[gelöst] Fragen zu root-Rechten

[debilian]

Einen Ordner oder Datei namens "/etc/passwd" kann ich mit dem Dateimanager nicht finden.

wundert mich zwar, hier wird die Datei "passwd" als Benutzer auch im Dateimanager angezeigt.
Spielt aber keine Rolle, die solltest du besser in einem Terminal / einer Konsole editieren. Bzw. mit dem "passwd" Befehl oder "vipw", so du in der Lage bist mit "vi" zu arbeiten.

gruss

[rei19]

Einen Ordner oder Datei namens "/etc/passwd" kann ich mit dem Dateimanager nicht finden. Aber wenn ich den Pfad eingebe, wird eine Datei "passwd" geöffnet. Das erkläre mir bitte mal!

Keiner weiß, welchen Dateimanager du nutzt, und wie der konfiguriert ist. Bei mir zeigt thunar die Datei jedenfalls auch für Nutzer an.

Sorry, ich habe meinen Beitrag bereits geändert, weil ich die Datei nun doch gefunden habe. Ich wusste nicht, dass Dateien erst unterhalb der Ordner angezeigt werden.

[willy4711]

Ja, möchtest du nun eine Trennung, oder nicht? Wenn ja, wirst du das Passwort für Root auf einen bekannten Wert setzen müssen, was nunmal mit sudo passwd zu machen ist, um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren.

Warum so kompliziert ?
Wenn ich sudo nicht mehr haben will mache ich es so:

Code: Alles auswählen

sudo su

Passwort für Root kreieren

Code: Alles auswählen

passwd

Am besten Neustart

Code: Alles auswählen

su -

Code: Alles auswählen

apt purge sudo

Ferddig ist die Laube. Da braucht man nicht in irgendwelchen Konfigs herumfummeln

[rei19]

... um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren.

Danke, das ist die Information, die mir weiterhilft. Allerdings übersteigt das meine bisherigen Kenntnisse. Die Datei ist schreibgeschützt. Ich weiß nicht, ob ich dir zumuten darf, mir die Änderung in einfacher Sprache zu erklären.

[fischig]

Code: Alles auswählen

apt purge sudo

... und nimmt sich damit die Möglichkeit, sudo für andere Zwecke nutzen zu können. Ich halte niemands Verfahren für weniger invasiv.

Die Datei ist schreibgeschützt. Ich weiß nicht, ob ich dir zumuten darf, mir die Änderung in einfacher Sprache zu erklären.

Wenn du die Datei als der User öffnest, der zur Zeit als root fungiert/fungieren darf, sollte das gehen. Das „wie genau" sollte jemand anderes erklären. Existierend ist sudo nicht so ohne und ich habe noch nie sowas „Dummes“ gemacht.

[DeletedUserReAsG]

Die Datei ist schreibgeschützt. Ich weiß nicht, ob ich dir zumuten darf, mir die Änderung in einfacher Sprache zu erklären.

Die gehört Root, und Root kann sich über den Schreibschutz hinwegsetzen, ohne dass man da die Rechte bearbeiten müsste. Es ist im Grunde eine normale Textdatei, die mit jedem beliebigen Editor geöffnet werden kann – man sollte sie allerdings nur mit einem Wrapper (visudo) bearbeiten, der sicherstellt, dass die Datei beim Abspeichern nicht kaputt ist.

Die Änderung besteht im Wesentlichen darin, bei

Code: Alles auswählen

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

die Zeile mit den vielen ALL mit einem # am Anfang zu versehen. Obacht: wenn du bis dahin kein Root-Passwort gesetzt hast, hast du dich praktisch um deine Rootrechte gebracht, und benötigst ein Livesystem, um sie wiederzuerlangen.

Ebenso, nur noch einfacher, könnte man den User aus der Gruppe sudo entfernen. Die Änderung wird dann allerdings erst beim nächsten Login wirksam.

[rei19]

Allerdings: die Existenz eines solchen „jemand“ kann man nur genau dann ausschließen, wenn der Rechner nicht an ein Netzwerk angebunden ist.

Mein Netzwerk wäre das Internet. Aber warum soll es sicherer sein getrennte Konten für user und root zu haben?

[rei19]

Obacht: wenn du bis dahin kein Root-Passwort gesetzt hast, hast du dich praktisch um deine Rootrechte gebracht, und benötigst ein Livesystem, um sie wiederzuerlangen.

Ebenso, nur noch einfacher, könnte man den User aus der Gruppe sudo entfernen. Die Änderung wird dann allerdings erst beim nächsten Login wirksam.

Kann es sein, dass ich falsch verstanden wurde? Der User soll nach wie vor "sudo" anwenden dürfen. Dann darf der doch nicht aus der Gruppe sudo entfernt werden???
So, ich habe mich also um meine Rootrechte gebracht. Jetzt geht mir ein Licht auf! Nun verstehe ich plötzlich Einiges. Danke für die Aufklärung! Und was muss ich mit dem Live-System machen, um Rootrechte zu ermöglichen?

[DeletedUserReAsG]

Aber warum soll es sicherer sein getrennte Konten für user und root zu haben?

Weiß nicht. Warum sollte man nicht gleich den Root-Login ganz ohne Passwort erlauben? Wenn dein Rechner nur am Internet hängt, kann ja gar nichts passieren – jeder weiß, dass im Internet nur nette, aufrichtige User sind⸮

Kann es sein, dass ich falsch verstanden wurde?

Mag sein. Aus meiner Sicht willst du verschiedene, sich ausschließende Dinge auf einmal (den Rootaccount nutzbar machen, aber ihm kein Passwort geben). Mag an mir liegen, könntest du daher nochmal langsam schreiben, worum’s dir nun überhaupt geht?

Natürlich kannst du deinem Root ein Passwort verpassen (nämlich mit sudo passwd, wie geschrieben), und dem User via sudo mit dem Userpasswort volle Rootrechte einräumen – aber richtig sinnvoll ist das auch irgendwie nicht.

So, ich habe mich also um meine Rootrechte gebracht.

Erst lesen, dann verstehen, dann erst umsetzen :p

Und was muss ich mit dem Live-System machen, um Rootrechte zu ermöglichen?

Booten, die Partition, auf der sich /etc des Systems befindet, mounten. Dann die Änderung in der sudoers mit einem Editor rückgängig machen, und wieder in das System booten.


---
Edit: Typo

[fischig]

So wie ich ihn verstanden habe, möchte er letztlich zwei Dinge erreichen:
1. ein eigenständiges Root-Passwort einrichten
2. als User die Möglichkeit behalten, sudo zu benutzen (z.B. in Scripten)

[rei19]

Mag an mir liegen, könntest du daher nochmal langsam schreiben, worum’s dir nun überhaupt geht?

Und was muss ich mit dem Live-System machen, um Rootrechte zu ermöglichen?

Booten, die Partition, auf der sich /etc des Systems befindet, mounten. Dann die Änderung in der sudoers mit einem Editor rückgängig machen, und wieder in das System booten.

Nee, da ist nichts rückgängig zu machen. Es war noch nie anders als so wie es jetzt ist. Also, dann mal ganz ausführlich:
Ehrlich gesagt, zweifel ich nun auch an mir selbst. Ich erinnere noch, dass ich beim Installieren aufgefordert wurde jeweils einen Benutzernamen für den user und root, sowie jeweils 1 Passwort dafür zu vergeben. Alternativ konnte man die Anmeldung als root deaktivieren, womit der user mithilfe von "sudo" Administratorrechte erlangt, - soweit meine Erinnerung. Ich hatte mich für das Deaktivieren entschieden, weil ich meinte, Administratorrechte sind dasselbe wie Rootrechte. Aber das hatte ich wohl falsch verstanden? So, nun stehe ich doof da ohne Rootrechte, und frage: "Wie mache ich mir 2 Konten, eines für "user" mit Administratorrechte mittels "sudo" und ein zweites Konto für den root mit einem eigenen Passwort?"
(Wir schaffen das noch! Ich gebe nicht so schnell auf.)

[rei19]

So wie ich ihn verstanden habe, möchte er letztlich zwei Dinge erreichen:
1. ein eigenständiges Root-Passwort einrichten
2. als User die Möglichkeit behalten, sudo zu benutzen (z.B. in Scripten)

Ja, genau! Wenigstens einer, der mich versteht! Und wie mache ich das Gewünschte möglich?

[MSfree]

So wie ich ihn verstanden habe, möchte er letztlich zwei Dinge erreichen:
1. ein eigenständiges Root-Passwort einrichten
2. als User die Möglichkeit behalten, sudo zu benutzen (z.B. in Scripten)

Ja, genau! Wenigstens einer, der mich versteht! Und wie mache ich das Gewünschte möglich?

Zu 1:
Das root-Konto wird bei der "Deaktivierung" im Installationsprozeß nicht entfernt. Es wird lediglich ein zufällig generiertes Paßwort für root erzeugt, das du niemals zu Gesicht bekommst. Es reicht aus, das root-Paßwort nachträglich zu setzen, das geht mit

Code: Alles auswählen

sudo passwd

Zu 2.:
Dein Wunsch ist mir komplett unverständlich. Sobald du das root-Paßwort erstellt hast, kannst du beides nutzen. Das ist dann halt doppelt unsicher. Ein Angreifer muß dann nur dein Paßwort oder das Root-Paßwort ausspionieren, denn mit beiden kann er sich die absolute Herrschaft über das System besorgen.

[MSfree]

Ich hatte mich für das Deaktivieren entschieden, weil ich meinte, Administratorrechte sind dasselbe wie Rootrechte.

Das meinst du nicht nur, das ist auch so. Der Administrator darf sudo benutzen und mit sudo wird man genauso temporät zum Benutzer "root" wie mit einem Login als root.

[fischig]

Das hängt jetzt vom aktuellen Stand der Dinge ab. Du hast ja nun schon was (erfolglos) verstellt. Wenn es dir gelingt, das rückgängig zu machen, hat niemand weiter oben schon die Vorgehensweise beschrieben:

(du) wirst das Passwort für Root auf einen bekannten Wert setzen müssen, was nunmal mit sudo passwd zu machen ist, um anschließend in der /etc/sudoers die Möglichkeit des Erlangens der Rootrechte mit einem Userpasswort zu deaktivieren

wobei ich „bekannt“ mit „neu, selbstgewählt“ interpretierte. Wenn falsch, habe ich ihn auch nicht verstanden.

MSFree war schneller, was 1. betrifft. 2. sehe ich etwas anders.

[rei19]

Ich habe nun mit "sudo passwd" ein Passwort eingegeben. Und wie kann mich mich nun als root anmelden? Welchen Benutzernamen hat root?

[MSfree]

Und wie kann mich mich nun als root anmelden?

Code: Alles auswählen

su -

mit Minuszeichen!

Welchen Benutzernamen hat root?

root

[rei19]

Welchen Benutzernamen hat root?

root

Das funzt nicht.

[DeletedUserReAsG]

Was „funzt“ nicht?

Langsam bin ich mir nicht mehr sicher, ob hier nicht doch wieder nur getrollt wird.

[fischig]

Den Namen „root“ wirst du höchst selten benötigen.

„su“ steht für substitute user und der Bindestrich/das Minuszeichen signalisiert dem System, dass root sich anzumelden wünscht. Mit

Code: Alles auswählen

su rei19

wirst du wieder User rei19. Mit exit geht's jeweils eine Anmeldung zurück.

[rei19]

Was „funzt“ nicht?

Ich habe im Terminal "sudo passwd" eingegeben. Dann wurde nach dem user-Passwort gefragt. Ich habe es eingegeben. Dann sollte ich ein neues Passwort eingeben. Ich habe dich so verstanden, dass dies mein root-Passwort sein soll. Nach "Enter" sollte ich das neue Passwort wiederholen. Es erschien die Meldung "Das Passwort wurde erfolgreich geändert." Dann habe ich oben rechts auf "Benutzer wechseln" geklickt, dann beim Anmeldebildschirm auf "nicht aufgeführt?" weil root nicht aufgeführt war. Es erschien ein Eingabefeld für den Benutzernamen, wo ich "root" eingetippt habe. nach "Enter" konnte ich das neue Passwort eingeben, aber es erschien die Meldung "Das hat nicht geklappt". Ich habe es nochmal versucht, um Tippfehler auszuschließen, aber es funzt nicht. Eine Anmeldung als user mit dem alten Passwort funktioniert (zum Glück) immer noch.

[TRex]

"Ich konnte mich nicht grafisch mit root anmelden".

Das war die optimale Darstellung deines Problems. Und die Antwort darauf ist: das geht auch nicht (grafisch). Du kannst jetzt in einem Terminal mit dem Passwort root werden oder dich an einem der ttys anmelden, das war der gewünschte Effekt.

[DeletedUserReAsG]

Ach so, du versuchst, eine grafische Session für Root zu starten? An der Stelle bin ich raus.

Das Einzige, was ich darüber weiß: das wird aktiv erschwert – es gibt absolut keinen Grund, eine X-Session (oder auch Wayland) unter Root laufen zu lassen, aber viele Gründe dagegen.

[rei19]

"Ich konnte mich nicht grafisch mit root anmelden".

Das war die optimale Darstellung deines Problems. Und die Antwort darauf ist: das geht auch nicht (grafisch). Du kannst jetzt in einem Terminal mit dem Passwort root werden oder dich an einem der ttys anmelden, das war der gewünschte Effekt.

Aber im Terminal zum root werden, konnte ich doch vorher auch. Habe ich denn jetzt nur erreicht, dass ich 2 Passwörter statt 1 Passwort habe?

[rei19]

Das Einzige, was ich darüber weiß: das wird aktiv erschwert – es gibt absolut keinen Grund, eine X-Session (oder auch Wayland) unter Root laufen zu lassen, aber viele Gründe dagegen.

Ich finde das auch riskant. Aber kann man denn Programme wie Synaptic und "Software & update", für die root-Rechte benötigt werden, nur vom Terminal aus mit root-Rechten starten?