iLover schrieb:
...
der Root muß nicht root heißen, man kann ihn auch maceis nennen oder wie man sonst will und man kann auch mehrere roots (Systemadmins) im System haben. Du mußt mich und andere nicht für dumm verkaufen.
Das ist Unsinn.
Es gibt nur einen Benutzer root.
Dieser hat die Benutzer ID 0 und ist einzigartig.
Um diesen Benutzer geht es; er ist auch der einzige, den man in Netinfo-Manager unter dem Menü "Sicherheit" mit dem Kommando "root-Benutzer aktivieren" für das grafische login freischalten kann.
Wenn Du mir "Systemadmins" Mitglieder der gruppe "admin" meinst, so habe ich nie behauptet, das es diese nicht geben soll.
Im Gegenteil, mit einem solchen Benutzer kann man das System vollständig administrieren. Sie sind aber keine 'roots' und haben zunächst mal nicht die Rechte von root.
iLover schrieb:
...Ein postsuper-Befehl kann im Normalfall nur mit root-Rechten ausgeführt werden und nicht mit Hilfe eines sudo, es sei denn du hast was mit deiner config oder deinen Rechten angestellt was mich nicht wundern würde.
Das ist falsch. In der Standardkonfiguration kann jeder Benutzer, der Mitglied der Gruppe 'admin' ist (was nicht dass selbe ist wie root) mit 'sudo postsuper ...' Kommandos ausführen.
iLover schrieb:
...Wenn du als maceis (Systemadministrator) angemeldet bist, kannst du zusätzlich natürlich auch noch ein sudo eingeben. Das kann ich auch, selbst wenn ich es vor einer Sekunde vorher schon getan habe. Das ganze Spiel kann ich dann stundenlang fortsetzen.
Falls Du "System Administrator" meinst, so ist das der realname des Benutzers 'root'. Der realname ist aber im Grunde genommen absolut irrelevant.
iLover schrieb:
...Wie willst du eigentlich die Mail deines Root lesen wenn mal wichtige Bug-Nachrichten oder Logs an ihn geschickt werden? Sicher, die hast du längst auf einen anderen Account mit aliases umgeleitet.
Ja, das ist allgemein anerkannter Stand der Technik, und zwar aus Sicherheitsgründen.
Hast Du schon mal einen Blick in die Datei "/etc/postfix/aliases" geworfen:
/etc/postfix/aliases schrieb:
...
# Person who should get root's mail. Don't receive mail as root!
#root: you
...
iLover schrieb:
...Im Grunde ist es mir ja auch egal wie jeder mit seinem Rechner arbeitet. In diesem Fall aber solltest du den Leuten hier keinen Bären aufbinden und nicht irgendwelche falsche Angst verbreiten. Einem Sicherheitsrisiko ist jeder Benutzer bereits beim Einschalten eines Computers ausgesetzt der dazu noch mit dem Internet verbunden ist.
Ich verbreite keine falsche Angst, sonder Fakten.
Hast Du Dir den "Security Guide" der NSA wenigstens mal durchgelesen.
iLover schrieb:
...Und es ist einfach reine Gewohnheitssache, ob man die täglich anfallenden Arbeiten am Rechner als Root ausführt, nur diverse Tätigkeiten damit erledigt, oder diesen Account für immer in den Ruhestand schickt. Weißt du was eine Kindersicherung ist?
Na also, nichts anderes ist das Deaktivieren des Root. Mit der Rumspielerei im sudo-Bereich passieren weitaus mehr Unglücke, als wenn man sich gleich richtig mit der Materie beschäftigt und ein Gefühl für Verantwortung entwickelt.
...
Deine Gewohnheit bleibt Dir unbenommen.
Ich will Duch auch zu nichts überzeugen oder gar überreden.
Allerdings finde ich es ein wenig billig, mir zu unterstellen, ich würde jemandem einen Bären aufbinden oder ich hätte mein System (config/Rechte) manipuliert um Tricks (postsuper) vorzuführen, die im Normallfall nicht funktionieren würden.
Das ist lächerlich.
iLover schrieb:
...Wenn ich an meinem System spezielle Konfigurationen durchführen möchte, so möchte ich nicht, daß dieses mir durch irgendeine Art und Weise erschwert wird. ich möchte vor nichts geschützt oder bewahrt werden, ich bin der Benutzer. Und wenn mir dennoch mal ein Fehler passiert, dann installiere ich eben neu und fertig.
Auch das bleibt Dir unbenommen.
Auf Produktiv-Systemen kann ich mir das aber nicht leisten.
iLover schrieb:
...
Also warum nicht lieber aufklären und Mut machen, als andere als dumm darstellen, unwissend und unmündig aussehen lassen. Es gibt wirklich andere Möglichkeiten sich zu schützen, man muß nicht noch die schon wenigen guten Funktionen des Systems beschneiden dazu, wirklich nicht. Und man muß sich auch nicht mit solchen Hilfs-Logins wie sudo begnügen wenn man das nicht will.
Hier kommt (noch einmal) die Aufklärung:
"Mit sudo kannst Du Dir eine vollwertige root-shell starten, ohne das der benutzer 'root' freigeschaltet ist
Mit sudo kannst Du darüber hinaus auch grafische Programme mit vollen root-Rechten starten (z. B. Textedit zum Ändern von Konfigurationsdateien, falls man das wirklich mit TextEdit machen will und nicht etwa mit vim o. ä.).
Von einem "Hilfs-Login" kann also keine Rede sein."
Was da beschnitten sein soll, weiss ich nicht.
iLover schrieb:
...
Irgendwelche Empfehlungen von Apple oder der NSA sind mir ebenfalls Schnuppe. Diese Leute haben schließlich das UNIX-System nicht erfunden.
...
Nein, und von Sicherheit und Notwendigkeit haben sie vermutlich nicht die geringste Ahnung, oder?