[1] MLD-5.x / Feature requests / nur (?) root-Login?
 

Offline v_d.b.an

  • Newbie
  • *
  • Posts: 27
    • View Profile
nur (?) root-Login?
« on: July 18, 2019, 14:03:15 »
Liebes Forum,


ich bin zwar erst ein paar Tage dabei (auch als MLD-Benutzer) und zuallererst: Läuft super!

Deswegen steht es mir auch nicht zu, "Kritik" zu üben; ich habe dieses Thema daher unter "Wünsche" einsortiert... ;)

Ich habe auch gesehen, dass es eine bewusste Entscheidung ist, dass "die MLD ganz bewusst mit root rechten" läuft...:
Quote from: clausmuus on February 16, 2016, 14:31:29
Wir lassen die MLD ganz bewusst mit root rechten laufen. Andernfalls wären viele Funktionen die wir anbieten nur mit immensen Aufwand umsetzbar und deutlich komplizierter. Nichts desto trotz ist mir sehr wohl bekannt warum normale Desktop Systeme nicht als root User verwendet werden.
Die MLD ist halt kein auf Sicherheit getrimmtes System, sondern soll möglichst einfach und schlank sein. Trotzdem wird z.B. der Chrome Browser nicht als root gestartet.
Da der Rechner mit MLD als reines MediaCenter läuft, kann ich damit leben.

Ich würde mir allerdings wünschen, zu ermöglichen, dass "root" sich nicht per ssh anmelden kann (nicht als "Standard", sondern als "Option", gerne auch mit ein bisschen "Frickelei" auf der Konsole... ;)).
Denn die Logeinträge auf anderen Linux-Systemen zeigen, dass immer wieder Anmeldungen per ssh versucht werden und der erste Zugriff erfolgt (wenig überraschend) mit dem Benutzer "root" (oder "user" ;)).

Ich habe - entsprechend dem vorgenannten Beitrag, sowie im Beitrag Nutzer-Verwaltung einen neuen User in der /etc/passwd angelegt, aber diesem root-Rechte per "su" zu verschaffen, geht nicht ("su: must be suid to work properly").

Gibt es eine andere Möglichkeit, als "su" mit dem "stickybit" zu versehen und "root" (und user?) aus dropbear auszuschließen... (oder drobpear gegen openssh-server zu tauschen)?

Ich hoffe, das ist jetzt nicht zu frech :-[ oder zu viel auf einmal...

Vielen Dank und LG,

v_d.b.an
Logged

Offline skippy

  • MLD-Tester
  • Expert Member
  • ******
  • Posts: 2280
    • View Profile
nur (?) root-Login?
« Reply #1 on: July 18, 2019, 21:36:35 »
Hallo und Willkommen bei der MLD.

Es sollte reichen, den Namen root in der /etc/passwd umzubenennen. Siehe dazu auch diesen Beitrag. Da gibt es auch noch eine kleine Warnung dazu. Der Tipp ist ohne Gewähr, ich habe es noch nicht selbst ausprobiert

Viele Grüße skippy
Logged
meine MLDs (show / hide)

Offline v_d.b.an

  • Newbie
  • *
  • Posts: 27
    • View Profile
nur (?) root-Login?
« Reply #2 on: July 19, 2019, 11:30:49 »
ReHallo und Danke für das "Willkommen".

Auf die Idee mit dem Umbenennen bin ich noch nicht gekommen...
Aber das wird ja auch in dem verlinkten Beitrag nicht wirklich empfohlen
Quote from: https://www.linuxforen.de/forums/showthread.php?18593-Root-umbenennen!
ABER VORSICHT: manche Programme sind darauf angewiesen, dass ein Account namens Root existiert.

LG,

v_d.b.an
Logged

Offline baltic

  • MLD-Debugger
  • Expert Member
  • *****
  • Posts: 724
    • View Profile
nur (?) root-Login?
« Reply #3 on: July 19, 2019, 17:57:01 »
Auch von mir ein herzliches Hallo und Willkommen!

Ich kann Dir bei der Lösung der eigentlichen Fragestellung zwar nicht helfen, möchte aber mal zu bedenken geben, dass z.B. Router i.A. auch nur mit dem root-Account laufen. Wenn das so kritisch wäre, hätten sich da sicher längst andere Lösungen etabliert.
Vielmehr solltest Du Deine Bemühungen erst einmal auf die Firewall konzentrieren, wenn tatsächlich öfter "Besuch" da war. Oder sind die angesprochenen Maschinen mit Absicht aus dem I-Net erreichbar sein?

Gruß
baltic
Logged
MLD 5.5 – unstable  Asus M3N78-EM  SkyStar2

Offline v_d.b.an

  • Newbie
  • *
  • Posts: 27
    • View Profile
nur (?) root-Login?
« Reply #4 on: July 19, 2019, 19:32:11 »
ReHallo baltic,


und ebenfalls Danke.

Über root-Router habe ich mir in der Tat bislang keine Gedanken gemacht...

Rechner sind bei mir in der Regel nicht (mehr) unmittelbar aus dem Internet erreichbar, soweit nicht zwingend erforderlich.
Der VDR war es (lange her) früher, um auch aus der Ferne Timer anlegen zu können; aber dazu braucht er ja nicht "frei" im Internet erreichbar zu sein - dafür gibt's ja VPN...

Die "Angriffe" sehe ich aber z. B. beim Cloud-Server (der ja erreichbar sein muß).

Insofern ist es wohl - ohne direkte Erreichbarkeit - nicht ein unmittelbares Problem, da gebe ich Dir Recht.

Trotzdem ist mir unwohl... so grundsätzlich... (mal versehentlich 'nen Port in der FW geöffnet und merkt's nicht/nicht rechtzeitig?)
Root-no-login per ssh ist  normalerweise (mit) das erste, was ich bei Neuinstallation ändere...

LG,

v_d.b.an
« Last Edit: July 19, 2019, 22:07:46 by v_d.b.an »
Logged

Offline baltic

  • MLD-Debugger
  • Expert Member
  • *****
  • Posts: 724
    • View Profile
nur (?) root-Login?
« Reply #5 on: July 20, 2019, 14:41:26 »
Hallo,

ich kann Deine Beweggründe durchaus nachvollziehen und halte die Gedanken keineswegs für Unsinn.

Als kurzfristige Lösung bleiben eigentlich nur das Abschalten des ssh-Dienstes oder die Verlegung zu einem anderen Port. Letzteres würde auch Deinen Cloud-Server deutlich sicherer machen, denn die meisten Scans laufen eben auf den Standardeinstellungen.

Solltest Du Dich entschließen, Dein System umzubauen, wäre es schön, wenn Du Deine Erfahrungen in einem HowTo der Öffentlichkeit zugänglich machen könntest.

Ich kenne Dein Umfeld nicht, aber manchmal droht das Ungemach gar nicht aus der Ferne: Spielende Kinder (oder Ehefrauen  :P ) könnten bei angeschlossener Tastatur durchaus auch für Unbill sorgen, weil man sich auf den so verfügbaren Konsolen nicht mit Passwort anmelden muss.  ;)

Gruß
baltic
Logged
MLD 5.5 – unstable  Asus M3N78-EM  SkyStar2

[1] MLD-5.x / Feature requests / nur (?) root-Login?
 



Users Online Users Online

0 Members and 1 Guest are viewing this topic.