SuperUser Name

[shevegen]

Hi,

Wie ändere ich den Namen für den SuperUser?
Da Linux intern mit UID etc. arbeitet ist der Name egal.

Jetzt gibt es in /etc/passwd ja den Eintrag von "root" an erster Stelle, allerdings denke ich, das dies nicht das einzige ist, was geändert werden muss, damit "root" persistierend einen anderen Namen hat.

[gms]

es wäre ja möglich den Namen zu ändern, nur wirst du dann damit leben müssen, daß so Dinge wie "chown root ..." in diversen Scripten nicht mehr funktionieren werden. Diese Aufrufe kommen natürlich auch in den Debian Paketmanagement Scripten vor ( auf meinem System 69 mal, wie ein Aufruf von

Code: Alles auswählen

root@gms1:/var/lib/dpkg/info# grep "chown root" * | wc -l
69

beweist.
Also ich halte das nicht für eine gute Idee. Könntest du uns bitte den Hintergrund dieser Idee näher erläutern.

Gruß
gms

[Joghurt]

Z.B.

Code: Alles auswählen

usermod -l gott root

Wenn /root auch noch umbenannt werden soll:

Code: Alles auswählen

usermod -l gott -d /gott -m root

[KBDCALLS]

Wozu soll das gut sein. Und so wie @gms schon sagte vielw Scripte verlassen sich drauf.

[yeti]

Vor n+1 Ewigkeiten hatte ich mal mehrere User parallel, die dieselbe UID/GID-Kombination hatten, aber nicht namentlich gleich waren. Ich erinnere da keine Probleme, aber das mag bei neuen Libs/Tools durchaus anders sein...

NetBSD richtet auch 2 "root"s ein: root und toor, mit unterschiedlichen Shells...

Die Überprüfung und Realisierung im Detail übernimmt der geneigte Leser als Übung.

[Joghurt]

Merke: 2 roots != Anderer Name für root.

[yeti]

Merke: 2 roots != Anderer Name für root.

So würde das Auf-die-Schnauze-Fallen der Skripte, die den Namen root voraussetzen vermieden werden können.
Daß es der reinen Umbenennung von root nicht äquivalent ist, war mir durchaus bewußt.

[shevegen]

"es wäre ja möglich den Namen zu ändern, nur wirst du dann damit
leben müssen, daß so Dinge wie "chown root ..." in diversen
Scripten nicht mehr funktionieren werden."

chown root ist das selbe wie chown 0, und schnell gefixed, nehme
ich an.

"Könntest du uns bitte den Hintergrund dieser Idee näher erläutern."

Ich mag den Namen root nicht. Ich will selbst einen Namen vergeben
zb, wie auch im Forum schon genannt, God / Gott
Oder eben auch meinen Vornamen. Oder superuser. Oder Administrator (obwohl.. das klingt ein wenig peinlich finde ich).
Egal, Hauptsache ich kann den Namen so wählen, wie ich will.

[shevegen]

usermod -l gott root

Das scheint das zu sein was ich haben wollte.

Kann die Lösung wirklich so einfach sein?
Hmm.

Auch der "root" Eintrag in /etc/passwd ist weg.... ich
bin noch ein wenig skeptisch.

Manpage in usermod sagt zu -l
usermod -l
das es den login_name ändert.

Was heisst das?
Auf alle Fälle sagt mir nun su das
"user root does not exist" - Sehr interessant. Wahrscheinlich logisch
aber für mich absolut ungewohnt.
dafür gibt es nun einen Gott account. Das hat ja beinahe philosophische
Ansätze, ob ich nun einen Jesus Account einrichten soll?
Und dann bräuchte ich noch einen Namen für einen Teufel... oder jemanden der das Gate (das Gate zur Hölle) bewacht. Namensvorschlag?

[Kelpin]

Hi,
Glückwunsch daß es geklappt hat, aber ich würde den biblischen Teil des Posts nicht weiter auswalzen. Mich persönlich stört es nicht aber Du solltest berücksichtigen daß Du damit anecken kannst.
Gruß

[nil]

Hi,

ich hoffe das umbenennen war nicht aus Gründen der Sicherheit. Ich kenne Leute, die denken, dass das sinnvoll wäre. Das stimmt aber in meinen Augen nicht, da der "Superuser" immer die UID 0 hat, egal wie der Name nun lautet.
Der Name "root" ist nur solange wichtig, wie man sich anmelden will und das System von aussen sieht. Und "root" sollte sich mit keiner Anwendung direkt anmelden können. Und wenn man erst mal ein "normaler" Benutzer ist, so muss man die /etc/passwd lesen können, um überhaupt das Mapping Benutzer-ID und Name durchzuführen. Somit ist aus Sicherheitsgründen die Aktion ziemlich sinnlos.

[KBDCALLS]

Wie heißts so schön Secutity by Obscurity

[nil]

Stimmt ... und stimmt vor allem nicht:

http://de.wikipedia.org/wiki/Security_through_Obscurity

Wer Lust hat kann sich ja mal überlegen, welches Betriebssystem sicherer ist: Windows oder Gnu/Linux. Es sollte z.B. allen Leuten hier klar sein, dass z.B. openSSH als de Remote-Zugang auch als Quelltext zur Verfügung steht. Da ist nichts mit Verschleierung.

An vielen Punkten macht es natürlich trotzdem Sinn, wie z.B. NAT, Verhindern von Portscans, Verstecken von Diensten, ... aber den "root-Benutzer" umbenennen ???!!!???

[shevegen]

Hi,

Mich persönlich stört es nicht aber Du solltest berücksichtigen daß Du damit anecken kannst.

Ich bin gespannt, ob sich dadurch jemand gestört fühlt.

ich hoffe das umbenennen war nicht aus Gründen der Sicherheit.

Ich habe die Gründe schon genannt zum Umbenennen. Ich hoffe ich muss das nicht noch
einmal posten. :>
Secucity by Obscurity hatte damit nichts zu tun.

Wer Lust hat kann sich ja mal überlegen, welches Betriebssystem sicherer ist: Windows oder Gnu/Linux.

Das ist leicht zu beantworten: Linux. Noch Fragen?

[chabayo]

...ich hatte das auch mal, root zu nem anderen namen, aber ohne das usermod...

...der Antrieb daran festzuhalten war der, dass ich im irc immer wieder gefragt wurde:

chabayo als root eingeloogt? bist du Lebensmuede??

oder so...

...tja, sex sells...

[KBDCALLS]

...ich hatte das auch mal, root zu nem anderen namen, aber ohne das usermod...

...der Antrieb daran festzuhalten war der, dass ich im irc immer wieder gefragt wurde:

chabayo als root eingeloogt? bist du Lebensmuede??

oder so...

...tja, sex sells...

Die Frage hat durchaus ihre Berechtigung.

[chabayo]

...jetzt geh ich da duch ein su rein...

...aber wenn ich da mal einen unter root erwische, was hab ich dann zu tun?

...aber das sollte man nicht in einem Forum eroertern...

[nil]

..jetzt geh ich da duch ein su rein...
...aber wenn ich da mal einen unter root erwische, was hab ich dann zu tun?

Vielleicht hast du etwas falsche Vorstellungen von einem sicheren System. Das System wird dadurch sicher, dass man eine Art Benutzertrennung durchführt. So ist "root" für systemnahe Software zuständig und dein persönlicher Benutzer für persönliche Anwendungen.
Die Identität von "root" muss man nun annehmen, um an der systemnahen Software mal zu drehen, z.B. für Updates, Installationen, Konfigurationen, mehr nicht.

Erst mal sollte "root" nur über einen Umweg erreichbar sein, nach Möglichkeit auch ohne root-Passwort oder ein ganz gutes, welches du eigentlich nie nutzt:

- sudo vom normalen Benutzer (siehe Ubuntu)
- ssh auf localhost mit SSH-Key und Passphrase (normaler Benutzer)
- sudo für einzelne Befehle (aber auch damit aufpassen, niemals z.B. "vi-Befehl")
- ssh für root von außerhalb auf jeden Fall unterbinden

Dann kannst du z.B. dem Benutzer "root" den Spass am System nehmen. Z.B. wenn du gewisse Bereiche nur ReadOnly mountest, Checksummen nutzt und diese auch vergleist, Logdaten analysiert. Betrachte es als Hobby das System zu sichern.
Ach ja: nutze nie eine unverschlüsselte Kommunikation, denn dann ist selbst das längste Passwort sinnlos. Bei Fernwartung nur auf einen "normalen" Benutzer und da nur mit SSH-Key und Passphrase.

Stell dir selbst die Frage: warum reicht bei einer EC-Karte eine 4-stellige Zahlen-PIN, bei einem UNIX-System kaum ein 8-stelliges Passwort? Die Antwort wird dir weiterhelfen in deinen Sicherheitsfragen.

[chabayo]

...ich hatte schon erwartet das das nicht reichen wuerde.

Als root unterwegs zu sein ist auch sicherlich sowas wie nen Einladung fuer den einen oder anderen.

Doch, gibts sowas wie eine Checkliste, oder sowas wie ein 'Official Security Diary' in der steht an diesem Tag wurde zum ersten mal berichtet/belegt das in einem System <dieser> Art ein sicherheitsrelevanter Einbruch durch <folgende> Schritte durchgefuehrt, und dies waer <so> zu beheben?

Eine bestimmt oft gestellte Frage...und vielleicht zu einfach gedacht.

[herrchen]

oder sowas wie ein 'Official Security Diary' .

es ist schon etwas komplexer ...
hier gibt es eine gute zusammenfassung von meldungen:

http://www.derkeiler.com/

herrchen