MLD-5.x > Feature requests
nur (?) root-Login?
v_d.b.an:
Liebes Forum,
ich bin zwar erst ein paar Tage dabei (auch als MLD-Benutzer) und zuallererst: Läuft super!
Deswegen steht es mir auch nicht zu, "Kritik" zu üben; ich habe dieses Thema daher unter "Wünsche" einsortiert... ;)
Ich habe auch gesehen, dass es eine bewusste Entscheidung ist, dass "die MLD ganz bewusst mit root rechten" läuft...:
--- Quote from: clausmuus on February 16, 2016, 14:31:29 ---Wir lassen die MLD ganz bewusst mit root rechten laufen. Andernfalls wären viele Funktionen die wir anbieten nur mit immensen Aufwand umsetzbar und deutlich komplizierter. Nichts desto trotz ist mir sehr wohl bekannt warum normale Desktop Systeme nicht als root User verwendet werden.
Die MLD ist halt kein auf Sicherheit getrimmtes System, sondern soll möglichst einfach und schlank sein. Trotzdem wird z.B. der Chrome Browser nicht als root gestartet.
--- End quote ---
Da der Rechner mit MLD als reines MediaCenter läuft, kann ich damit leben.
Ich würde mir allerdings wünschen, zu ermöglichen, dass "root" sich nicht per ssh anmelden kann (nicht als "Standard", sondern als "Option", gerne auch mit ein bisschen "Frickelei" auf der Konsole... ;)).
Denn die Logeinträge auf anderen Linux-Systemen zeigen, dass immer wieder Anmeldungen per ssh versucht werden und der erste Zugriff erfolgt (wenig überraschend) mit dem Benutzer "root" (oder "user" ;)).
Ich habe - entsprechend dem vorgenannten Beitrag, sowie im Beitrag Nutzer-Verwaltung einen neuen User in der /etc/passwd angelegt, aber diesem root-Rechte per "su" zu verschaffen, geht nicht ("su: must be suid to work properly").
Gibt es eine andere Möglichkeit, als "su" mit dem "stickybit" zu versehen und "root" (und user?) aus dropbear auszuschließen... (oder drobpear gegen openssh-server zu tauschen)?
Ich hoffe, das ist jetzt nicht zu frech :-[ oder zu viel auf einmal...
Vielen Dank und LG,
v_d.b.an
skippy:
Hallo und Willkommen bei der MLD.
Es sollte reichen, den Namen root in der /etc/passwd umzubenennen. Siehe dazu auch diesen Beitrag. Da gibt es auch noch eine kleine Warnung dazu. Der Tipp ist ohne Gewähr, ich habe es noch nicht selbst ausprobiert
Viele Grüße skippy
v_d.b.an:
ReHallo und Danke für das "Willkommen".
Auf die Idee mit dem Umbenennen bin ich noch nicht gekommen...
Aber das wird ja auch in dem verlinkten Beitrag nicht wirklich empfohlen
--- Quote from: https://www.linuxforen.de/forums/showthread.php?18593-Root-umbenennen! ---ABER VORSICHT: manche Programme sind darauf angewiesen, dass ein Account namens Root existiert.
--- End quote ---
LG,
v_d.b.an
baltic:
Auch von mir ein herzliches Hallo und Willkommen!
Ich kann Dir bei der Lösung der eigentlichen Fragestellung zwar nicht helfen, möchte aber mal zu bedenken geben, dass z.B. Router i.A. auch nur mit dem root-Account laufen. Wenn das so kritisch wäre, hätten sich da sicher längst andere Lösungen etabliert.
Vielmehr solltest Du Deine Bemühungen erst einmal auf die Firewall konzentrieren, wenn tatsächlich öfter "Besuch" da war. Oder sind die angesprochenen Maschinen mit Absicht aus dem I-Net erreichbar sein?
Gruß
baltic
v_d.b.an:
ReHallo baltic,
und ebenfalls Danke.
Über root-Router habe ich mir in der Tat bislang keine Gedanken gemacht...
Rechner sind bei mir in der Regel nicht (mehr) unmittelbar aus dem Internet erreichbar, soweit nicht zwingend erforderlich.
Der VDR war es (lange her) früher, um auch aus der Ferne Timer anlegen zu können; aber dazu braucht er ja nicht "frei" im Internet erreichbar zu sein - dafür gibt's ja VPN...
Die "Angriffe" sehe ich aber z. B. beim Cloud-Server (der ja erreichbar sein muß).
Insofern ist es wohl - ohne direkte Erreichbarkeit - nicht ein unmittelbares Problem, da gebe ich Dir Recht.
Trotzdem ist mir unwohl... so grundsätzlich... (mal versehentlich 'nen Port in der FW geöffnet und merkt's nicht/nicht rechtzeitig?)
Root-no-login per ssh ist normalerweise (mit) das erste, was ich bei Neuinstallation ändere...
LG,
v_d.b.an
Navigation
[0] Message Index
[#] Next page
Go to full version