Veralteter Artikel:Root-Account aktivieren
Aus Ubuntu-Forum Wiki
(→Warum und wie einen Root Account aktivieren ?) |
|||
Zeile 14: | Zeile 14: | ||
Dieses Kommando setzt ein root Passwort, so dass der dümmliche Angreifer erst einmal nicht weiter kommt. Gerade in Familien und auf LapTops sollte man dieses unter Ubuntu IMMER setzen, da diese genau solchen Primitiven Angriffsmethoden häufig ausgesetzt sind. | Dieses Kommando setzt ein root Passwort, so dass der dümmliche Angreifer erst einmal nicht weiter kommt. Gerade in Familien und auf LapTops sollte man dieses unter Ubuntu IMMER setzen, da diese genau solchen Primitiven Angriffsmethoden häufig ausgesetzt sind. | ||
- | Möchte man außerdem, dass bei jedweder Installation von Programmen und allen anderen administrativen Aufgaben das root Passwort und nicht mehr das eigene Passwort sondern das soeben gesetzte root Passwort verwendet wird, so startet man mit Hilfe des folgenden Befehls den Editor visudo: | + | Möchte man außerdem (um den Passwortschutz bei der Option Failsafe unter Grub, also beim starten des Systems, zu gewährleisten, ist dies jedoch nicht notwendig!), dass bei jedweder Installation von Programmen und allen anderen administrativen Aufgaben das root Passwort und nicht mehr das eigene Passwort sondern das soeben gesetzte root Passwort verwendet wird, so startet man mit Hilfe des folgenden Befehls den Editor visudo: |
<code> # sudo visudo </code> | <code> # sudo visudo </code> |
Version vom 6. September 2007, 22:04 Uhr
Inhaltsverzeichnis |
1 Warum und wie einen Root Account aktivieren ?
Bei einem Start von Ubuntu sieht man in Grub den Eintrag "Failsafe". Wenn man diesen auswählt startet das System im Textmodus. In diesem Terminal ist man standardmäßig direkt als root angemeldet.
Lässt man also sein System im Wohnzimmer einer Familie oder bei evtl. nicht vertrauenswürdigen Besuch einige Minuten unbeobachtet, so brauchen diese Personen lediglich den Rechner neu starten um ernsthaften Schaden am System anrichten zu können. Allein die folgende Eingabe löscht sofort alle Daten auf der Festplatte (mit ganz wenigen Ausnahmen):
# rm -r /
- (Nicht nachmachen an alle Ubuntu Anfänger!!)
Das gleiche könnte man zwar mit dem Laden einer Knoppix CD auch erreichen, jedoch dauert ein solcher Angriff erheblich länger. Die meisten böswilligen Angriffe, auch in den eigenen vier Wänden, passieren aus Langeweile oder böswilligen Absichten. Ein solcher Angriff dauert meistens nicht mehr als drei Minuten.
Um einem derartig kurzen Angriff vorzubeugen hilft das folgende Kommando:
# sudo passwd
Dieses Kommando setzt ein root Passwort, so dass der dümmliche Angreifer erst einmal nicht weiter kommt. Gerade in Familien und auf LapTops sollte man dieses unter Ubuntu IMMER setzen, da diese genau solchen Primitiven Angriffsmethoden häufig ausgesetzt sind.
Möchte man außerdem (um den Passwortschutz bei der Option Failsafe unter Grub, also beim starten des Systems, zu gewährleisten, ist dies jedoch nicht notwendig!), dass bei jedweder Installation von Programmen und allen anderen administrativen Aufgaben das root Passwort und nicht mehr das eigene Passwort sondern das soeben gesetzte root Passwort verwendet wird, so startet man mit Hilfe des folgenden Befehls den Editor visudo:
# sudo visudo
In der sich öffnenden Datei fügt man folgende Zeile in die erste Zeile ganz oben hinzu:
Defaults !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0
Die gesammte Datei sieht nach dem hinzufügen wie folgt aus:
# /etc/sudoers Defaults !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0 # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # Host alias specification # User alias specification # Cmnd alias specification # Defaults Defaults !lecture,tty_tickets,!fqdn # User privilege specification root ALL=(ALL) ALL # Members of the admin group may gain root privileges %admin ALL=(ALL) ALL
Zum Speichern der Datei wird die Tastenkombination Strg+O verwendet. Der Editor fragt anschließend noch einemal nach, ob das in der Datei /etc/sudoers.tmp gespeichert werden soll. Dies ist einfach nur mit ENTER zu bestätigen.
2 sudo wieder aktivieren
Möchte man die oben angezeigten Änderungen rückgängig machen, so entfernt man in der oben geöffneten Datei wieder die fett markierte Zeile und gibt anschließend folgendes Kommando im Terminal ein:
# sudo passwd -l root
3 physikalischer Zugriff auf den Rechner
Um physikalischen Zugriff auf den Rechner zu vermeiden wird an dieser Stelle zu der Benutzung eines Kensington-Schlosses geraten. Außerdem sollte man auch ein BIOS Passwort setzen. Logischerweise sollte daher auch das direkte Booten einer Live CD im BIOS per default deaktiviert sein, so dass man wirklich erst das gesetzte BIOS Passwort setzen muss um z.B. Knoppix zu starten. Man beachte: Es gibt im Internet trotzdem viele Hinweise und Tipps dieses BIOS Passwort zu umgehen. Einen perfekten Schutz gibt es in diesem Fall also nicht; aber darum geht es auch nicht. Es sollte in der Regel ausreichen um einen Angriff von wenigen Minuten zu überdauern, in denen man das System kurzzeitig unbeaufsichtigt hat.
4 Daten vor Zugriff mit Hilfe einer Live CD schützen
Ein Hinweis sei noch gegeben: Möchte man zumindest die wichtigsten Daten vor dem Zugriff mit Hilfe einer Live CD schützen, so bleibt nur und ausschließlich die Verschlüselung mit Truecrypt oder mit GnuPG, welches u.a. auch zum verschlüsseln von E-Mails verwendet wird.
5 Lizenz von diesem Wiki Beitrag
Der Wiki Beitrag steht unter der Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 2.0 Deutschland - oder neuer - Lizenz. Aus diesem Grund wird hier der Verpflichtung nachgekommen und auf den Original Beitrag verlinkt.