Anzeige:
Ergebnis 1 bis 7 von 7

Thema: Arbeiten als root

  1. 27.01.22, 13:21 #1
    Huhn Hur Tu
    Huhn Hur Tu ist offline
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.255

    Arbeiten als root

    Immer wieder wird geschrieben, arbeiten als root ist gefaehrlich, aber niemand sagt warum.
    Punkte fuer und gegen login per root.

    Contra und baeh:
    - Arbeiten mit Windowmanager, das muss wirklich nicht sein, ist ja kein Windows
    - einmal einloggen und alles dort machen
    - Login per SSH

    Pro:
    - Shell Login um eine Config zu editieren, Logs zu lesen, einen Service neu zu starten und dann im Anschluss die Logs zu lesen "UND" im Anschluss wieder ausloggen.

    Aber das Argument, mit root einloggen ist boese kann ich nicht nachvollziehen, was meint ihr ?
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.

    Zitieren Zitieren
  2. 27.01.22, 13:47 #2
    sam600
    sam600 ist offline
    Registrierter Benutzer Avatar von sam600
    Registriert seit
    Sep 2007
    Beiträge
    341
    Zitat Zitat von Huhn Hur Tu Beitrag anzeigen
    Aber das Argument, mit root einloggen ist boese kann ich nicht nachvollziehen, was meint ihr ?
    Habe ich auch so lange gemacht.
    Das Problem ist: Es passieren Leichtsinn!

    Wenn man aber zusätzlich noch ein Passwort eigeben werden muss
    oder
    Sich extra nochmal Anmelden, dann schaut man nochmal nach und ist sich seiner Verantwortung bewusst!

    Also: Nie als Root Arbeiten
    Zitieren Zitieren
  3. 27.01.22, 13:53 #3
    corresponder
    corresponder ist offline
    kleine schwester von root Avatar von corresponder
    Registriert seit
    May 2002
    Ort
    192.67.198.56
    Beiträge
    4.584
    Auf einem gewöhnlichen Desktop System ist es schlicht unnötig, da die root-Berechtigung selten benötigt wird.
    Ein Terminal mit root-Rechten ist meist offen, falls ich es brauche...
    Auf Servern arbeite ich meist als root Benutzer.....
    _______________________________________

    www.audio4linux.de - musik machen mit offenen quellen!
    Zitieren Zitieren
  4. 27.01.22, 14:20 #4
    nopes
    nopes ist offline
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.819
    Hier gibt es etwas Fleisch dazu: https://www.redhat.com/sysadmin/sysadmins-dont-sudo

    Ich folge der Argumentation, dass man als Admin eine Shell will, so dass man gefälligst die tollen Linux Features nutzen kann - zB Tab-Completion, allerdings bin ich auch von sudo überzeugt. Ich finde ich den Artikel falsch, bzw würde die Argumentation nicht durchgehen lassen, es braucht kein root Passwort, nutzt gefälligst sudo -s bzw sudo su. Bei Firmen, geht es aber auch darum, dass man besser nachvollziehen kann, welcher Admin was gemacht, da sollte man dann konsequent verhindern, dass Admins eine Root-Shell haben können - was ich in der Praxis irgendwie noch nicht gesehen habe.
    Es gibt da auch noch den Ansatz, dass man mehrere Nutzer mit der ID 0 erstellt, dass ist Käse, man kann da nicht immer verstehen, wer was gemacht hat, wie soll die 0 zurück in einen Nutzernamen gewandelt werden?

    Je nach Unternehmen ist es inzwischen außerdem so, dass man nicht mehr einfach mit SSH auf die Server verbinden darf, man verbindet sich zu einem Terminal Server, von den aus zum Server, der Terminal Server wird "Video" überwacht, so können Aktionen unabhängig vom Log des Servers nachvollzogen werden - bei uns in Deutschland ist das mit hohen Hürden verbunden, es muss zB sichergestellt werden, dass der Datenschutz beachtet wird, man darf die Videos also nicht einfach anschauen bzw irgendwie ungeschützt verwahren.


    Wie auch immer, eine Root-Shell zu verbieten, trägt mMn nicht dazu bei die Sicherheit zu erhöhen, kein Root Passwort und Login zu haben aber schon.
    Geändert von nopes (27.01.22 um 17:07 Uhr) Grund: Typos
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat
    Zitieren Zitieren
  5. 28.01.22, 07:04 #5
    DrunkenFreak
    DrunkenFreak ist offline
    Fieses Frettchen Avatar von DrunkenFreak
    Registriert seit
    Dec 2003
    Beiträge
    3.315
    In der Regel willst du keinen direkten Login mit root. Ein Angreifer müsste nur an diesem Login aufsetzen, um den Server zu kapern. Loggst du dich mit einem eigenen Benutzer ein (natürlich nicht nur mit PW), musst du per sudo / su erstmal root werden und nochmal dein Passwort eingeben. Ein Angreifer braucht also schon zwei Informationen, um den ganzen Server zu kapern.

    Die Idee hinter dem Terminalserver ist eigentlich weniger die Überwachung, sondern eine zweite Sicherheitsebene. Du versuchst damit administrative Aufgaben von deinem Tagesgeschäft zu trennen. Der Terminalserver ist dabei in der Regel irgendwas, was nur Zugriff auf dein zu administrierendes Tier hat. Idealerweise ist es nichtmal ein Terminalserver, sondern ein zweiter pysischer Rechner mit Tastatur und Bildschirm. Das ist sicherlich sinnvoll, schießt meiner Meinung nach aber häufig deutlich über das Ziel hinaus.
    Zitieren Zitieren
  6. 28.01.22, 13:22 #6
    Huhn Hur Tu
    Huhn Hur Tu ist offline
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.255
    Der Redhat Link ist sehr interessant und bestaetigt mehr oder weniger meine Sicht auf die Welt. Terminalserver aka. Junphosts, vor allem shared junphosts halte ich fuer eine sehr gefaehrliche Sache, da sich hier Berchtigung akumilieren und ein sehr suesses Ziel abgeben.
    Mein Fazit weiterhin: Daily Business sollte als unprivilegierter User geschehen, Admin Aufgaben koennen als eingeloggter root gemacht werden. Das aber verlangt die Disziplin sich auch nach der Aufgabe wieder auszuloggen und nicht einfach offene Rootshells stehen zu lassen.
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.

    Zitieren Zitieren
  7. 29.01.22, 00:21 #7
    nopes
    nopes ist offline
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.819
    Diese Hosts kriegst du nicht von außen, da braucht es viel internes Wissen - Unternehmenskultur und so lässt grüßen; vermutlich sollte man inzwischen aber auch so Dinge, wie "Post-Quantum" auf den Zettel packen - sa https://media.ccc.de/v/rc3-2021-cwtv...d-post-quantum
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Ähnliche Themen

  1. "/" root (USB-Stick) am arbeiten bei externem Datenträger?
    Von SystemSh0cker im Forum Linux Allgemein
    Antworten: 6
    Letzter Beitrag: 19.09.12, 06:55
  2. Natürlich sollte man nicht als "root" arbeiten, aber....
    Von simmerl im Forum Linux Allgemein
    Antworten: 27
    Letzter Beitrag: 07.12.06, 15:03
  3. via ssh arbeiten
    Von ClemensBW im Forum Linux als Server
    Antworten: 14
    Letzter Beitrag: 01.12.05, 23:50
  4. Warum nicht als root arbeiten ?
    Von n0w4it4 im Forum Linux Allgemein
    Antworten: 13
    Letzter Beitrag: 10.03.05, 10:30
  5. wie muß ich mit scp arbeiten ?
    Von magnum61 im Forum Linux als Server
    Antworten: 6
    Letzter Beitrag: 17.05.02, 18:32

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln