Veralteter Artikel:Root-Account aktivieren

Aus Ubuntu-Forum Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
K
K
Zeile 61: Zeile 61:
-
[[Kategorie:System]]
+
[[Kategorie:Sicherheit]]

Version vom 10. November 2008, 20:36 Uhr

810.png 804.png 710.png 704.png 610.png 606.png

Edit l.png Dieser Artikel bedarf einer Aktualisierung. Edit.png

Inhaltsverzeichnis

1 Warum und wie einen Root Account aktivieren ?

Bei einem Start von Ubuntu sieht man in Grub den Eintrag "Failsafe". Wenn man diesen auswählt startet das System im Textmodus. In diesem Terminal ist man standardmäßig direkt als root angemeldet.

Lässt man also sein System im Wohnzimmer einer Familie oder bei evtl. nicht vertrauenswürdigen Besuch einige Minuten unbeobachtet, so brauchen diese Personen lediglich den Rechner neu starten um ernsthaften Schaden am System anrichten zu können. Allein die folgende Eingabe löscht sofort alle Daten auf der Festplatte (mit ganz wenigen Ausnahmen):

# rm -r / - (Nicht nachmachen an alle Ubuntu Anfänger!!)

Das gleiche könnte man zwar mit dem Laden einer Knoppix CD auch erreichen, jedoch dauert ein solcher Angriff erheblich länger. Ein Angriff aus dem im Failsafe gebooteten Ubuntu dagegen dauert meistens nicht mehr als drei Minuten.

Um einem derartig kurzen Angriff vorzubeugen hilft das folgende Kommando:

# sudo passwd

Dieses Kommando setzt ein root Passwort, so dass der dümmliche Angreifer erst einmal nicht weiter kommt. Gerade in Familien und auf LapTops sollte man dieses unter Ubuntu IMMER setzen, da diese genau solchen primitiven Angriffsmethoden häufig ausgesetzt sind.

Möchte man außerdem (um den Passwortschutz bei der Option Failsafe unter Grub, also beim starten des Systems, zu gewährleisten, ist dies jedoch nicht notwendig!), dass bei jedweder Installation von Programmen und allen anderen administrativen Aufgaben das root Passwort und nicht mehr das eigene Passwort sondern das soeben gesetzte root Passwort verwendet wird, so startet man mit Hilfe des folgenden Befehls den Editor visudo:

# sudo visudo

In der sich öffnenden Datei fügt man folgende Zeile in die erste Zeile ganz oben hinzu:

Defaults        !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0

Die gesammte Datei sieht nach dem hinzufügen wie folgt aus:

# /etc/sudoers
Defaults        !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults
Defaults        !lecture,tty_tickets,!fqdn
# User privilege specification
root    ALL=(ALL) ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

Zum Speichern der Datei wird die Tastenkombination Strg+O verwendet. Der Editor fragt anschließend noch einemal nach, ob das in der Datei /etc/sudoers.tmp gespeichert werden soll. Dies ist einfach nur mit ENTER zu bestätigen.

2 sudo wieder "exklusiv" aktivieren

Möchte man die oben angezeigten Änderungen rückgängig machen, so entfernt man in der oben geöffneten Datei wieder die fett markierte Zeile und gibt anschließend folgendes Kommando im Terminal ein:

# sudo passwd -l root

3 physikalischer Zugriff auf den Rechner

Um physikalischen Zugriff auf den Rechner zu vermeiden wird an dieser Stelle zu der Benutzung eines Kensington-Schlosses geraten. Man sollte zusätzlich im BIOS das direkte Booten von der Festplatte einstellen; ohne dass der Computer zuerst versucht vom CD Laufwerk oder dem USB Stick zu booten. Das verhindert das direkte Booten von z.B. Knoppix. Nachdem man das eingestellt hat, sollte man das BIOS auch mit einem Passwort absichern. Man beachte: Es gibt im Internet trotzdem viele Hinweise und Tipps dieses BIOS Passwort zu umgehen. Einen perfekten Schutz gibt es in diesem Fall also nicht; aber es sollte in der Regel ausreichen um einen Angriff von wenigen Minuten zu überdauern, in denen man das System kurzzeitig unbeaufsichtigt hat.

4 Daten vor Zugriff mit Hilfe einer Live CD schützen

Ein Hinweis sei noch gegeben: Möchte man zumindest die wichtigsten Daten vor dem Zugriff mit Hilfe einer Live CD schützen, so bleibt nur und ausschließlich die Verschlüselung mit Truecrypt oder mit GnuPG, welches u.a. auch zum Verschlüsseln von E-Mails verwendet wird. Vor dem Löschen von verschlüsselten Daten schützt allerdings auch das wenig.

5 Lizenz von diesem Wiki Beitrag

Der Wiki Beitrag steht unter der Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 2.0 Deutschland - oder neuer - Lizenz. Aus diesem Grund wird hier der Verpflichtung nachgekommen und auf den Original Beitrag verlinkt.

Meine Werkzeuge
Varianten
Aktionen
Forum
Navigation
Internes
Bearbeitungshilfen
Werkzeuge