Permanent root sein

Aus Linupedia.org
Wechseln zu: Navigation, Suche

Unter Linux gibt es eine strikte Trennung zwischen den alltäglichen Benutzern und dem Systemverwalter, der hier root genannt wird. Der Benutzer hat nur sehr eingeschränkten Zugriff auf das System, root hingegen darf alles auf dem System.

Sicherheitslücke: Permanent root zu sein!

Das permanente angemeldet sein als root ist eine der Todsünden, die man unter Linux begehen kann. Da root alles darf, dürfen auch Programme, die root aufruft alles, was root halt so darf. Dadurch öffnet sich Tür und Tor für Angriffe, z. B. aus dem Netz oder über rootkits. Linux hat den Ruf, sehr sicher zu sein, nicht zuletzt aus dieser strengen Trennung der Nutzer erworben. Darum bitte nie, nie, nie auf die Idee kommen, permanent als root angemeldet zu sein, auch wenn es noch so bequem erscheint. Auch nicht, wenn man gerade das System installiert hat und 'nur schnell alles konfigurieren' will. Das ist ein ganz schlechter Stil. Denn meist hat man ja doch den Browser offen und eine Verbindung in das Netz dabei. Ganz schlechte Idee, das unter einem vollen root-Login zu tun. Kurzum: Ein voller root-Account ist absolut tabu in einer graphischen Umgebung!

In den letzten Windowsversionen wurden beispielsweise auch Bestrebungen unternommen, den Administrator besser von den Nutzern zu trennen. Man hat also auch im Windowslager erkannt, das diese Trennung sinnvoll ist. Allerdings ist diese Trennung unter Linux wesentlich ausgereifter als bislang unter Windows.

Aber dann muss ich mich ja immer ab- und anmelden, wenn ich root sein will

Das ist eine weitverbreitete Fehlannahme. Da die Trennung von root und Nutzer unter Linux so eine lange Tradition hat, funktioniert hier der Wechsel sehr bequem und schnell aus einer User-Sitzung heraus. Man muss sich also nicht abmelden und dann als root neu anmelden. Zum bequemen und schnellen Wechsel in den root-Modus gibt es verschiedene Möglichkeiten. (siehe auch: Kontrolliertes Ausfuehren von Befehlen als root )

Es ist aber darauf zu achten, dass auch ein über den user-account aufgerufener root sich vorsichtig zu verhalten hat und zum Beispiel nicht via Konqueror oder Firefox im Internet herumsurfen sollte - auch hier würde die Gefahr eines Exploits bestehen, wodurch ein Angreifer absolute root-Rechte über ein System erlangen kann.

kde

Wenn man ein Programm unter kde als root starten möchte, öffnet man mit Alt-F2 die Befehlseingabe und gibt dort das gewünschte Programm, angeführt von kdesu, ein. Um z. B. den Editor mit root-Rechten zu öffnen müsste man

kdesu kate

eingeben.

gnome

Unter gnome funktioniert das sehr ähnlich wie unter kde. Auch hier öffnet man die Befehlseingabe mit Alt-F2, allerdings gibt man dann gnomesu ein.

gnomesu gedit

würde also den Editor gedit im root-Kontext öffnen.

Terminal

Auch in einer shell, konsole, Terminal usw. kann man schnell zu root werden. Der Befehl dazu lautet

su

su steht für 'substitute user' und erlaubt es, den User zu wechseln. Ohne weitere Angabe wird su uns als root anmelden, man könnte allerdings auch mit

su nutzerb

von Nutzer A zu Nutzer B werden. Bei dem Wechsel ohne weitere Angaben werden allerdings nicht alle Verzeichnispfade gesetzt, darum wechselt man in der Regel mit

su -

zu root. Jetzt stehen alle Verzeichnispfade zur Verfügung.

Anschließend sollte man sich mit dem Befehl:

exit

abmelden.


Ubuntu

Unter den Ubuntu-Varianten kann man sich nicht per su - anmelden. Hier werden entsprechende Programme, die als root aufgerufen werden sollen mit 'sudo PROGRAMMNAME' geöffnet. Es gibt jedoch mehrere Möglichkeiten, sich auch unter Ubuntu als root anzumelden:

  • die konsole aus KDE installieren. Nun geht man in Sitzung rein, und ruft "Neues Befehlsfenster (Systemverwaltungsmodus)" auf. Da muss das Passwort für root eingegeben werden, welches identisch ist mit dem Passwort des ersten Benutzers (UID=1000).
  • Unter KDE Alt+F2 drücken, Einstellungen aktivieren, sich als anderer Benutzer anmelden ankreuzen, root eingeben, wenn es dort nicht schon steht, Passwort eingeben, durch die Eingabe von "konqueror" diesen starten. Und aus dem Konqueror raus lassen sich die Programme per root automatisch starten.
  • Mit dem Befehl
sudo passwd

Kann man sich bereits als Superuser anmelden. Sollen alle administrativen Ausführungn das root-Passwort statt des Passwortes des Users verwendet werden, ist ein Eintrag in /etc/sudoers zu empfehlen. In einem Editor fügt man der ersten nicht auskommentierten Zeile die flags 'targetpw' und 'timestamp_timeout = 0' hinzu.

Defaults        !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0


Grundsätzlich sollte man, obgleich möglich, den root-Account unter Ubuntu nicht aktivieren. Das System kann unter Umständen ein sehr merkwürdiges Verhalten an den Tag legen, wenn ein voller root-Account angelegt ist. Die sudo-Methode hat sich als bester Weg gezeigt, temporär root-Rechte zu erlangen.

Kein Grund, permanent root zu sein

Wie man also leicht erkennt, besteht keinerlei Notwendigkeit, permanent root zu sein. Ein sauberes Umsetzen der vorgesehenen Trennung von root und Nutzern erhöht entscheidend die Sicherheit eines Linux-Systems. Schnell hat man als root mal versehentlich etwas gelöscht, das man nicht löschen sollte oder man fängt sich unschöne Dinge im Netz ein. Ein bewusstes Anmelden als root sollte die Aufmerksamkeit, was man so gerade am System treibt, erhöhen. Beim permanenten arbeiten als root lässt das Bewusstsein für diese Dinge schnell nach.

Quellen


Zurück zu Allgemeines