Root Passwort

[ottischwenk]

Wie ist das Root Passwort bei Raspbian “wheezy”

[matt.b]

Nach der Installation von wheezy ist kein Root-Passwort definiert.
Mit dem Befehl

Code: Select all

suso passwd

kannst du es einrichten.

[mline]

Nach der Installation von wheezy ist kein Root-Passwort definiert.
Mit dem Befehl

Code: Select all

suso passwd

kannst du es einrichten.

Sollte man aber nicht tun.
Diese Systeme sind so eingerichtet das man so wenig wie möglich als root macht.
Wenn du mal einen Befehl nicht einfach mit

Code: Select all

sudo

ausführen kannst benutze

Code: Select all

sudo -s

um dich kurzfristig als root mit dem passwort vom aktuellen benutzer in eine shell einzuloggen. Aber sofort danach wieder mit

Code: Select all

exit

ausloggen

[mmi]

Nach der Installation von wheezy ist kein Root-Passwort definiert.
Mit dem Befehl

Code: Select all

sudo passwd

kannst du es einrichten.

Sollte man aber nicht tun.

Das Passwort sollte man auf jeden Fall einrichten, sonst bleibt der root account für jedermann offen wie ein Scheunentor.

[mline]

Nach der Installation von wheezy ist kein Root-Passwort definiert.
Mit dem Befehl

Code: Select all

sudo passwd

kannst du es einrichten.

Sollte man aber nicht tun.

Das Passwort sollte man auf jeden Fall einrichten, sonst bleibt der root account für jedermann offen wie ein Scheunentor.

Das ist falsch. Ohne gesetzem Passwort kann man den Account "root" nur via sudo verwenden. Und das nur wenn root zuvor den Benutzer in die /etc/sudoers eingetragen hat. Also ein root ohne Passwort ist sicherer als ein root mit passwort.
Was es nicht gibt kann man auch nicht hacken
Natürlich ist der Account root dann auch unbenutzbar (ausgenommen mittels sudo). Was aber auch das Ziel dieser Konfiguration ist.

Lieber mmi:
Linux != Windows

[Hiswif]

Hallo.

Also ich muss mir hier mal einklinken da es hier langsam kriminell wird was die Sicherheit angeht.

Das ist falsch. Ohne gesetzem Passwort kann man den Account "root" nur via sudo verwenden. Und das nur wenn root zuvor den Benutzer in die /etc/sudoers eingetragen hat. Also ein root ohne Passwort ist sicherer als ein root mit passwort.

Natürlich kannst du dich als root nicht ohne gesetztes Passwort einloggen. Dennoch existiert der Benutzer "root", wenn auch nicht formal, da er immer existieren muss im linux. Siehe rechteverwaltung UID0. Die Wurzel (im englischen "Root") muss immer existieren.
Du kannst dich nur ohne gesetztes Passwort nicht als root einloggen, da das System dies als unsicher einstuft und blockiert, und der Nutzer, da hast du recht, formal nicht existiert. Jedoch existiert er immer auf Rechteebene.

Wir müssen jedoch unterscheiden ob wir das Passwort für den Befehl

Code: Select all

sudo

abfragen wollen, oder ob wir mittels

Code: Select all

sudo passwd

den root account aktivieren wollen.

Das setzen der Passwortabfrage findet ihr mittels

Code: Select all

sudo visudo

Dort gibt es für jeden Nutzer einen Eintrag, beim Pi laudet der Standardeintrag

Code: Select all

pi ALL=(ALL) NOPASSWD: ALL

Da ändert ihr einfach das "ALL" hinter "NOPASSWD" in "NO"
Schon fordert euer System euch auf, euch mittels Passwort zu legitimieren, wenn ihr einen Befehl mit superuserrechten ausführen wollt.

Was machst du aber mit deiner Methode?

Du sagst, das setzen eines Passwortes für Sudo sei unsicher. Da frage ich mich was daran sicher ist wenn jedes Script die Erlaubnis bekommt, Befehle mit Rootrechten auszugführen, ohne sich zu legitimieren. Dadurch ist es sogar möglich den Root Account zu aktivieren und dich aus deinem eigenen System auszusperren.

Lieber mmi:
Linux != Windows

Machst aber mit deiner Methode genau das:

Linux=Windows

indem du einfach dem normalen Nutzeraccount Superuserrechte, ohne legitimierung, freigibst, wie es in Windows nach der Installation standard ist. (Rechtsklick->Als Admin ausführen) ist in dem Fall für dich nichts anderes wie "sudo xyz" ohne gesetztes Root Passwort.

Die Lösung ist ganz einfach. Superuserpasswort setzen, root account deaktiviert lassen.

MFG

His

[mline]

Was machst du aber mit deiner Methode?

Welche Methode?!
sudo benutzen meinst du?!

Du sagst, das setzen eines Passwortes für Sudo sei unsicher. Da frage ich mich was daran sicher ist wenn jedes Script die Erlaubnis bekommt, Befehle mit Rootrechten auszugführen, ohne sich zu legitimieren. Dadurch ist es sogar möglich den Root Account zu aktivieren und dich aus deinem eigenen System auszusperren.

Wo hab ich das so geschrieben?!
Ich habe geschrieben er soll sudo benutzen statt sich direkt als root einzuloggen. Ob Konsole oder sonst was sei mal dahingestellt.

Lieber mmi:
Linux != Windows

Machst aber mit deiner Methode genau das:

Linux=Windows

indem du einfach dem normalen Nutzeraccount Superuserrechte, ohne legitimierung, freigibst, wie es in Windows nach der Installation standard ist. (Rechtsklick->Als Admin ausführen) ist in dem Fall für dich nichts anderes wie "sudo xyz" ohne gesetztes Root Passwort.

Die Lösung ist ganz einfach. Superuserpasswort setzen, root account deaktiviert lassen.

MFG

His

Wer sagt was von "ohne legitimierung"? Soweit ich weiß geht das ned mal.
Wo liest ihr diesen Schwachsinn raus?
Bitte zeigt mir die Stellen in meinem Beitrag.

[mline]

Um das nochmal zu klären:

Das Passwort sollte man auf jeden Fall einrichten, sonst bleibt der root account für jedermann offen wie ein Scheunentor.

Das ist einfach falsch. root kann einfach nur nicht benutzt werden. Weder von dir selbst noch von anderen.

Wie ist das Root Passwort bei Raspbian “wheezy”

Hat ja mmi erklärt. root bitte nur kurzfristig und überlegt benutzen. Wer damit im Internet surft und dubiose Sachen runterladet und ausführt darf sich nicht wundern wenn das System plötzlich jemand anders übernimmt.

[Hiswif]

Heho

1.

Stimmen wir darin überein.

Rootrechte = sudo

Begründen würde ich diese Übereinstimmung aus.

Natürlich ist der Account root dann auch unbenutzbar (ausgenommen mittels sudo)

2.

Aufbauend auf die Übereinstimmung

Wo hab ich das so geschrieben?!

Wer sagt was von "ohne legitimierung"?

Wo liest ihr diesen Schwachsinn raus?

Bitte zeigt mir die Stellen in meinem Beitrag.

genau hier:

Also ein root ohne Passwort ist sicherer als ein root mit passwort.

Da aus deiner gesamten Argumentationsfolge der Eindruck gewonnen wird das für dich "sudo"="root" ist würde dieser Satz, zu seiner inhaltlichen Falschheit ergänzent, bedeuten das ein "sudo" ohne Passwortabfrage sicherer sei als eines mit.

3.

Welche Methode?!

Rootrechte unliegitimiert zu erwerben. (Schlussfolgerung aus 2.)

4.

Soweit ich weiß geht das ned mal.

Doch siehe "/etc/sudoers" via "sudo visudo" Argument "NOPASSWD"
In Raspian sogar Standard.

5.

root bitte nur kurzfristig und überlegt benutzen.

Gebe ich dir absolut recht. Man sollte den Rootaccount wirklich nur in ganz seltenen Ausnahmefällen benutzen.

Fazit:

Es war zu keinem Zeitpunkt meine Absicht dich in irgendeiner Form anzugreifen oder zu diskreditieren. Sollte ich dies Bewirkt haben möchte ich mich aufrichtig bei dir Entschuldigen. Ich habe dann eventuell einige Dinge Falsch gedeutet.
Ich wollte nur nochmal explizit auf die Trennung zwischen "Rootaccount" und "Rootrechten" hinweisen, da diese leider zu häufig einfach nur Beide als "root" abgetan werden. Gerade für Neulinge im Bereich Linux kommt es dadurch am Anfang zu Unklarheiten und Fehlern. Ich finde gerade hier in dem Forum wo es sehr viele "Anfänger" auf diesem Gebiet gibt ist es die Pflicht derer, die sich auskennen, bei so einem sensiblen Thema wie "Sicherheit" von Anfang an darauf zu achten es korrekt darzustellen. Natürlich habe auch ich nicht immer die Lust dazu Romane zu schreiben Jedoch ist es wichtig auf die Trennung des Passwortes für den Account "root" und dem Befehl "sudo" zur erlangung von "rootrechten" hinzuweißen. Nicht mehr wollte ich tun.
Ich bin der Überzeugung das wir beide das selbe meinen, jedoch aneinander Vorbeireden, da wir einen unterschiedlichen Bezug zu den Begrifflichkeiten haben.

MFG

His

[mline]

Heho

1.

Stimmen wir darin überein.

Rootrechte = sudo

Begründen würde ich diese Übereinstimmung aus.

Natürlich ist der Account root dann auch unbenutzbar (ausgenommen mittels sudo)

2.

Aufbauend auf die Übereinstimmung

Wo hab ich das so geschrieben?!

Wer sagt was von "ohne legitimierung"?

Wo liest ihr diesen Schwachsinn raus?

Bitte zeigt mir die Stellen in meinem Beitrag.

genau hier:

Also ein root ohne Passwort ist sicherer als ein root mit passwort.

Da aus deiner gesamten Argumentationsfolge der Eindruck gewonnen wird das für dich "sudo"="root" ist würde dieser Satz, zu seiner inhaltlichen Falschheit ergänzent, bedeuten das ein "sudo" ohne Passwortabfrage sicherer sei als eines mit.

3.

Welche Methode?!

Rootrechte unliegitimiert zu erwerben. (Schlussfolgerung aus 2.)

4.

Soweit ich weiß geht das ned mal.

Doch siehe "/etc/sudoers" via "sudo visudo" Argument "NOPASSWD"
In Raspian sogar Standard.

5.

root bitte nur kurzfristig und überlegt benutzen.

Gebe ich dir absolut recht. Man sollte den Rootaccount wirklich nur in ganz seltenen Ausnahmefällen benutzen.

Fazit:

Es war zu keinem Zeitpunkt meine Absicht dich in irgendeiner Form anzugreifen oder zu diskreditieren. Sollte ich dies Bewirkt haben möchte ich mich aufrichtig bei dir Entschuldigen. Ich habe dann eventuell einige Dinge Falsch gedeutet.
Ich wollte nur nochmal explizit auf die Trennung zwischen "Rootaccount" und "Rootrechten" hinweisen, da diese leider zu häufig einfach nur Beide als "root" abgetan werden. Gerade für Neulinge im Bereich Linux kommt es dadurch am Anfang zu Unklarheiten und Fehlern. Ich finde gerade hier in dem Forum wo es sehr viele "Anfänger" auf diesem Gebiet gibt ist es die Pflicht derer, die sich auskennen, bei so einem sensiblen Thema wie "Sicherheit" von Anfang an darauf zu achten es korrekt darzustellen. Natürlich habe auch ich nicht immer die Lust dazu Romane zu schreiben Jedoch ist es wichtig auf die Trennung des Passwortes für den Account "root" und dem Befehl "sudo" zur erlangung von "rootrechten" hinzuweißen. Nicht mehr wollte ich tun.
Ich bin der Überzeugung das wir beide das selbe meinen, jedoch aneinander Vorbeireden, da wir einen unterschiedlichen Bezug zu den Begrifflichkeiten haben.

MFG

His

Dieses rechthaberische Getue nervt gewaltig. Vor allem wenn sich die betreffenden Personen irgendwelche Szenarien konstruieren müssen um recht zu behalten. Und dann auch noch so scheinheilig Entschuldigen... wie wärs wenn du vorher Fragen würdest wenn was unklar ist? Dann müsstest dich auch ned Entschuldigen.
Langsam vergeht mir der Spaß hier zu schreiben

[Hiswif]

Weißte was? Dann lass es einfach.

Ich versteh net wie man sich so künstlich aufregen kann, bei ner Entschuldigung mit Erklärung, warum es dazu kam. Einfach mal sagen.

"Ok versteh ich. Konnte falsch interpretiert werden"

Ist nicht möglich? Dann müsste man ja den eigenen Fehler eingestehen. Und ein Satz wie,

Also ein root ohne Passwort ist sicherer als ein root mit passwort.

ist absolut Falsch.

Schließlich hast du die anderen, die darauf hingewiesen haben das es sicherer ist das Passwort zu setzen, zuerst angegriffen, ohne auf die Differenzierung einzugehen oder einen möglichen Lösungsvorschlag zu bringen.
Ich habe lediglich versucht darauf hinzuweisen das man das ganze trennen muss und es wichtig ist eine Passwortabfrage bei "sudo" zu aktivieren.

Als ich merkte das ich dich damit eventuell verletzt haben könnte, habe ich mich sofort bei dir entschuldigt. Da ist nichts konstruiert. Ich habe nur versucht dir zu erklären wie ich es verstanden habe und wie es zu dem Missverständnis kam. Mehr nicht!

His