Linux-Sicherheit

24. Februar 2008, 11:25 Uhr von pantoffelpunk

Ich bin ja kein Fachmann, aber wenn ich es richtig sehe, bekommt man in aktuellen Linux-Distributionen nicht mehr so automatisch einen Root-Account, damit Systemeinstellungen vor dem Betreten Unbefugter (und leider auch Befugter) geschützt sind. Aber wenn ich das richtig erinnere, habe ich eine wichtige Datei editieren können, als ich vor Wochen bei der Einrichtung eines Ad-Hoc WLANs irgendwann auf meinem Linux-Notebook mit einer Live-CD gebootet und die entsprechenden Devices gemountet habe.

Das fiel mir gerade zufällig ein. Ist das wirklich so? Erinnere ich das richtig? Weil wenn ja, dann ist ein Linuxsystem ja tatsächlich nur middelsicher, oder?

24 ma was gesacht

Das kommt auf die Distribution an.
Ist die Distribution für Anfänger gedacht, ist der root-account meistens deaktiviert.
Man kann dann allerdings noch per sudo “root auf Zeit” werden.
Es ist richtig, dass Du von einer Live-CD alle Partitionen mounten, und die Daten verändern kannst. Schutz davor bietet nur Festplattenverschlüsselung.
Das ist aber mit allen Betriebssystemen so.

Gruß, Jan

gesacht am 24. 02. 2008 um 12:30 Uhr
von Jan
Du erhälst über das Kommando sudo root-Privilegien. Der Vorteil ist, dass Du als normal berechtigter User Deine Arbeit erledigst und nur bei Bedarf die höheren Rechte anforderst. Üblicherweise muss hierbei das Benutzerpasswort erneut eingegeben werden. Weniger sicher wird das System durch die Abwesenheit des root-Benutzers nicht.

Beim Booten mit einem fremden System (Live-CD) kannst Du natürlich auf alle mountbaren (nicht verschlüsselte etc.) Devices mit den (root-)Privilegien des aktuellen Systems zugreifen. Das betrifft aber grundsätzlich alle Betriebssysteme und ist keine spezielle Schwäche von Linux. Physikalischer Zugriff auf einen Computer ist immer ein Sicherheitsrisiko.

gesacht am 24. 02. 2008 um 12:30 Uhr
von sw
Aber ‘sudo’ ist ja nicht allgemeingültig für alle Linux-Varianten, oder? Ich weiss, dass es das beispielsweise bei Ubuntu gibt, aber das gibts doch nicht bei jedem Linux. Klärt mich auf, wenn ich falsch informiert bin.

gesacht am 24. 02. 2008 um 12:43 Uhr
von KRiZZi
Du hast gerade ein (systemübergreifendes) Argument für Festplattenverschlüsselung erkannt. Glückwunsch! :-)

gesacht am 24. 02. 2008 um 12:46 Uhr
von Jens
Sudo gibt es in fertigen Paketen für alle Linux-varianten, AIX, HP-UX, IRIX und Solaris.
Kompilieren kann man es wohl auf jedem POSIX-System.

gesacht am 24. 02. 2008 um 13:30 Uhr
von Jan
Danke für die Info, wieder was gelernt.

gesacht am 24. 02. 2008 um 13:56 Uhr
von KRiZZi
so behandelt ist linux halbschwanger, das stimmt wohl. also bios-passwort setzen, booten von externmedien verbieten, partition verschlüsseln, da gibt es ja möglichkeiten, versteckten container in verschlüsselter partition erstellen und sich an der geekigen eigenen paranoia erfreuen.

bei ‘linux’ brauchst du einen rootaccount, also hast du auch einen. nur die *ubuntus stellen da erst mal eine hürde auf. sie sind auch nicht dazu da, systeme zu verwalten. es ist ein anderes, soziales konzept hinter ubuntu – kein it-orientiertes.

gesacht am 24. 02. 2008 um 14:22 Uhr
von GrooveX
Linux = Sicher? Naja. Die paar Kollegen, die mit Ubuntu usw. arbeiten, mussten als erstes nach “root ubuntu” auf google suchen. Wer nicht als root arbeitet, ist ja ein Weichei 8-/

Gegenüber Windows sind sicherlich einige Probleme nicht vorhanden. Dafür gibt es andere. Ich habe mir heute erst den Nachmittag damit versaut. Wie jedes andere BS sitzt das Problem meist vor dem Rechner. ;-)

Und wie sicher Festplattenverschlüsselung angesichts Beugehaft und anderen demokratischen Errungenschaften ist, will ich hier lieber nicht erörtern…

gesacht am 24. 02. 2008 um 16:01 Uhr
von Thomas Trueten
@Jan: Erst noch später fiel mir auf, dass man natürlich mit einer DOS-Diskette auch an die Windows-Partitionen kommt. Hatte diese Parallele nicht gesehen, weil Windows ja eh Windows ist.
@sw: Mir war aber nicht klar, wie ich die WLAN-cfg-Datei editieren sollte. sudo einigen wenigen mir bekannten Terminal-Befehlen voranzustellen (ganz wichtig: sudo ps -e :-) kenn ich, aber wie ich über das Terminal eine Textdatei ändern und speichern kann, nicht. Insofern hatte ich ein Problem.
@Jens: Ein blindes Huhun oder so. :-)
@Jan: DAS zum Beispiel ist halt really nerdy. Damit kann ich nichts anfangen. Ich finde mich schon heroenhaft, dass ich unter Dreamlinux den Helixplayer zum Fliegen gebracht habe. Ich muss keine Sudo-Pakete kompilieren, nein, ich will das vor allem nicht. :-)
@KriZZi: Dies ist ein bildungsblog. Cool, oder?
@GrooveEx: Mir gefällt das Dreamlinux ganz hervorragend, nur die Einrichtung ist zum Teil etwas haarig. Eben, wenn der root-account fehlt. :-)
@Thomas: Ich verstehe kein Wort von Deinem Artikel :-)

gesacht am 24. 02. 2008 um 20:09 Uhr
von pantoffelpunk
Aus meinen Staz weiß ich, dass just in diesem Moment der Skop-Michel diesen Beitrag liest und ich wette meinen Arsch, dass hier gleich ein Kommentar steht, der die Worte USB, ARD und Firefox enthält.

gesacht am 24. 02. 2008 um 20:18 Uhr
von pantoffelpunk
Schade, Wette verloren.

gesacht am 24. 02. 2008 um 20:25 Uhr
von pantoffelpunk
USB, ARD, Firefox.

Ist irgendwie nicht das Gleiche. Ich weiß. Aber wenigstens was.

Übrigens: Diese Rootnummer. Ist das nicht bloß dann der Fall, wenn man per Live-CD on ist? So als Kompromiss. Wenn ich LInux installiere, werde ich immer nach dem Anlegen eines Root-Accounts gefragt.

gesacht am 24. 02. 2008 um 20:28 Uhr
von Dieter Petereit
@pantoffelpunk: Ich auch nicht ;-)
@dieter/rootnummer: Ich nie 3;->

gesacht am 24. 02. 2008 um 21:19 Uhr
von Thomas Trueten
Aber nicht bei Ubuntu und nicht bei Dreamlinux. Doch? Ich gebe weiter an Guido den Ratefuchs…

gesacht am 24. 02. 2008 um 21:34 Uhr
von pantoffelpunk
hi pantoffelpunk,
ich kenne jetzt dreamlinux nicht und weiss auch nicht, worauf diese distribution basiert, aber ich kenne ‘linux’. und ich bestehe darauf, unter linux brauchst du einen root-account. ich will jetzt nicht auf die nerdigen quatschereien verfallen, wie ich sie hier und da und dort hasse, nur ein einfacher tip: linux, also die betriebssoftware, die eigentlich gnu/linux heissen sollte, hat standards, an die sich alle distributionen halten. und root ist der einzige account, der da sein MUSS! also technisch brauchst du keinen anderen user als root!!!

warum jetzt distributionen wie dreamlinux oder ubuntu diesen account bei der installation nicht einrichten, weiss ich nicht. vielleicht halten die das für pädagogisch wertvoll.

gesacht am 25. 02. 2008 um 10:48 Uhr
von GrooveX
Um eine Textdatei zu editieren kann ich (als windows user) nano empfehlen, also sudo nano /deine/datei.conf ist einfacher als vim o.ä.
Du kannst aber auch einen grafischen Editor in der Konsole starten, z.b. scite.

gesacht am 25. 02. 2008 um 11:11 Uhr
von Struppi
ich hab was gefunden, vielleicht hilft es dir.

http://tinyurl.com/2twhov
und
http://tinyurl.com/3dsloe

gesacht am 25. 02. 2008 um 12:56 Uhr
von GrooveX
Sicherheit gilt es ja aber zu definieren. Windows NT hat beispielsweise ein offizielles Zertifiktat, das es als sicher ausweist (allerdings nur, wenn kein LAN im Spiel ist). Hilft das, das System sicher zu machen? Ohne LAN, eingesperrt im Safe – ziemlich sicher, oder?
Den Root-Account von einem System zu nehmen, hilft nicht, das System sicher zu machen, wenn alle anderen Benutzer diese Rechte haben – irgendjemand muß das System ja auch einmal einrichten, ändern, Patches einspielen.
Unter Windows findet man sehr häufig, das der Administrator brav umbenannt wurde und ein sicheres Kennwort erhielt, die Leute, die aber an der Kiste arbeiten in der Gruppe der Administratoren sind. Auch middelsicher, oder?

gesacht am 25. 02. 2008 um 14:10 Uhr
von tom
Ich will hier ja um Gottes Willen nicht den windows-linux-war – mir war das bloß aufgefallen, dass selbst ein dude wie ich – mit gefährlichem Halbwissen – dann doch diese Einschränkungen umgehen kann und wollte wissen, ob ich das richtig in Erinnerung habe.

Und ich habe NIE windows für sicher gehalten. Bewahre. Aber mit diesen Themen bekomme ich sogar Thomsen mal zum Kommentieren – schön! :-)

gesacht am 25. 02. 2008 um 23:40 Uhr
von pantoffelpunk
@pantoffelpunk: Nun wasche mal nicht Deine Hände in Unschuld und behaupte: “Ich will hier ja um Gottes Willen nicht den windows-linux-war”. Zu gewissen Zeiten hätte man solche Scheinheiligkeiten ;-) folgendermaßen ausgelegt:

“Er hat Jehova gesagt!”

gesacht am 25. 02. 2008 um 23:56 Uhr
von Thomas Trueten
Wer waf den Stein? :-)))

gesacht am 26. 02. 2008 um 00:01 Uhr
von pantoffelpunk
Kann es sein, daß Weibsvolk anwesend ist? :-))

gesacht am 26. 02. 2008 um 00:11 Uhr
von Thomas Trueten
Kann es sein, dass hier NÖÖÖrdsvolk anwesend ist? ;-)

gesacht am 01. 03. 2008 um 12:11 Uhr
von Bjn Hel
Außer Ingrid niemand.

gesacht am 01. 03. 2008 um 17:08 Uhr
von Dieter Petereit

Linux-Sicherheit

24 ma was gesacht

Sach ma was...

Katholiken

Posts

Damals

Kommentare

Trackbacks

blogs

Kategorien

Archiv

Seiten

Meta

Spread the shit...