Veralteter Artikel:Root-Account aktivieren
Aus Ubuntu-Forum Wiki
Zero77 (Diskussion | Beiträge) |
Zero77 (Diskussion | Beiträge) K (hat „Root Account aktivieren“ nach „Root-Account aktivieren“ verschoben) |
Version vom 24. Mai 2010, 16:32 Uhr
Dieser Artikel bedarf einer Aktualisierung. |
Inhaltsverzeichnis |
1 Warum und wie einen Root Account aktivieren ?
Bei einem Start von Ubuntu sieht man in Grub den Eintrag "Failsafe". Wenn man diesen auswählt startet das System im Textmodus. In diesem Terminal ist man standardmäßig direkt als root angemeldet.
Lässt man also sein System im Wohnzimmer einer Familie oder bei evtl. nicht vertrauenswürdigen Besuch einige Minuten unbeobachtet, so brauchen diese Personen lediglich den Rechner neu starten um ernsthaften Schaden am System anrichten zu können. Allein die folgende Eingabe löscht sofort alle Daten auf der Festplatte (mit ganz wenigen Ausnahmen):
# rm -r /
- (Nicht nachmachen an alle Ubuntu Anfänger!!)
Das gleiche könnte man zwar mit dem Laden einer Knoppix CD auch erreichen, jedoch dauert ein solcher Angriff erheblich länger. Ein Angriff aus dem im Failsafe gebooteten Ubuntu dagegen dauert meistens nicht mehr als drei Minuten.
Um einem derartig kurzen Angriff vorzubeugen hilft das folgende Kommando:
# sudo passwd
Dieses Kommando setzt ein root Passwort, so dass der dümmliche Angreifer erst einmal nicht weiter kommt. Gerade in Familien und auf LapTops sollte man dieses unter Ubuntu IMMER setzen, da diese genau solchen primitiven Angriffsmethoden häufig ausgesetzt sind.
Möchte man außerdem (um den Passwortschutz bei der Option Failsafe unter Grub, also beim starten des Systems, zu gewährleisten, ist dies jedoch nicht notwendig!), dass bei jedweder Installation von Programmen und allen anderen administrativen Aufgaben das root Passwort und nicht mehr das eigene Passwort sondern das soeben gesetzte root Passwort verwendet wird, so startet man mit Hilfe des folgenden Befehls den Editor visudo:
# sudo visudo
In der sich öffnenden Datei fügt man folgende Zeile in die erste Zeile ganz oben hinzu:
Defaults !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0
Die gesammte Datei sieht nach dem hinzufügen wie folgt aus:
# /etc/sudoers Defaults !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0 # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # Host alias specification # User alias specification # Cmnd alias specification # Defaults Defaults !lecture,tty_tickets,!fqdn # User privilege specification root ALL=(ALL) ALL # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL
Zum Speichern der Datei wird die Tastenkombination Strg+O verwendet. Der Editor fragt anschließend noch einemal nach, ob das in der Datei /etc/sudoers.tmp gespeichert werden soll. Dies ist einfach nur mit ENTER zu bestätigen.
2 sudo wieder "exklusiv" aktivieren
Möchte man die oben angezeigten Änderungen rückgängig machen, so entfernt man in der oben geöffneten Datei wieder die fett markierte Zeile und gibt anschließend folgendes Kommando im Terminal ein:
# sudo passwd -l root
3 physikalischer Zugriff auf den Rechner
Um physikalischen Zugriff auf den Rechner zu vermeiden wird an dieser Stelle zu der Benutzung eines Kensington-Schlosses geraten. Man sollte zusätzlich im BIOS das direkte Booten von der Festplatte einstellen; ohne dass der Computer zuerst versucht vom CD Laufwerk oder dem USB Stick zu booten. Das verhindert das direkte Booten von z.B. Knoppix. Nachdem man das eingestellt hat, sollte man das BIOS auch mit einem Passwort absichern. Man beachte: Es gibt im Internet trotzdem viele Hinweise und Tipps dieses BIOS Passwort zu umgehen. Einen perfekten Schutz gibt es in diesem Fall also nicht; aber es sollte in der Regel ausreichen um einen Angriff von wenigen Minuten zu überdauern, in denen man das System kurzzeitig unbeaufsichtigt hat.
4 Daten vor Zugriff mit Hilfe einer Live CD schützen
Ein Hinweis sei noch gegeben: Möchte man zumindest die wichtigsten Daten vor dem Zugriff mit Hilfe einer Live CD schützen, so bleibt nur und ausschließlich die Verschlüselung mit Truecrypt oder mit GnuPG, welches u.a. auch zum Verschlüsseln von E-Mails verwendet wird. Vor dem Löschen von verschlüsselten Daten schützt allerdings auch das wenig.
5 Lizenz von diesem Wiki Beitrag
Der Wiki Beitrag steht unter der Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 2.0 Deutschland - oder neuer - Lizenz. Aus diesem Grund wird hier der Verpflichtung nachgekommen und auf den Original Beitrag verlinkt.