Was habe ich getan !?!?

tau schrieb:
Ansonsten: Du darfst Deinen root gerne verwenden.
„gell“ ist fränkisch.

Vergiß das mit dem Spiele-Forum einfach ...

Ist mir nicht entgangen, daß du gern "Lustige Terminal-Befehle" von dir gibst.

Du darfst auch deinen fränkischen "Gell" dazu benutzen wenn du möchtest ...

Aber hau nich so doll auf meinen Root, ja? ... :)
 
volksmac schrieb:
...
@maceis - Du tönst laut und arrogant - hast sicher auch einiges auf dem kasten mit der kommandozeile umzugehen, doch sollte man auch anderen Meinungen gelten lassen und nicht gleich mit Begriffen wie verantwortungslos herumschmeissen.
Ich denke, dass ich sehr wohl andere Meinungen gelten lasse und das auch zum Ausdruck gebracht habe.
Wenn Dir meine Beiträge als "arogant" rüberkommen, so bedaure ich das.
Das ist nicht beabsichtigt, so ganz nachvollziehen kann ich es allerdings auch nicht.
Und ja, ich finde es ausgesprochen verantwortungslos einem Neuling gegenüber zu behaupten, es sei (Zitat: ) "unumgänglich" den root-Benutzer freizuschalten.
volksmac schrieb:
...
Wenn ich mir mal den Anfang des Thread des hilfesuchenden Macusers angucke und Deinen Beitrag dazu, kann ich nur sagen: Setzen Fünf, Thema verfehlt.
Das der Man keine Ahnung hat hast Du ja wahrgenommen und zitierst es sogar,aber ich lese hier nichts konstruktives von Dir?!
Dann lies Dir mal bitte die Postings zwei und sieben durch. Dass er bereits in Posting neun neu installiert hatte (was in Anbetracht der Lage wohl auch vernünfig war), dafür kann ich nichts.
Hätte er das nicht machen wollen, hätte ich im geholfen das Problem ohne Neuinstallation zu lösen.
Ich kann Deinen Vorwurf daher nicht nachvollziehen

volksmac schrieb:
...Sorry, aber dann hier so rummotzen, wenn man dem Macuser einen Tipp gibt, der durchaus seine Berechtigung hat für User die hauptsächlich die GUI nutzen (also keinen Cracks wie Dich, der in der Shell zu Hause ist) und im root modus wesentlich eleganter bei Partionierten HDs die daten verwalten kann, was ich ProLogic usern unterstelle ;).
"rummotzen"?
Nur weil ich einen ausgesprochenen Dampfplauderer ein wenig in die Zange genommen hatte. kopfkratz

volksmac schrieb:
...Das man als Newbie den root usr nicht fürs arbeiten nutzen soll, genauso wenig wie den admin, hatte ich gesagt und es ebenso riskant keinen root eingerichtet zu haben
(weil dann ebenso ein sicherheitsloch da ist) und das bei weiten höher ist als
brutforce angriffe.
Kannst ja mal die sicherheitsempfehlungen der NSA lesen für OSX. Ich meine die
Jungs wissen wovon sie reden.
Die wollte ich schon zitieren (habs mir verkniffen). Ich frage mich aber wo Du darin gelesen hast, dass es riskant sei, keinen root eingerichtet (bzw. freigeschaltet) zu haben!
Da steht nämlich u. a. drin, dass man im Netinfo-Manager sogar wenn der root-Benutzer nur einmal aktiviert war, den passwd-hash wieder durch einen Stern (*) ersetzen soll, damit der root-login auf jeden Fall und ganz sicher unterbunden wird.
Habs eben nochmal rausgesucht; ich zitiere auf S. 47 des "Security Configuration Guide
Guide Version 1.1" des "Systems and Network Attack Center (SNAC)" der NSA
National Security Agency 9800 Savage Rd. Ft. Meade schrieb:
...
If the root account has been enabled, it should now be disabled using the following
procedure.
...
Die Procedur, die dann empfohlen wird geht über das simpe Deaktivieren des root im Netinfomanager hinaus.

In einem hast Du absolut Recht: "Die Jungs wissen wovon sie reden".

Um es zum Abschluss nochmal deutlich zu sagen:
Es steht nach meiner Ansicht jedem frei den root freizuschalten.
Nach meiner persönlichen Meinung (und diversen Empfehungen u. a. von Apple und der NSA) besteht dazu jedoch keinerlei Notwendigkeit.
Man schafft sich dadurch lediglich freiwillig verschiedene Sicherheitslücken.
 
iLover schrieb:
...
Lösche als sudo mit postsuper -d ID ein deferred mail, dann darfst du dich gleich als Root anmelden.
Also ich kann auch ohne freigeschalteten root mit postsuper mails aus der queue löschen. Dazu brauch ich noch nicht mal ne root-shell.
Ich weiss nicht was Dein Problem ist.
Code:
maceis% sudo postsuper -d EA52965640
Password:
postsuper: EA52965640: removed
postsuper: Deleted: 1 message
maceis% echo $?
0

iLover schrieb:
...Wofür benutzt du denn den User Root? Entferne ihn doch mal aus deiner netinfo-Datenbank, dann sprechen wir uns wieder ...
Davon war nie die Rede.
Es ging lediglich darum, dass es unsicher und absolute nicht notwendig ist den 'root' im Netinfo-Manager freizuschalten.
Nicht mehr und nicht weniger.
 
Oi joi joi, das´s ja wieder mal´Fred...@ all: "Ruhig Brauner!" :)
 
@maceis

... du bist wirklich kompliziert weißt du ...

der Root muß nicht root heißen, man kann ihn auch maceis nennen oder wie man sonst will und man kann auch mehrere roots (Systemadmins) im System haben. Du mußt mich und andere nicht für dumm verkaufen.

Ein postsuper-Befehl kann im Normalfall nur mit root-Rechten ausgeführt werden und nicht mit Hilfe eines sudo, es sei denn du hast was mit deiner config oder deinen Rechten angestellt was mich nicht wundern würde. Wenn du als maceis (Systemadministrator) angemeldet bist, kannst du zusätzlich natürlich auch noch ein sudo eingeben. Das kann ich auch, selbst wenn ich es vor einer Sekunde vorher schon getan habe. Das ganze Spiel kann ich dann stundenlang fortsetzen.

Wie willst du eigentlich die Mail deines Root lesen wenn mal wichtige Bug-Nachrichten oder Logs an ihn geschickt werden? Sicher, die hast du längst auf einen anderen Account mit aliases umgeleitet.

Im Grunde ist es mir ja auch egal wie jeder mit seinem Rechner arbeitet. In diesem Fall aber solltest du den Leuten hier keinen Bären aufbinden und nicht irgendwelche falsche Angst verbreiten. Einem Sicherheitsrisiko ist jeder Benutzer bereits beim Einschalten eines Computers ausgesetzt der dazu noch mit dem Internet verbunden ist.

Und es ist einfach reine Gewohnheitssache, ob man die täglich anfallenden Arbeiten am Rechner als Root ausführt, nur diverse Tätigkeiten damit erledigt, oder diesen Account für immer in den Ruhestand schickt. Weißt du was eine Kindersicherung ist?
Na also, nichts anderes ist das Deaktivieren des Root. Mit der Rumspielerei im sudo-Bereich passieren weitaus mehr Unglücke, als wenn man sich gleich richtig mit der Materie beschäftigt und ein Gefühl für Verantwortung entwickelt.

Wenn ich an meinem System spezielle Konfigurationen durchführen möchte, so möchte ich nicht, daß dieses mir durch irgendeine Art und Weise erschwert wird. ich möchte vor nichts geschützt oder bewahrt werden, ich bin der Benutzer. Und wenn mir dennoch mal ein Fehler passiert, dann installiere ich eben neu und fertig. Aus Fehlern lernt man und nicht aus Angst - und man macht es eben nächstens besser.

Ich denke wir wollen den Leuten hier Technologie näher bringen und sie nicht von irgendwas ausschließen? Auch ein Anfänger ist bald kein Laie mehr und möchte alle Möglichkeiten nutzen.

Also warum nicht lieber aufklären und Mut machen, als andere als dumm darstellen, unwissend und unmündig aussehen lassen. Es gibt wirklich andere Möglichkeiten sich zu schützen, man muß nicht noch die schon wenigen guten Funktionen des Systems beschneiden dazu, wirklich nicht. Und man muß sich auch nicht mit solchen Hilfs-Logins wie sudo begnügen wenn man das nicht will.

Irgendwelche Empfehlungen von Apple oder der NSA sind mir ebenfalls Schnuppe. Diese Leute haben schließlich das UNIX-System nicht erfunden. Ich kann auch auf eine Glühlampe schreiben: "Wenn Sie diese nie einschalten, hält sie länger". Da kommt das Gleiche dabei raus.
 
iLover schrieb:
...
der Root muß nicht root heißen, man kann ihn auch maceis nennen oder wie man sonst will und man kann auch mehrere roots (Systemadmins) im System haben. Du mußt mich und andere nicht für dumm verkaufen.
Das ist Unsinn.
Es gibt nur einen Benutzer root.
Dieser hat die Benutzer ID 0 und ist einzigartig.
Um diesen Benutzer geht es; er ist auch der einzige, den man in Netinfo-Manager unter dem Menü "Sicherheit" mit dem Kommando "root-Benutzer aktivieren" für das grafische login freischalten kann.
Wenn Du mir "Systemadmins" Mitglieder der gruppe "admin" meinst, so habe ich nie behauptet, das es diese nicht geben soll.
Im Gegenteil, mit einem solchen Benutzer kann man das System vollständig administrieren. Sie sind aber keine 'roots' und haben zunächst mal nicht die Rechte von root.

iLover schrieb:
...Ein postsuper-Befehl kann im Normalfall nur mit root-Rechten ausgeführt werden und nicht mit Hilfe eines sudo, es sei denn du hast was mit deiner config oder deinen Rechten angestellt was mich nicht wundern würde.
Das ist falsch. In der Standardkonfiguration kann jeder Benutzer, der Mitglied der Gruppe 'admin' ist (was nicht dass selbe ist wie root) mit 'sudo postsuper ...' Kommandos ausführen.

iLover schrieb:
...Wenn du als maceis (Systemadministrator) angemeldet bist, kannst du zusätzlich natürlich auch noch ein sudo eingeben. Das kann ich auch, selbst wenn ich es vor einer Sekunde vorher schon getan habe. Das ganze Spiel kann ich dann stundenlang fortsetzen.
Falls Du "System Administrator" meinst, so ist das der realname des Benutzers 'root'. Der realname ist aber im Grunde genommen absolut irrelevant.

iLover schrieb:
...Wie willst du eigentlich die Mail deines Root lesen wenn mal wichtige Bug-Nachrichten oder Logs an ihn geschickt werden? Sicher, die hast du längst auf einen anderen Account mit aliases umgeleitet.
Ja, das ist allgemein anerkannter Stand der Technik, und zwar aus Sicherheitsgründen.
Hast Du schon mal einen Blick in die Datei "/etc/postfix/aliases" geworfen:
/etc/postfix/aliases schrieb:
...
# Person who should get root's mail. Don't receive mail as root!
#root: you
...

iLover schrieb:
...Im Grunde ist es mir ja auch egal wie jeder mit seinem Rechner arbeitet. In diesem Fall aber solltest du den Leuten hier keinen Bären aufbinden und nicht irgendwelche falsche Angst verbreiten. Einem Sicherheitsrisiko ist jeder Benutzer bereits beim Einschalten eines Computers ausgesetzt der dazu noch mit dem Internet verbunden ist.
Ich verbreite keine falsche Angst, sonder Fakten.
Hast Du Dir den "Security Guide" der NSA wenigstens mal durchgelesen.

iLover schrieb:
...Und es ist einfach reine Gewohnheitssache, ob man die täglich anfallenden Arbeiten am Rechner als Root ausführt, nur diverse Tätigkeiten damit erledigt, oder diesen Account für immer in den Ruhestand schickt. Weißt du was eine Kindersicherung ist?
Na also, nichts anderes ist das Deaktivieren des Root. Mit der Rumspielerei im sudo-Bereich passieren weitaus mehr Unglücke, als wenn man sich gleich richtig mit der Materie beschäftigt und ein Gefühl für Verantwortung entwickelt.
...
Deine Gewohnheit bleibt Dir unbenommen.
Ich will Duch auch zu nichts überzeugen oder gar überreden.
Allerdings finde ich es ein wenig billig, mir zu unterstellen, ich würde jemandem einen Bären aufbinden oder ich hätte mein System (config/Rechte) manipuliert um Tricks (postsuper) vorzuführen, die im Normallfall nicht funktionieren würden.
Das ist lächerlich.

iLover schrieb:
...Wenn ich an meinem System spezielle Konfigurationen durchführen möchte, so möchte ich nicht, daß dieses mir durch irgendeine Art und Weise erschwert wird. ich möchte vor nichts geschützt oder bewahrt werden, ich bin der Benutzer. Und wenn mir dennoch mal ein Fehler passiert, dann installiere ich eben neu und fertig.
Auch das bleibt Dir unbenommen.
Auf Produktiv-Systemen kann ich mir das aber nicht leisten.

iLover schrieb:
...
Also warum nicht lieber aufklären und Mut machen, als andere als dumm darstellen, unwissend und unmündig aussehen lassen. Es gibt wirklich andere Möglichkeiten sich zu schützen, man muß nicht noch die schon wenigen guten Funktionen des Systems beschneiden dazu, wirklich nicht. Und man muß sich auch nicht mit solchen Hilfs-Logins wie sudo begnügen wenn man das nicht will.
Hier kommt (noch einmal) die Aufklärung:
"Mit sudo kannst Du Dir eine vollwertige root-shell starten, ohne das der benutzer 'root' freigeschaltet ist
Mit sudo kannst Du darüber hinaus auch grafische Programme mit vollen root-Rechten starten (z. B. Textedit zum Ändern von Konfigurationsdateien, falls man das wirklich mit TextEdit machen will und nicht etwa mit vim o. ä.).
Von einem "Hilfs-Login" kann also keine Rede sein."
Was da beschnitten sein soll, weiss ich nicht.

iLover schrieb:
...
Irgendwelche Empfehlungen von Apple oder der NSA sind mir ebenfalls Schnuppe. Diese Leute haben schließlich das UNIX-System nicht erfunden.
...
Nein, und von Sicherheit und Notwendigkeit haben sie vermutlich nicht die geringste Ahnung, oder?
 
Nein, ich meine nicht Benutzer der Gruppe admin, sondern der Gruppe wheel.

Ich könnte mir davon in meinem System so viele User erstellen wie ich möchte, so daß ich selbst den Überblick nicht mehr hätte.

Sicher ist im System (netinfo) nur die ID 0 einmalig, der User-Name root jedoch ist völlig bedeutungslos. ich könnte ihn auch in klaus umbenennen.

Der Sicherheitsmechanismus für den Root im Netinfo-Manager ist auch nur für die ID 0 vorgesehen und so programmiert, daß nur dieser Account angesprochen wird.

Das aber hat wie schon gesagt nichts damit zu tun, wie viele Systemadministratoren noch in meinem System existieren könnten. Ich kann freie IDs unter 500 benutzen oder auch welche im Minusbereich und mir so viele User erstellen wie ich will, die ebenfalls Rechte eines Root besitzen würden.

Wenn der Root-Account keinerlei Vorteile bringen würde, dann frage ich dich ehrlich - warum ist er überhaupt da ??? Es ist doch offensichtlich klar, daß dieser zu gewisser Zeit seine Bedeutung hat und benötigt wird und eine Benutzung erforderlich ist. Leider konnte ich jetzt dazu keine speziellen Beispiele liefern, das ist aber auch nicht unbedingt meine Pflicht denke ich mal.

Warum macht man denn sowas wie sudo überhaupt erst machbar, wenn es mit dem Root doch schon völlig ausreichend geklärt ist? Wer nämlich den sudo nicht benötigt, braucht im Grunde den Root auch nicht und umgekehrt. Warum also kompliziert wenn es auch einfach geht? Ich kann nichts dafür, daß es den Root gibt und daß sich das System mit ihm komfortabel bedienen läßt.

Den meißten fortgeschrittenen Benutzern ist das Gesagte hier sowieso langweilig. Sie alle benutzen im allgemeinen den Root-User sowieso genau wie ich und für sie ist das einfach alltägliche Gewohnheit und kaum noch erwähnenswert.

Andere widerum sind jetzt sicher irritiert und wissen nicht genau was sie davon halten sollen. Wie auch andere wird auch dieser Beitrag hier nach einiger Zeit im Sande verlaufen. Lernen wird wohl kaum daraus irgend jemand glaube ich.

Was soll man auch mit einer Sache tun, die vom Ersteller aus zugelassen wird, aber aus angeblichen, gewissen Sicherheitsaspekten deaktiviert wird? Schon komisch.

Der Finder enthält die Funktion Papierkorb "Der Finder wird deaktiviert, er kann möglicherweise Daten löschen"

Der Mensch enthält die Funktion COMPUTER EINSCHALTEN "Der Mensch muß deaktiviert werden, er könnte den Root-User aktivieren"

u.s.w.

... ich hoffe ihr wißt worauf ich hinaus will ...
 
uch stelle hiermit den Antrag an die Forenmods, das mittlerweile abgwandelte Thema des Originalthreads zu isolieren und als neuen Thread ein zu stellen :D
Soll die Diskussion nicht beenden, nur den Sinn des Originalposts wiederherstellen ( wie volksmac richtig bemerkte )
 
Das halte ich nicht für erforderlich, charmanta.

Ich denke es ist alles gesagt.
Die Positionen von iLover und mir sind klar.
Ich glaube nicht, dass jetzt noch neue Argumente kommen und werde daher für meinen Teil die Diskussion nicht weiter fortführen.

iLover hat eine andere Meinung als ich, für die er - wie er selbst sagt - jetzt keine speziellen Beipiele liefern kann, was er aber - und damit stimme ich mit ihm überein - auch nicht muß.

Seine persönlich Meinung respektiere ich natürlich, auch wenn ich diese Meinung nicht teilen kann.
 
iLover schrieb:
Wenn der Root-Account keinerlei Vorteile bringen würde, dann frage ich dich ehrlich - warum ist er überhaupt da ??? Es ist doch offensichtlich klar, daß dieser zu gewisser Zeit seine Bedeutung hat und benötigt wird und eine Benutzung erforderlich ist. Leider konnte ich jetzt dazu keine speziellen Beispiele liefern, das ist aber auch nicht unbedingt meine Pflicht denke ich mal.

Selten soviel Quatsch gelesen.

Du verwechselst "root" und "admin".
Adminaccounts haben keinen Vollzugriff auf das System. Root schon. Genau aus dem Grund sollst du NIEMALS GLOBAL ROOT aktivieren. Punkt. Dafür gibt es sudo. Alles andere ist Stümperei. Und wenn hier jemand schreibt, dass er seit 15 Jahren als root rummacht:

Lass dir von keinem Fachmann imponieren, der dir erzählt: "Lieber Freund, das mache ich schon seit zwanzig Jahren so !" - man kann eine Sache auch zwanzig Jahre falsch machen.
Kurt Tucholsky

Logins in root-Accounts haben den Nachteil, das JEDE Aktion als root ausgeführt wird. jede bash, jedes find, jedes less, was man halt so braucht. Hingegen werden bei sudo nur dann entsprechende Permission angefordert, wenn man sie BRAUCHT.

sudo hat dabei die gleichen rechte wie ein root login. Es hat also bei mehr Sicherheit keine Nachteile. Und das Passwort braucht man auch nur einmal eingeben pro x Minuten.


Ein FREISCHALTEN des root-Accounts ist dann einfach nur völlige Inkompetenz. Wenn man wirklich mal Dauer-root braucht, weil man sich z.B. in einem Ordner bewegt, der selbst für Admins gesperrt ist und man nervigerweise jedem ls ein sudo varanstellen müsste... dann tut es auch "sudo su", dann hat man eine root-Shell, ohne den root-Account potentiellen Attacken auszusetzen.

Denkt mal drüber nach, wieso man z.B. bei ssh den root-Account generell aussperrt.


Gruß,
Ratti
 
manoman, was für ne diskussion.
um mal festzuhalten :
root ist quatsch, root braucht man nicht, in der GUI arbeiten nur Looser bzw. Inkompetente und jeder der Macosx über ein Quantum an gewöhnlicher Nutzung nutzt, sollte die terminalbefehle alle drauf haben und mindesten ein Informatik und Programmierstudium abgeschlossen haben... so klingt das jedenfalls hier

also ich habe mir einen root eingerichtet und in diesem log ich mich ein um manchmal daten auf anderen usr accounts zu übertragen etc.
Mag man mich als Inkompetent bezeichnen, aber ich verdiene nicht mein geld mit unix und lebe meine Zeit mit anderen Dingen als nur MacOSX.

Dennoch bezweifle ich das mein OSX dadurch unsicherer geworden ist.
und es ist mir echt schurzpiepeegal ob mir hier einer erzählt ich schaffe mir ein sicherheitsloch und ein anderer erzählt wieder was anderes. ich halte es nachwievor für unumgänglich (ohne fettschreibung @maceis) wenn man mehr als ein normalanwender in der daten verwaltung, sicherung, lagerung, administrierung machen will und finde es so viel bequemer.
und sicherheit ist ein ganz anderes thema und

wirklich sicher ist nur der tod ! ;)


 
volksmac schrieb:
manoman, was für ne diskussion.
um mal festzuhalten :
root ist quatsch, root braucht man nicht,

Richtig.

volksmac schrieb:
in der GUI arbeiten nur Looser bzw. Inkompetente und jeder der Macosx über ein Quantum an gewöhnlicher Nutzung nutzt, sollte die terminalbefehle alle drauf haben und mindesten ein Informatik und Programmierstudium abgeschlossen haben... so klingt das jedenfalls hier

Das hat keiner geschrieben. Und wenn das für dich so "klingt", dann irrst du dich.

volksmac schrieb:
also ich habe mir einen root eingerichtet und in diesem log ich mich ein um manchmal daten auf anderen usr accounts zu übertragen etc.

Daran hindert dich keiner. Es ist dein Rechner und dein System. Du darfst damit tun, wie dir beliebt. Für die Allgemeinheit ist ein solcher Umgang allerdings falsch.

volksmac schrieb:
Mag man mich als Inkompetent bezeichnen, aber ich verdiene nicht mein geld mit unix und lebe meine Zeit mit anderen Dingen als nur MacOSX.

Dennoch bezweifle ich das mein OSX dadurch unsicherer geworden ist.
und es ist mir echt schurzpiepeegal ob mir hier einer erzählt ich schaffe mir ein sicherheitsloch und ein anderer erzählt wieder was anderes. ich halte es nachwievor für unumgänglich (ohne fettschreibung @maceis) wenn man mehr als ein normalanwender in der daten verwaltung, sicherung, lagerung, administrierung machen will und finde es so viel bequemer.

Und genau das ist dein Widerspruch in sich.

Du klassifizierst dich selbst als "einfacher Anwender", der sein "Geld nicht mit unix" verdient.
Und schon im nächsten Satz machst du wieder verbindliche Erklärungen, was richtig und was falsch ist.

Ja was denn nun?
Laie oder Profi?


Ein paar Leutchen hier verdienen aber nunmal ihr Geld mit Unix, unter anderem.
Der Grund, warum man nicht als root arbeiten sollte, ist hinreichend erklärt worden. Ich liste es dir gerne noch mal auf:

Als root eingeloggt, werden ALLE Befehle als root ausgeführt. Jedes "ls", jedes "man" und die komplette bash.

Das ermöglicht weitreichende Debakel bei einer Fehlbedienung (Zum Beispiel "rm -rf / tmp/*", man beachte das versehentliche Leerzeichen - und ja, genau das ist mir passiert und hat mich kuriert).

Zum anderen besteht die Gefahr, dass in Verbindung mit Sicherheitslöchern der Rechner exploitet wird (Sagenwirmal sowas: Durch eine fehlerhafte Pfadüberprüfung gelingt es einer Malware, die Datei "/bin/cd.." anlegen zu lassen. Es ist eigentlich nur eine Frage der Zeit, bis der Admin sowas mal versehentlich eintippert. Oder "ls-l". Oder "LS", der nächste CapsLock kommt bestimmt).

Im Gegensatz dazu hat noch niemand darlegen können, warum ein
Code:
sudo cp -r /Users/ratti /Users/ratti2
denn nun schlechter sei als
Code:
su
cp -r /Users/ratti /Users/ratti2


Abschliessend noch ein Hinweis: Unixe sind nicht deswegen "sicher", weil ein barmherziger Gott netterweise seine Hand schützend über bequemlichkeitsfixierte Homeuser hält, denen das "egal" ist - sondern weil solche Details seit Jahrzehnten nciht "egal" sind, sondern beachtet werden.

Es gibt bereits ein Hauptsache-bequem-Betriebssystem, wir brauchen kein zweites.

Gruß,
Ratti
 
Zuletzt bearbeitet:
ratti schrieb:
Selten soviel Quatsch gelesen.

Du verwechselst "root" und "admin".
Adminaccounts haben keinen Vollzugriff auf das System. Root schon. Genau aus dem Grund sollst du NIEMALS GLOBAL ROOT aktivieren. Punkt. Dafür gibt es sudo. Alles andere ist Stümperei. Und wenn hier jemand schreibt, dass er seit 15 Jahren als root rummacht:

Lass dir von keinem Fachmann imponieren, der dir erzählt: "Lieber Freund, das mache ich schon seit zwanzig Jahren so !" - man kann eine Sache auch zwanzig Jahre falsch machen.
Kurt Tucholsky

Logins in root-Accounts haben den Nachteil, das JEDE Aktion als root ausgeführt wird. jede bash, jedes find, jedes less, was man halt so braucht. Hingegen werden bei sudo nur dann entsprechende Permission angefordert, wenn man sie BRAUCHT.

sudo hat dabei die gleichen rechte wie ein root login. Es hat also bei mehr Sicherheit keine Nachteile. Und das Passwort braucht man auch nur einmal eingeben pro x Minuten.


Ein FREISCHALTEN des root-Accounts ist dann einfach nur völlige Inkompetenz. Wenn man wirklich mal Dauer-root braucht, weil man sich z.B. in einem Ordner bewegt, der selbst für Admins gesperrt ist und man nervigerweise jedem ls ein sudo varanstellen müsste... dann tut es auch "sudo su", dann hat man eine root-Shell, ohne den root-Account potentiellen Attacken auszusetzen.

Denkt mal drüber nach, wieso man z.B. bei ssh den root-Account generell aussperrt.


Gruß,
Ratti


erklär mir mal wie ich per scp von ner remote kiste n file holen kann das root gehört...

scp kann kein sudo

(und ja ich verwende sehr viel scp)
 
pcdog schrieb:
erklär mir mal wie ich per scp von ner remote kiste n file holen kann das root gehört...

scp kann kein sudo

(und ja ich verwende sehr viel scp)
Natürlich "kann" scp sudo.
Das Problem dürfte eher sein, dass SSH-Server in aller Regel kein root-login zulassen - aus Sicherheitsgründen.
In dem Fall hilft Dir ein freigeschalteter root-account allerdings auch nicht weiter.

[edit]
halt, ich muss mich korrigieren:
wenn man auf dem ssh-Server gegen jede Empfehlung "PermitRootLogin yes" in der sshd_config eingetragen hat, dann muss man natürlich _zusätzlich_ den root-account freischalten (allerdings auf den ssh-Server und nicht auf dem Client), wenn man sich denn wirklich als root einloggen möchte.
Wenn Du das so gemeint hast, dann hast Du natürlich Recht, baust aber zusätzlich zu den bereits diskutierten eine weitere riesengroße Sicherheitslücke ein.

Natürlich kann das jeder halten wie er möchte.
Ich persönlich würde dafür aber keinen root freischalten.

Es gibt andere Methoden, Dateien die nur root lesen darf, per ssh zu übertragen, ohne den root auf dem ssh-Server freizuschalten.
Man verbindet sich als normaler User mit dem Server, wird dort zu root und schickt die Dateien von dort aus zum Client.
[/edit]
 
Zuletzt bearbeitet:
Bitte nicht schlagen, aber ich habe den Root aus einem Grund "teilaktiviert":

Und zwar um den Singleuser-Mode abzusichern.
Folge dessen ist, dass nach dem Root-Passwort gefragt wird, wenn irgendwer in den SU will. Das ganze hat aber übrigens auch den recht praktischen Effekt, dass ein Root-Login auf GUI/über su nicht möglich ist.

Aber hey, kommt mal alle wieder runter... Wenn er meint, dass er Root unbedingt braucht und "sudo su" nicht reicht, bitte...

Bei der Sache mit SCP schließe ich mich der Meinung von maceis an.
 
Zuletzt bearbeitet:
Daraus folgt nun endlich der Schluß ....

Root ist einfach nur dafür da, daß man ihn nicht aktiviert und auch nicht benutzt ....

Im Grunde wie der Blinddarm des Menschen. Aber wenn er entzündet ist, muß er vielleicht raus.

Nur der Root nicht, der bleibt drin ...


... und mögen die Angsthasen und Sicherheitsspezialisten mit euch sein ...

... denn wer den Root nicht ehrt - ist des Sudo nicht wert ...

basta ...
 
Zuletzt bearbeitet:
Der Root liegt aber nicht sinnlos rum, selbst wenn man ihn nicht benutzt.
/etc/rc läuft als root, viele Daemons die Ports unter 1024 öffnen müssen, brauchen root, etc. pp.
Die Sache ist doch lediglich die, dass man den Root nicht aktiviert, also ihm kein Passwort verpasst, damit ein unbedarfter Nutzer keinen Mist verbockt - und so schnell wird sich kein Frischling auf die Konsole verirren und mit sudo rumspielen wie er "root" mitsamt Passwort ins Login-Fenster getippt hat.

Summa summarum: Das System braucht root, der Administrator evtl. auch (wenn möglich, dann aber über sudo). Wer ihn dennoch aktivieren will und ihn direkt über su nutzen will, der soll es doch bitte tun. Aber er sollte sich auch über eventuelle Konsequenzen seines Handelns bewusst sein :)
 
jetzt wird es langsam interessant. Als permanenter GUI nutzer und konsolenhasser
sehe ich hier gute argumente geliefert - Singleuser-Mode ist z.b. einer.
 
mannomann.......

ich bin voraussichtlicher Switcher und verfolge den thread "gebannt" ohne das meiste zu verstehen..... muss ich das Mitte 50 alles noch lernen,- da bekommt man ja Angst vor der Entscheidung...(ehrlich!)
Gruss an alle!
Norbert
 
Hi Norbert,

ich nutze meinen Mac seit einem Jahr, hatte davor auch DOSen und kam bisher prima ohne Root und weitgehend ohne das Terminal aus.
Von daher - keine Angst! Der Mac lässt sich auch prima so bedienen ;)

Aber spannend ist ja, was es alles für Möglichkeiten gibt, von denen man so als "Pixelschubser" keine Ahnung hat. Aber auch nach dem Lesen des Threads nicht so unbedingt. Wenigstens hab ich jetzt mal den Netinfo Manager gesehen :D

Grüße vom Schaf
 
Zurück
Oben Unten