig nutzen zu können. Kann ich die jetzt nur noch vom Terminal aus starten für volle Nutzbarkeit?
Und an die erfahrenen Nutzer: Welche Vor- und Nachteile haben die beiden Möglichkeiten zum Erlangen von root-Rechten? Und könnte ich jetzt nachträglich doch noch ein root-Konto erstellen? Wenn ja, wie?
Danke schon mal für eure Belehrungen!

[debilian]

Das root-Konto sollte trotzdem vorhanden sein, du hast nur das grafische Login verboten... siehe /etc/passwd...

per su kannst du dich im Terminal als root anmelden und per sudo könntest du dem Benutzer (temporär) root-Rechte geben...

[DeletedUserReAsG]

Ein gültiges Passwort für den Root-Account ließe sich hier mit etwa sudo passwd erstellen. Eine Shell mit Root-Rechten ließe sich etwa via sudo bash öffnen, darin könnte man auch einfach passwd aufrufen.

Welche Vor- und Nachteile haben die beiden Möglichkeiten zum Erlangen von root-Rechten?

Ich persönlich halte die Option, mit dem Userpasswort umfassende Rootrechte zu bekommen, für recht dumm. Es ist ja gerade der Trick an der Sache, dass jemand mit ’nem abgephishten Userpasswort nicht auch gleich ein Rootkit draufschaufeln, und sich so einnisten kann.

[rockyracoon]

@niemand:

Ich persönlich halte die Option, mit dem Userpasswort umfassende Rootrechte zu bekommen, für recht dumm. Es ist ja gerade der Trick an der Sache, dass jemand mit ’nem abgephishten Userpasswort nicht auch gleich ein Rootkit draufschaufeln, und sich so einnisten kann.

[kalle123]

Bei den Warnungen hier, reden wir jetzt hier über einen Angreifer, der physikalisch direkt vor dem Rechner sitzt oder von einem Angriff mit 'abgephishten Userpasswort' von außen per ssh?

Denke, das sollte man dem Fragesteller hier schon klar vermitteln

KH

[DeletedUserReAsG]

Bei den Warnungen hier, reden wir jetzt hier über einen Angreifer, der physikalisch direkt vor dem Rechner sitzt oder von einem Angriff mit 'abgephishten Userpasswort' von außen per ssh?

Inwiefern unterscheidet sich das mit Bezug auf die Frage „Rootrechte mit Userpasswort oder mit Rootpasswort“?

[kalle123]

Inwiefern unterscheidet sich das mit Bezug auf die Frage „Rootrechte mit Userpasswort oder mit Rootpasswort“?

Bin ich jetzt wieder zurück in der Schulbank und der Herr Lehrer fragt?

[DeletedUserReAsG]

Nein.

Die Frage war: inwiefern unterscheidet sich das mit Bezug auf die Frage „Rootrechte mit Userpasswort oder Rootpasswort“?

In meinen Augen ist’s völlig unerheblich, wo jemand sich befindet, wenn er mit dem Userpasswort Rootrechte erlangen kann – deswegen ist mir nicht ganz klar, worauf du denn hinaus möchtest, bzw. was genau man denn dem TE klar vermitteln sollte, und ich habe die obenstehende Frage gestellt. Wie man von da aus auf Schule und Lehrer kommen könnte, erschließt sich mir nicht, btw.

[rei19]

Bei den Warnungen hier, reden wir jetzt hier über einen Angreifer, der physikalisch direkt vor dem Rechner sitzt oder von einem Angriff mit 'abgephishten Userpasswort' von außen per ssh?
Denke, das sollte man dem Fragesteller hier schon klar vermitteln
KH

Danke @kalle123! Weil weder das Eine noch das Andere für mich relevant ist, habe ich nichts Dummes gemacht.

[rei19]

Ein gültiges Passwort für den Root-Account ließe sich hier mit etwa sudo passwd erstellen. Eine Shell mit Root-Rechten ließe sich etwa via sudo bash öffnen, darin könnte man auch einfach passwd aufrufen.

Ich persönlich halte die Option, mit dem Userpasswort umfassende Rootrechte zu bekommen, für recht dumm. Es ist ja gerade der Trick an der Sache, dass jemand mit ’nem abgephishten Userpasswort nicht auch gleich ein Rootkit draufschaufeln, und sich so einnisten kann.

Ich habe nichts Dummes gemacht, weil es diesen "jemand" nicht gibt. Lass uns darüber bitte nicht diskutieren, ich habe wichtigere Themen. Der Hinweis auf "sudo passwd" hilft mir nicht weiter, weil ich mein Passwort nicht ändern möchte, sondern ggf. eine Trennung zwischen user-account und root-account. Bitte wie wäre das möglich?

[debilian]

@rei19

gibt es den Benutzer "root" in der /etc/passwd?

[DeletedUserReAsG]

Ich habe nichts Dummes gemacht, weil es diesen "jemand" nicht gibt.

Keiner hat dir unterstellt, was Dummes gemacht zu haben – es ist schlicht eine Frage der persönlichen Einstellung, wie man es mit sudo und Rootaccount hält. Es gibt kein Richtig oder Falsch, es gibt nur verschiedene Varianten, von denen jede ihre Vor- und Nachteile hat. Gäbe es ein einziges „Richtig“, dann würde der Installer da sinnvollerweise keine Wahlmöglichkeit lassen.

Allerdings: die Existenz eines solchen „jemand“ kann man nur genau dann ausschließen, wenn der Rechner nicht an ein Netzwerk angebunden ist.

Der Hinweis auf "sudo passwd" hilft mir nicht weiter, weil ich mein Passwort nicht ändern möchte, sondern ggf. eine Trennung zwischen user-account und root-account.

Ja, möchtest du nun eine Trennung, oder nicht? Wenn ja, wirst du das Passwort für Root auf einen bekannten Wert setzen müssen, was nunmal mit sudo passwd zu machen ist, um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren.


---

gibt es den Benutzer "root" in der /etc/passwd?

Es gibt immer einen Benutzer mit der UID 0, und in 99,999928% der Fälle ist dessen Name „root“.

[debilian]

@niemand

Es gibt immer einen Benutzer mit der UID 0, und in 99,999928% der Fälle ist dessen Name „root“.

jo, meine erste Antwort hier und meine letzte Antwort hier waren ja auch der Hint, dass das so ist....

[rei19]

@rei19

gibt es den Benutzer "root" in der /etc/passwd?

Der erste Eintrag in dieser Datei lautet: root: x:0:0:root:/root:/bin/bash

[DeletedUserReAsG]

Einen Ordner oder Datei namens "/etc/passwd" kann ich mit dem Dateimanager nicht finden. Aber wenn ich den Pfad eingebe, wird eine Datei "passwd" geöffnet. Das erkläre mir bitte mal!

Keiner weiß, welchen Dateimanager du nutzt, und wie der konfiguriert ist. Bei mir zeigt thunar die Datei jedenfalls auch für Nutzer an.

[debilian]

Einen Ordner oder Datei namens "/etc/passwd" kann ich mit dem Dateimanager nicht finden.

wundert mich zwar, hier wird die Datei "passwd" als Benutzer auch im Dateimanager angezeigt.
Spielt aber keine Rolle, die solltest du besser in einem Terminal / einer Konsole editieren. Bzw. mit dem "passwd" Befehl oder "vipw", so du in der Lage bist mit "vi" zu arbeiten.

gruss

[rei19]

Einen Ordner oder Datei namens "/etc/passwd" kann ich mit dem Dateimanager nicht finden. Aber wenn ich den Pfad eingebe, wird eine Datei "passwd" geöffnet. Das erkläre mir bitte mal!

Keiner weiß, welchen Dateimanager du nutzt, und wie der konfiguriert ist. Bei mir zeigt thunar die Datei jedenfalls auch für Nutzer an.

Sorry, ich habe meinen Beitrag bereits geändert, weil ich die Datei nun doch gefunden habe. Ich wusste nicht, dass Dateien erst unterhalb der Ordner angezeigt werden.

[willy4711]

Ja, möchtest du nun eine Trennung, oder nicht? Wenn ja, wirst du das Passwort für Root auf einen bekannten Wert setzen müssen, was nunmal mit sudo passwd zu machen ist, um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren.

Warum so kompliziert ?
Wenn ich sudo nicht mehr haben will mache ich es so:

Code: Alles auswählen

sudo su

Passwort für Root kreieren

Code: Alles auswählen

passwd

Am besten Neustart

Code: Alles auswählen

su -

Code: Alles auswählen

apt purge sudo

Ferddig ist die Laube. Da braucht man nicht in irgendwelchen Konfigs herumfummeln

[rei19]

... um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren.

Danke, das ist die Information, die mir weiterhilft. Allerdings übersteigt das meine bisherigen Kenntnisse. Die Datei ist schreibgeschützt. Ich weiß nicht, ob ich dir zumuten darf, mir die Änderung in einfacher Sprache zu erklären.

[fischig]

Code: Alles auswählen

apt purge sudo

... und nimmt sich damit die Möglichkeit, sudo für andere Zwecke nutzen zu können. Ich halte niemands Verfahren für weniger invasiv.

Die Datei ist schreibgeschützt. Ich weiß nicht, ob ich dir zumuten darf, mir die Änderung in einfacher Sprache zu erklären.

Wenn du die Datei als der User öffnest, der zur Zeit als root fungiert/fungieren darf, sollte das gehen. Das „wie genau" sollte jemand anderes erklären. Existierend ist sudo nicht so ohne und ich habe noch nie sowas „Dummes“ gemacht.

[DeletedUserReAsG]

Die Datei ist schreibgeschützt. Ich weiß nicht, ob ich dir zumuten darf, mir die Änderung in einfacher Sprache zu erklären.

Die gehört Root, und Root kann sich über den Schreibschutz hinwegsetzen, ohne dass man da die Rechte bearbeiten müsste. Es ist im Grunde eine normale Textdatei, die mit jedem beliebigen Editor geöffnet werden kann – man sollte sie allerdings nur mit einem Wrapper (visudo) bearbeiten, der sicherstellt, dass die Datei beim Abspeichern nicht kaputt ist.

Die Änderung besteht im Wesentlichen darin, bei

Code: Alles auswählen

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

die Zeile mit den vielen ALL mit einem # am Anfang zu versehen. Obacht: wenn du bis dahin kein Root-Passwort gesetzt hast, hast du dich praktisch um deine Rootrechte gebracht, und benötigst ein Livesystem, um sie wiederzuerlangen.

Ebenso, nur noch einfacher, könnte man den User aus der Gruppe sudo entfernen. Die Änderung wird dann allerdings erst beim nächsten Login wirksam.

[rei19]

Allerdings: die Existenz eines solchen „jemand“ kann man nur genau dann ausschließen, wenn der Rechner nicht an ein Netzwerk angebunden ist.

Mein Netzwerk wäre das Internet. Aber warum soll es sicherer sein getrennte Konten für user und root zu haben?

[rei19]

Obacht: wenn du bis dahin kein Root-Passwort gesetzt hast, hast du dich praktisch um deine Rootrechte gebracht, und benötigst ein Livesystem, um sie wiederzuerlangen.

Ebenso, nur noch einfacher, könnte man den User aus der Gruppe sudo entfernen. Die Änderung wird dann allerdings erst beim nächsten Login wirksam.

Kann es sein, dass ich falsch verstanden wurde? Der User soll nach wie vor "sudo" anwenden dürfen. Dann darf der doch nicht aus der Gruppe sudo entfernt werden???
So, ich habe mich also um meine Rootrechte gebracht. Jetzt geht mir ein Licht auf! Nun verstehe ich plötzlich Einiges. Danke für die Aufklärung! Und was muss ich mit dem Live-System machen, um Rootrechte zu ermöglichen?

[DeletedUserReAsG]

Aber warum soll es sicherer sein getrennte Konten für user und root zu haben?

Weiß nicht. Warum sollte man nicht gleich den Root-Login ganz ohne Passwort erlauben? Wenn dein Rechner nur am Internet hängt, kann ja gar nichts passieren – jeder weiß, dass im Internet nur nette, aufrichtige User sind⸮

Kann es sein, dass ich falsch verstanden wurde?

Mag sein. Aus meiner Sicht willst du verschiedene, sich ausschließende Dinge auf einmal (den Rootaccount nutzbar machen, aber ihm kein Passwort geben). Mag an mir liegen, könntest du daher nochmal langsam schreiben, worum’s dir nun überhaupt geht?

Natürlich kannst du deinem Root ein Passwort verpassen (nämlich mit sudo passwd, wie geschrieben), und dem User via sudo mit dem Userpasswort volle Rootrechte einräumen – aber richtig sinnvoll ist das auch irgendwie nicht.

So, ich habe mich also um meine Rootrechte gebracht.

Erst lesen, dann verstehen, dann erst umsetzen :p

Und was muss ich mit dem Live-System machen, um Rootrechte zu ermöglichen?

Booten, die Partition, auf der sich /etc des Systems befindet, mounten. Dann die Änderung in der sudoers mit einem Editor rückgängig machen, und wieder in das System booten.


---
Edit: Typo

[fischig]

So wie ich ihn verstanden habe, möchte er letztlich zwei Dinge erreichen:
1. ein eigenständiges Root-Passwort einrichten
2. als User die Möglichkeit behalten, sudo zu benutzen (z.B. in Scripten)