Re: Kein Root Login
On 13.Jul 2005 - 18:32:52, Simon Brandmair wrote: > Allerdings finde ich, dass es nicht völlig irrelevant ist, wie jemand > root werden kann. Ich hatte ja gesagt, bei Terminal-Server Installtionen kann ich mir das sehr sinnvoll vorstellen, aber dein Beispiel hinkt an mehreren Stellen. > Stell dir folgendes Szenario vor: Ich lasse in der > Bibliothek meinen Laptop unbeaufsichtigt stehen Wenn du ihn nicht mit deinem Passwort "lockst", ist das schon der 1. Fehler (das mach ich auch bei ner Kaffeepause auf Arbeit). > Du kennst mein Root-Passwort. Das ist dein groebster Fehler. Mein root-PW kennt keiner ausser mir und das ist auch gut so ;-) > Wenn du dich damit einloggen kannst, kannst du z.B. schnell ein > Rootkit installieren. Ich glaube nicht dass du dich ausloggst fuer nen Kaffee und wenn du den Bildschirm nicht sperrst, brauch ich _gar kein_ Passwort um Bloedsinn zu treiben. Davon abgesehen bringt in dem Fall auch das in diesem Thread gewuenschte Verhalten der tty nichts. > Wenn aber nicht, > müsstest du erstmal den Laptop aufschrauben, um das BIOS-Passwort zu Ok, ein BIOS-Passwort ist u.U. ein Problem, kommt aber drauf an ob das fuer den BIOS-Zugriff oder auch das Booten aktiv ist. Andreas -- Cold hands, no gloves. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein Root Login
Hallo! On Tue, 12 Jul 2005 13:00:19 +0200, Andreas Pakulat wrote: > On 12.Jul 2005 - 10:29:44, Simon Brandmair wrote: >> On Mon, 11 Jul 2005 13:10:15 +0200, Andreas Pakulat wrote: >> >> > On 11.Jul 2005 - 12:37:14, Saskia Whigham wrote: >> >> >> >> wie schaffe ich es das root sich nicht mehr an der Kondole anmelden >> >> kann. Das heisst es muss sich erst ein normaler User anmelden und >> >> dann mittels su kann man erst den root spielen. >> >> > Welchen Sinn soll das denn haben? Der Mechanismus hinter beiden >> > Befehlen (login und su) ist derselbe. >> >> Ein Angreifer braucht ein Passwort mehr. > > Es ging doch wohl allein um die tty, also wenn ein Angreifer physischen > Zugang zum System hat, braucht er gar kein Passwort. Ja, stimmt grundsätzlich. Es wäre ein falsches Gefühl von Sicherheit zu glauben, dass die Maßnahme von Saskia verhindern könnte, dass jemand mit physichem Zugang root wird. Allerdings finde ich, dass es nicht völlig irrelevant ist, wie jemand root werden kann. Stell dir folgendes Szenario vor: Ich lasse in der Bibliothek meinen Laptop unbeaufsichtigt stehen, um mir einen Kaffee zu holen. Du kennst mein Root-Passwort. Wenn du dich damit einloggen kannst, kannst du z.B. schnell ein Rootkit installieren. Wenn aber nicht, müsstest du erstmal den Laptop aufschrauben, um das BIOS-Passwort zu löschen, was in der Bibliothek vielleicht auffallen könnte und du vielleicht auch zeitlich nicht hinbekommst. Tschüss, Simon -- pub 1024D/5781B453 2003-09-14 Simon Brandmair <[EMAIL PROTECTED]> Primary key fingerprint: 2A47 DD6D ABC5 414A FA87 ABF5 1E15 B86B 5781 B453 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein Root Login
On 12.Jul 2005 - 10:29:44, Simon Brandmair wrote: > On Mon, 11 Jul 2005 13:10:15 +0200, Andreas Pakulat wrote: > > > On 11.Jul 2005 - 12:37:14, Saskia Whigham wrote: > >> > >> wie schaffe ich es das root sich nicht mehr an der Kondole anmelden > >> kann. Das heisst es muss sich erst ein normaler User anmelden und dann > >> mittels su kann man erst den root spielen. > > > Welchen Sinn soll das denn haben? Der Mechanismus hinter beiden Befehlen > > (login und su) ist derselbe. > > Ein Angreifer braucht ein Passwort mehr. Es ging doch wohl allein um die tty, also wenn ein Angreifer physischen Zugang zum System hat, braucht er gar kein Passwort. Deswegen ist es ja irgendwie sinnlos. Ausser natuerlich die tty's werden an irgendwelchen entfernten Terminals dargestellt, das ist natuerlich was anderes. Andreas -- You may get an opportunity for advancement today. Watch it! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein Root Login
On Mon, 11 Jul 2005 13:10:15 +0200, Andreas Pakulat wrote: > On 11.Jul 2005 - 12:37:14, Saskia Whigham wrote: >> >> wie schaffe ich es das root sich nicht mehr an der Kondole anmelden >> kann. Das heisst es muss sich erst ein normaler User anmelden und dann >> mittels su kann man erst den root spielen. http://www.de.debian.org/doc/manuals/securing-debian-howto/ch4.de.html#s-restrict-console-login > Welchen Sinn soll das denn haben? Der Mechanismus hinter beiden Befehlen > (login und su) ist derselbe. Ein Angreifer braucht ein Passwort mehr. Allein mit dem root-Passwort kann er nicht mehr root werden, da er sich davor als normaler Benutzer anmelden muss. Und wenn man noch pam_wheel verwendet, reicht es u.U. auch nicht aus, irgendein Benutzerpasswort zu haben. Tschüss, Simon -- pub 1024D/5781B453 2003-09-14 Simon Brandmair <[EMAIL PROTECTED]> Primary key fingerprint: 2A47 DD6D ABC5 414A FA87 ABF5 1E15 B86B 5781 B453 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein Root Login
Saskia Whigham schrieb: Hallo, wie schaffe ich es das root sich nicht mehr an der Kondole anmelden kann. Das heisst es muss sich erst ein normaler User anmelden und dann mittels su kann man erst den root spielen. In /etc gibt es eine Datei securtty (oder ähnlich) dort stehen die "Konsolen" drin an der sich root anmelden darf. -- Stefan Kuhne -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Kein Root Login
> wie schaffe ich es das root sich nicht mehr an der Kondole > anmelden kann. > Das heisst es muss sich erst ein normaler User anmelden und > dann mittels su > kann man erst den root spielen. Mit touch eine leere Datei /etc/securetty anlegen und mit chmod 444 für alle read-only machen. Mehr dazu unter man securetty. Gruß, Reiner.
Re: Kein Root Login
Moin! On Mon, Jul 11, 2005 at 12:37:14PM +0200, Saskia Whigham wrote: > wie schaffe ich es das root sich nicht mehr an der Kondole anmelden kann. Evtl. man securetty? Wolf -- Immer bei der Wahrheit bleiben, auch wenn sie noch so unbequem, unangenehm oder teuer sein kann. (Peter Alexander) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein Root Login
On 11.Jul 2005 - 12:37:14, Saskia Whigham wrote: > Hallo, > > wie schaffe ich es das root sich nicht mehr an der Kondole anmelden kann. > Das heisst es muss sich erst ein normaler User anmelden und dann mittels su > kann man erst den root spielen. Welchen Sinn soll das denn haben? Der Mechanismus hinter beiden Befehlen (login und su) ist derselbe. Andreas -- Afternoon very favorable for romance. Try a single person for a change. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root-login auf Konsole, aber su geht unter KDE (gelöst)
Hallo Und gleich noch die Lösung hinterer (dank debianforum.de) Der Konsolenzeichensatz hat sich verstellt. Wahrscheinlich durch neue Versionen, die die alten Einstellungen nicht übernommen hatten. Dadurch wurden die Sonderzeichen im PW nicht richtig geschrieben und somit gab es die Meldung. Lösung: dpkg-reconfigure console-data Die dortigen Fragen beantworten und alles geht wieder wie gewohnt. Gruß Torsten > Möchte ich mich auf der Konsole als root einlogen (klappte vor apt-get > upgrade), dann wird mir gesagt "Login incorrect", obwohl das PW stimmt. > In /var/log/auth.log steht dann folgendes: > > ... login[878]: (pam_unix) authentication failure; logname=LOGIN uid=0 euid=0 > tty=tty2 ruser= rhost= user=root > ... login[878]: FAILED LOGIN (1) on `tty2' FOR `root', Authentication failure > > Von den 2 LDAP-Users kann sich nur einer an der Konsole anmelden, bei dem > anderen kommt auf Login incorrect. > > Erfolgt die Anmeldung jedoch über den KDM, gibt es keine Probleme. Alle > können sich da anmelden. In einem xterm oder einer konsole (unter KDE) kann > ich mich mit su als root anmelden. Also das PW stimmt. > In /etc/pam.d/ sind die Konfigurationsfiles nicht verändert wurden. Das > komische ist, das ein LDAP-User sich anmelden kann und alle anderen nicht. > > Ich hoffe, einer hat eine Idee, woran das liegen könnte. Bin schon fast am > verzweifeln, weil ich auch über google nicht wirklich brauchbare > Informationen finde. > > MfG > Torsten > > >
Re: kein root login mit su möglich? | No utmp entry.
Hallo > ich hab ein mehr oder weniger grosses Problem :( > wenn ich per ssh als user admin eingelogged bin, kann ich per "su > root" nicht root "werden". > [EMAIL PROTECTED]:~$ su root > Password: > su: Authentication failure > Sorry. > [EMAIL PROTECTED]:~$ login > No utmp entry. You must exec "login" from the lowest level "sh" jup du hast damit der Gruppe utmp die schreibrechte entzogen somit ist su nicht mehr möglich ;) abhilfe admin vor ort bitten das durch einen consolen login zu ändern ;) Sicher ist schön aber doch nicht sich selber aussperren :) oft hilft da vorher ein script zu schreiben, das die geplanten änderungen nach einigen minuten zurück nimmt, wenn man nicht in der zeit als root rein kommt und den script abschaltet. Hilft auch bei iptables configuration falls man sich dabei mal aussperrt :) gruß Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
Hallo, Jhair Tocancipa Triana wrote: $ apt-cache show xbase-clients | grep xhost | head -1 - xhost, a very dangerous program that you should never use; _So_ pauschalisiert ist das purer Schwachsinn. IMHO. Mag sein. Aber auf der anderen Seite wuesste ich nicht, was einem die xhost-Methode gegenueber "in Ordentlich" mit xauth spart, von daher ...;) -- Petr Zavor -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
Jhair Tocancipa Triana wrote: $ apt-cache show xbase-clients | grep xhost | head -1 - xhost, a very dangerous program that you should never use; _So_ pauschalisiert ist das purer Schwachsinn. IMHO. -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
On Donnerstag, 9. Oktober 2003 01:57, Jewo wrote: > Oha, ist mir das jetzt peinlich...! > > Eigentlich darf ich garnicht erzählen was der Fehler war - ich müsste > mich entweder unter einer anderen Email Adresse in dieser Liste > eintragen oder mich damit abfinden, ewig als X-Tastatur-Jewo gefürchtet > zu werden. Anderer Vorschlag. Poste einfach unter deinem Realnamen, dann schaut auch keiner mehr auf deine EMail-Adresse... -- Gruß Frank -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
On Thu, 09 Oct 2003 02:00:14 +0200, Jewo <[EMAIL PROTECTED]> wrote: Oha, ist mir das jetzt peinlich...! *gespanntist* Eigentlich darf ich garnicht erzählen was der Fehler war - ich müsste mich entweder unter einer anderen Email Adresse in dieser Liste eintragen oder mich damit abfinden, ewig als X-Tastatur-Jewo gefürchtet zu werden. *haendereib* Hm, alternativ könnte ich auch meiner imaginären Person Jewo die Schuld in die Schuhe schieben... *nicknick* Das Problem ist simpel (aber effektiv): endlich.. hehe Ich habe in der Shell das deutsche Tastaturlayout und unter X das englische eingestellt, deshalb habe ich unter X ständig bei der Passworteingabe sozusagen danebengetippt... OMG! ROFL! *lachsichschlapp* *giggle* *kicker* *grins* *stock* *rotwerd* *sichansichselbstvorpaarmonatenerinner* *schaem* *newsganzschnellwegklick* Aber ein gutes hat es: Thunderbird läuft jetzt endlich so wie ich es mir wünsche und dies ist schließlich die Hauptsache, auf die wir unser Hauptaugenmerk auch richten sollten. GENAU! Herzlich gelachte Gruesse, Markus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
Oha, ist mir das jetzt peinlich...! Eigentlich darf ich garnicht erzählen was der Fehler war - ich müsste mich entweder unter einer anderen Email Adresse in dieser Liste eintragen oder mich damit abfinden, ewig als X-Tastatur-Jewo gefürchtet zu werden. Hm, alternativ könnte ich auch meiner imaginären Person Jewo die Schuld in die Schuhe schieben... Das Problem ist simpel (aber effektiv): Ich habe in der Shell das deutsche Tastaturlayout und unter X das englische eingestellt, deshalb habe ich unter X ständig bei der Passworteingabe sozusagen danebengetippt... Aber ein gutes hat es: Thunderbird läuft jetzt endlich so wie ich es mir wünsche und dies ist schließlich die Hauptsache, auf die wir unser Hauptaugenmerk auch richten sollten. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
Markus Maiwald schreibt: >> wenn Jewo daraufhin versucht mit su root-Rechte zu bekommen, gibt >> es wiederum ein denied. > Jewo --> xterm --> ´su -´ -->´xhost +´ --> ´Wunschprogramm´ Uh? `xhost +` ist eine verdammt schlechte Idee. man xauth Siehe dazu: http://www.stat.umn.edu/~charlie/secure.html oder $ apt-cache show xbase-clients | grep xhost | head -1 - xhost, a very dangerous program that you should never use; > hoffe es klappt ;-) So nicht. -- --Jhair Public Key fingerprint: 81FF 3ADF BF6B CECB C593 4018 27AE D7D2 BAA6 00D0 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
On Mittwoch, 8. Oktober 2003 21:34, Jewo wrote: > Aber immer wenn ich versuche mich als root einzuloggen, bekomme ich ein > denied, obwohl ich mir nach den zehnten Versuch sicher war, dass ich > das Passwort dieses mal nicht falsch eingegeben habe... > > Benutzer Jewo kann sich problemlos als Jewo im Xserver einloggen, wenn > Jewo daraufhin versucht mit su root-Rechte zu bekommen, gibt es > wiederum ein denied. Wie, im XTerm kannst du kein su machen, oder wo? Kannst du dich denn direkt auf der Konsole als root anmelden (also Strg+Alt+F1, da dann als root anmelden)? Geht su auf der Konsole,wenn du dich als Jewo angemeldet hast? Eine X-Session als root starten geht bei mir, habs gerade (zum ersten mal überhaupt glaube ich) ausprobiert. Wie man als root ein (graphisches-)Programm startet wenn die X-Session jemand anderem gehört weist du? (war aber auch nicht gemeint, oder?) -- Gruß Frank -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
Das mit der Fat Partition hat alles geklappt, allerdings habe ich nun ein anderes Problem, ich kann mich im Xserver nicht als root einloggen - ist das normal? Das macht man einfach nicht :). Dafür genügt wie du schon bemerkt hast 'su -' in einem Terminal. Dann wird root aber immernochkeine Rechte haben auf dem Xserver rumzumalen ("Xlib: connection to ":0.0" refused by server") weshalb du als eingeloggter User nochmal 'xhost +local:local' eingeben musst um das Display für lokale User freizugeben. Xlogin als root sollte aber dennoch gehen, hat root evtl. eine kaputte .xsession im homedir? Ich muss in Thunderbird ein Plugin installieren und benötige dafür kurz mal root-Rechte unter X. [..] Aber immer wenn ich versuche mich als root einzuloggen, bekomme ich ein denied, obwohl ich mir nach den zehnten Versuch sicher war, dass ich das Passwort dieses mal nicht falsch eingegeben habe... Wenn du das Passwort verschludert hast ist das ein ganz anderes Problem, dann klappt das einloggen aus der Konsole auch nicht mehr. Um ein neues rootpw einzugeben mit der Option init=/bin/bash (nach dem Kernelimagenamen) booten, 'mount -o remount,rw /' eingeben (vorher fsck evtl. sowie 'mount /proc' iirc, lange nicht mehr da gewesen ;) und dann 'passwd' um das rootpasswort einzugeben. Zum fertigbooten 'exec /sbin/init 5' eingeben. Ich hoffe ich habe dir gerade nicht zuviel 'rope' gegeben... -Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
On Wed, 08 Oct 2003 21:40:08 +0200, Jewo <[EMAIL PROTECTED]> wrote: Hallo liebe Debian Selbsthilfegruppe! Ja Hallo erstmal .. ;-) Das mit der Fat Partition hat alles geklappt, allerdings habe ich nun ein anderes Problem, ich kann mich im Xserver nicht als root einloggen - ist das normal? ja, weil besser is dat... weil wegen der Sicherheit und so... Benutzer Jewo kann sich problemlos als Jewo im Xserver einloggen, wenn Jewo daraufhin versucht mit su root-Rechte zu bekommen, gibt es wiederum ein denied. Jewo --> xterm --> ´su -´ -->´xhost +´ --> ´Wunschprogramm´ hoffe es klappt ;-) Markus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kein root login unter x
On Wed, 2003-10-08 at 21:34, Jewo wrote: > Hallo liebe Debian Selbsthilfegruppe! > > Das mit der Fat Partition hat alles geklappt, allerdings habe ich nun > ein anderes Problem, ich kann mich im Xserver nicht als root einloggen - > ist das normal? > Ja, ist es. Aber das macht nichts. Du kannst jedes beliebige Programm auch als root unter X starten, dazu gibt es tools wie kdesu oder gksu. Alternativ kannst du auch einfach ein xterm aufmachen, da drin root werden und dann Thunderbird aufrufen. Dann läuft es als root. Einige Programme machen das nicht mit, weil sie dann nicht sauber an den xserver connecten können, aber versuchs halt mal. > Benutzer Jewo kann sich problemlos als Jewo im Xserver einloggen, wenn > Jewo daraufhin versucht mit su root-Rechte zu bekommen, gibt es wiederum > ein denied. Das verstehe ich nicht. Zur trag dich halt in /etc/sudoers ein. Dann kannst du mit sudo die gewünschten Programme aufrufen. man sudo G. L. -- LarsWeissflog [EMAIL PROTECTED] dot DE -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)