Bei mir zu Hause hab ich Linux installiert. Linux ist ja ein tolles Multiuser-Betriebssystem. Ich frage mich aber langsam (und ich bin nicht der Einzige), warum ich mich jemals als normaler User anmelden sollte und nicht als root. Eigentlich ist das ja so konzipiert, dass man sich nur als root anmeldet (bzw. su benutzt), wenn man kritische Systemeinstellungen vornimmt. Ich mache es anders herum: Ich hab nen normalen Benutzer eingerichtet und benutze ihn dann, wenn ich kritische Software ausführen will (IRC ist so ein Beispiel). Wie macht ihr das? Warum sollte man sich überhaupt selten als root anmelden? Ich kann's ja verstehen, wenn man es verbietet, sich über SSH als root anzumelden, aber wenn ich vor der Kiste sitze, ist es doch echt Wurst. Was meint ihr dazu? Alle Dokus und FAQ's, die ich gelesen hab, brabbeln nur von "Sie sollten sich nicht als root anmelden, weil Sie sonst fehlerhafte Einstellungen vornehmen könnten, die das System unbenutzbar machen". Das kann doch nicht das einzige Argument "gegen root" sein…

häh? versteh ich nicht, ich habe diverse 24/7 server mit einer ip-nummern-range, ich melde mich zur administration natürlich immer unter root an, auch wenn ich nur mal mails per console checken will..

einmal beim aufräumen aus versehen rm -rf / eintippen und du bist das problem mit root los. Abgesehen davon weiß ich nicht warum man so oft an seinem system rumfummelt das man dauernd root rechte braucht.

häh? versteh ich nicht, ich habe diverse 24/7 server mit einer ip-nummern-range, ich melde mich zur administration natürlich immer unter root an, auch wenn ich nur mal mails per console checken will..

Du schreibst ja auch durchgehend klein [img]http://www.fb18.de/gfx/15.gif[/img] Nee, im Ernst, Fernadministration ist was anderes als "Mails per Konsole checken".

einmal beim aufräumen aus versehen

rm -rf /

eintippen und du bist das problem mit root los. Abgesehen davon weiß ich nicht warum man so oft an seinem system rumfummelt das man dauernd root rechte braucht.

Ja, rm -rf / ist ja so ein typischer Typo [img]http://www.fb18.de/gfx/22.gif[/img] Tippe ich auch immer aus Versehen [img]http://www.fb18.de/gfx/7.gif[/img]
Ich "brauche" keine root-Rechte, das ist sicher richtig, ich "brauche" aber auch keine Einschränkung während des Normalbetriebes. Ich hab halt keinen Bock, für jedes Programm neue Profile zu erstellen bzw. die Profile kopieren und die Rechte verändern zu müssen. Das erspare ich mir so.

versuch es doch mal mit dem ITS, vielleicht wirst du damit glücklicher. rm -rf / ist mir noch nie passiert, aber nicht nachgedacht und etwas wichtiges gelöscht kommt schon vor.

Ja, rm -rf / ist ja so ein typischer Typo [img]http://www.fb18.de/gfx/22.gif[/img] Tippe ich auch immer aus Versehen [img]http://www.fb18.de/gfx/7.gif[/img]

Wer schnell tippt und viel die Tab-Ergaenzung verwendet, kann es z.B. gewohnt sein, bestimmte Tastenfolgen einzugeben und sofort mit Enter abzuschliessen. Etwa slash, r, tab, enter. Wenn man nun versehentlich im falschen Verzeichnis ist und genau diese gewohnte Tastenfolge drueckt, hat man evtl "r" oder irgendwas, das mit "r" anfaengt, angesprochen. In aehnlicher Weise kann es passieren, dass man als Pfadangabe bei einem Loeschbefehl nur / oder irgendein ungewolltes Verzeichnis angibt. Oder man hats nur halb eingetippt und drueckt versehentlich auf Enter. Da gibt es viele Moeglichkeiten.

Bei mir zu Hause hab ich Linux installiert. Linux ist ja ein tolles Multiuser-Betriebssystem. Ich frage mich aber langsam (und ich bin nicht der Einzige), warum ich mich jemals als normaler User anmelden sollte und nicht als root. Eigentlich ist das ja so konzipiert, dass man sich nur als root anmeldet (bzw. su benutzt), wenn man kritische Systemeinstellungen vornimmt. Ich mache es anders herum: Ich hab nen normalen Benutzer eingerichtet und benutze ihn dann, wenn ich kritische Software ausführen will (IRC ist so ein Beispiel). Wie macht ihr das? Warum sollte man sich überhaupt selten als root anmelden? Ich kann's ja verstehen, wenn man es verbietet, sich über SSH als root anzumelden, aber wenn ich vor der Kiste sitze, ist es doch echt Wurst. Was meint ihr dazu? Alle Dokus und FAQ's, die ich gelesen hab, brabbeln nur von "Sie sollten sich nicht als root anmelden, weil Sie sonst fehlerhafte Einstellungen vornehmen könnten, die das System unbenutzbar machen". Das kann doch nicht das einzige Argument "gegen root" sein…

Ist ja lustig; ich benutze fast nie root, hab ich irgendwie noch nie gemacht, ich dachte dass machen alle so :D Also, ich mache root nur wenn ich was installiere oder kernel upgrade oder sowas.

1. Vernuenftige Systeme (Debian jedenfalls ist so eines) stellen die Standardeinstellungen fuer root und andere Nutzer verschieden ein.
-> Root hat bei mir kein farbiges "ls". Soll auch nicht sein, da Farben mit merkwuerdigen Escape-Sequenzen dargestellt werden, wer weiss, was das fuer Auswirkungen auf meine Konsole hat (Vor allem, wenn vielleicht jemand an den Farbeinstellungen herumgespielt hat.)
-> Normale Nutzer bekommen *benutzbarere* Einstellungen.

2. Multiuser System.:
Haeufig ist es so, dass wenn man Software installiert, und das als Root tut, sie systemweit eingerichtet wird. Wenn man es als User tut, nur im ~. (Weil ja sonst nirgends Schreibrechte.)

3. Es ist nicht verwunderlich, dass Du Profile kopieren musst, wenn Du haeufig root benutzt und selten user. Das ist aber auch ein flasches Nutzungsmuster. root ist ausschliesslich zur Administration da. D.h. da haben keine Profile zu sein, die nichts mit Administration zu tun haben.

4. ~root == /root ~user == /home/user
Sollte man auf einer Multiuser Maschine eine eigene /home Partition angelegt haben, wird so der Effekt einfach mal anulliert.

5. Der Linux Kernel und einige Dateisysteme reservieren Platz fuer root. Sollte die Platte einmal vollaufen (Esel oder sonstwas), so kann root immer noch arbyten, um den Rechner wieder in einen vernuenftigen Zustand zu bringen. Laeuft der root Platz voll, gibts Probleme.

6. Wenn IRC fuer Dich kritisch ist, was ist dann fuer Dich unkritisch?
Kritisch sind ALLE Applikationen, die Dinge tun, auf die Du keinen Einfluss hast. Da koennte es auch schon reichen, in einem Terminal bestimmte Escape-Sequenzen angezeigt zu bekommen, um Dateien zu lesen, oder falsche Ausgaben vorzugaukeln. (Hier bestehen Aehnlichkeiten zum Cross-Site-Scripting.)

7. Machst Du *immer* xlock? Ctrl-Alt-backspace ist deaktiviert, ebenso wie Konsolenumschalten?
Ich hier habe einige Menschen, die sich manchmal etwas ungebeten an meinen Rechner begeben. Da moechte ich nicht unbedingt eine root-konsole offen haben.

8. Schon mal von tty-snoop gehoert? Mag man nicht, wenn man als root eingeloggt ist.

9. Sag mal, wieviel administrierst Du eigentlich? Mehr als ich? Das moechte ich ernsthaft bezweifeln.

MoKrates

Ich möchte mich den vielen Ratschlägen, root nicht so häufig zu benutzen noch anschließen. Wenn du jetzt nicht "umsteigst" wird der Zeitpunkt irgendwann später kommen, an dem du einen normalen user-Account benutzen willst. Z.b. wenn du cvs benutzen möchtest, und merkst das es aus Sicherheitsgründen nicht als root läuft. Und zu diesem Zeitpunkt wirst du dann eine Menge Dateien haben die du umkopieren möchtest, und Einstellungen welche du übertragen musst. Ich spreche aus eigener Erfahrung.
Wenn du aber jetzt sofort umsteigst, hält sich der Aufwand für dich in Grenzen.

–
EP

Hm, wenn ich mir es recht überlege, sperrt cvs sich nicht aus Sicherheitsgründen gegen root, sondern aus irgendwelchen anderen Gründen.

[Nur der Richtigkeit halber gepostet]

–
EP

1. Vernuenftige Systeme (Debian jedenfalls ist so eines) stellen die Standardeinstellungen fuer root und andere Nutzer verschieden ein.
-> Root hat bei mir kein farbiges "ls". Soll auch nicht sein, da Farben mit merkwuerdigen Escape-Sequenzen dargestellt werden, wer weiss, was das fuer Auswirkungen auf meine Konsole hat (Vor allem, wenn vielleicht jemand an den Farbeinstellungen herumgespielt hat.)
-> Normale Nutzer bekommen *benutzbarere* Einstellungen.

Ja, ist bei mir auch so gewesen… Ich hab's geändert. Ich bin eh der Einzige auf der Kiste, den Komfort gönn ich mir. Meine Konsole stört das farbige ls nicht.

2. Multiuser System.:
Haeufig ist es so, dass wenn man Software installiert, und das als Root tut, sie systemweit eingerichtet wird. Wenn man es als User tut, nur im ~. (Weil ja sonst nirgends Schreibrechte.)

Die Software, die ich installier, wird im ~/ von root konfiguriert UND im ~/ meines Standardusers. Manche nur im ~/ des Standardusers. …Und?

3. Es ist nicht verwunderlich, dass Du Profile kopieren musst, wenn Du haeufig root benutzt und selten user. Das ist aber auch ein flasches Nutzungsmuster.

Ich muss kein Profil kopieren. Ich wähle die User-Software-Beziehung sorgfältig aus. Für manche Software hat root kein Profil, für manche gilt das gleiche für User.

4. ~root == /root ~user == /home/user
Sollte man auf einer Multiuser Maschine eine eigene /home Partition angelegt haben, wird so der Effekt einfach mal anulliert.

Nö. ich sage ja nicht, dass ich nie User bin. Die /home-Partition hab ich immer noch. Klappt doch alles… What's the point again?

5. Der Linux Kernel und einige Dateisysteme reservieren Platz fuer root. Sollte die Platte einmal vollaufen, so kann root immer noch arbyten, um den Rechner wieder in einen vernuenftigen Zustand zu bringen. Laeuft der root Platz voll, gibts Probleme.

Für grosse Datenmengen habe ich separate Partitionen (die ich eh nie brauche mangels grosser Datenmengen… Keine Raubkopien, danke). Root hat immer genug Platz.

6. Wenn IRC fuer Dich kritisch ist, was ist dann fuer Dich unkritisch?
Kritisch sind ALLE Applikationen, die Dinge tun, auf die Du keinen Einfluss hast. Da koennte es auch schon reichen, in einem Terminal bestimmte Escape-Sequenzen angezeigt zu bekommen, um Dateien zu lesen, oder falsche Ausgaben vorzugaukeln. (Hier bestehen Aehnlichkeiten zum Cross-Site-Scripting.)

Ich bin Applikationen gegenüber stets misstrauisch. Komische Escape-Sequenzen sind bis jetzt noch kein Problem gewesen… Muss an meiner sorgfältigen Auswahl dessen liegen, was ich mit meinem Computer mache.

7. Machst Du *immer* xlock? Ctrl-Alt-backspace ist deaktiviert, ebenso wie Konsolenumschalten?
Ich hier habe einige Menschen, die sich manchmal etwas ungebeten an meinen Rechner begeben. Da moechte ich nicht unbedingt eine root-konsole offen haben.

Das ist ein Punkt, den ich nachvollziehen kann. Ich würde in Deiner Situation genau so vorgehen wie Du. Bei mir steht mein Rechner aber "allein auf weiter Flur". Ich habe nichts, was ich verbergen müsste. Im schlimmsten Fall installiere ich das Betriebssystem neu, wenn der Nachbar doch mal einbrechen sollte. Deine Kiste macht "wichtige Dinge", meine nicht wirklich. Das ist natürlich ein gewaltiger Unterschied.

8. Schon mal von tty-snoop gehoert? Mag man nicht, wenn man als root eingeloggt ist.

Und wo soll die Pseudo-tty herkommen? Bei mir gibt's sowas nicht. S.o., ich lasse niemanden an meine Kiste ran. Gibt ja eh nix dran zu holen…

9. Sag mal, wieviel administrierst Du eigentlich? Mehr als ich? Das moechte ich ernsthaft bezweifeln.

Das möchte ich auch ernsthaft bezweifeln ;) Ich habe einen "lockereren" Anspruch an meinen Heimcomputer. Du bastelst ein VPN nach dem anderen und jonglierst virtuos mit Freigaben rum. Da wär ich auch paranoid.

Wer schnell tippt und viel die Tab-Ergaenzung verwendet, kann es z.B. gewohnt sein, bestimmte Tastenfolgen einzugeben und sofort mit Enter abzuschliessen. Etwa slash, r, tab, enter. […] Da gibt es viele Moeglichkeiten.

Etwas Vergleichbares ist mir noch nie passiert. Ich nehme mir Deine Warnung zu Herzen und werde in Zukunft noch bewusster tippen.

Ich möchte mich den vielen Ratschlägen, root nicht so häufig zu benutzen noch anschließen. Wenn du jetzt nicht "umsteigst" wird der Zeitpunkt irgendwann später kommen, an dem du einen normalen user-Account benutzen willst. Z.b. wenn du cvs benutzen möchtest, und merkst das es aus Sicherheitsgründen nicht als root läuft. […]

Ich programmiere nicht als root.

Ich bin root und das ist gut so!

Punkt, fertig, aus! [img]http://www.fb18.de/gfx/15.gif[/img]

Sorry, pro Beitrag, dürfen nur 5000 Bytes rein, musste etwas kürzen [img]http://www.fb18.de/gfx/24.gif[/img]

What's the point again?

Das frag ich mich die ganze Zeit bei Dir. Warum findest Du es komfortabler, als root zu arbeiten?

What's the point again?

Das frag ich mich die ganze Zeit bei Dir. Warum findest Du es komfortabler, als root zu arbeiten?

Ich finde es nicht komfortabler. Im Rahmen meiner Anwendungen finde ich es gleichwertig mit einer root-user-Trennung. Der wesentliche Punkt ist, dass wenn ein Mensch an einem Computer arbeitet, Sicherheitsbedenken, die solch eine Trennung nahelegen, verschwinden. Wenn der Administrator der einzige Benutzer ist, was soll die Trennung? Ich muss mich trotzdem noch "ummelden", empfinde es aber bei mir zu Hause als übertrieben. Wenn ihr das anders seht, könnt ihr mich ja vom Gegenteil überzeugen…
Mokrates benutzt sein Linux ganz anders als ich und hat natürlich gute Gründe für sein Handeln. Manche seiner Argumente kann ich aber nicht ganz nachvollziehen, zum Beispiel das mit den Escape-Sequenzen. Ich meine, es ist klar, dass es eine schlechte Idee ist, in einer Kommandozeile mit ls binaries zu betrachten. Egal, ob Du User oder root bist. Also lässt Du's. Aber ein farbiges ls ist wirklich kein Problem.

Bei mir spielt da auch die Grundparanoia rein:

Ich kontrolliere die Sourcen von Programmen die ich mir installiere nicht. Also könnte Malware aller Art darunter sein.
Die kann als User weit weniger kaputt machen / sich geschickt einnisten als als root.

Also: Arbeiten als chris, für Sachen die wirklich nicht ohne root-Rechte gehen, sudo.

Naja, ich werd mich halt umgewöhnen ;) Ist ja auch kein wirklich grosses Problem…

Jetzt kommen erste Probleme… Die Geister, die ich rief, oder? [img]http://www.fb18.de/gfx/22.gif[/img]
Ich hab eine ext3-Partition (/dev/hdb1 ist das), die wird gemountet im Verzeichnis /mnt/data. Ihr Eintrag in /etc/fstab sieht so aus:/dev/hdb1 /mnt/data ext3 noauto,iocharset=iso8859-15,umask=0 0 0 Das Problem ist, dass ich die Rechte für den Mountpoint und dessen Inhalte nicht ändern kann. Ergo kann ich als Normaluser noch nicht mal cd /mnt/data machen… Was mache ich denn falsch? Helft mir mal bitte beim Umsteigen [img]http://www.fb18.de/gfx/25.gif[/img]

$ man 8 mount

$ man 8 mount

Jaja, witzig… Das Problem war ein anderes. Macht nix, ich werd euch halt nie wieder etwas fragen… Dann habt ihr eure Ruhe.

Jaja, witzig… Das Problem war ein anderes. Macht nix, ich werd euch halt nie wieder etwas fragen… Dann habt ihr eure Ruhe.

Argh, diese Geeks… Arroganz ist schon maechtig cool. :-/ Lass dich davon nicht unterkriegen!

Inwiefern kannst du die Rechte nicht sichern? Unmounte doch mal, dann solltest du einfach ein Verzeichnis haben. Kannst du dessen Rechte nicht setzen? Hoechstens faellt mir noch ein, dass du vielleicht read-only mountest und dann irgendwas nicht setzen kannst…? Sorry, ich bin auch kein besonderer Experte. :-)

Jaja, witzig… Das Problem war ein anderes. Macht nix, ich werd euch halt nie wieder etwas fragen… Dann habt ihr eure Ruhe.

Argh, diese Geeks… Arroganz ist schon maechtig cool. :-/ Lass dich davon nicht unterkriegen!

Inwiefern kannst du die Rechte nicht sichern? Unmounte doch mal, dann solltest du einfach ein Verzeichnis haben. Kannst du dessen Rechte nicht setzen? Hoechstens faellt mir noch ein, dass du vielleicht read-only mountest und dann irgendwas nicht setzen kannst…? Sorry, ich bin auch kein besonderer Experte. :-)

Es hat sich schon erledigt. Das Problem ist, dass ich vor einiger Zeit den Umstieg von Windows + Linux auf NUR Linux gemacht habe und dummerweise vergessen habe, den Partitionen vernünftige Dateisysteme zu versehen.
Ist aber echt ungehobelt, rtfm in einem Informatikerforum zu schreiben… So macht man sich keine Freunde.

hm, hat sich ja erledigt.

was hätte man den vorschlagen sollen, mir fiel außer in den mount optionen nachzusehen nichts ein.

hm, hat sich ja erledigt.

was hätte man den vorschlagen sollen, mir fiel außer in den mount optionen nachzusehen nichts ein.

Die mount-Optionen werden doch durch /etc/fstab vorgegeben…
Naja, egal, vergeben und vergessen [img]http://www.fb18.de/gfx/25.gif[/img]
Du konntest das Problem ja auch nicht erkennen [img]http://www.fb18.de/gfx/24.gif[/img]

-o uid=xxx mit deiner Userid als UID?

edit: Achso, ext3, nicht vfat. Dann nicht uid. ;)

Jetzt bin ich total verwirrt, ist die partition jetzt ext3 oder ein unvernünftiges Dateisystem? Für letzteres steht die Antwort sehrwohl in "man mount" drinnen, eingetragen wird das ganze dann trotzdem in /etc/fstab.

Für vernünftige Dateisystem sollte es reichen bei gemountetem Dateisystem das Wurzelverzeichniss des jeweiligen Dateisystems mit chmod und chown zu bearbeiten.

Jetzt bin ich total verwirrt, ist die partition jetzt ext3 oder ein unvernünftiges Dateisystem? Für letzteres steht die Antwort sehrwohl in "man mount" drinnen, eingetragen wird das ganze dann trotzdem in /etc/fstab.

Nee, der Fehler lag bei mir [img]http://www.fb18.de/gfx/21.gif[/img] Ich habe vfat gehabt und ext3 angenommen… Mich wundert, dass das bis jetzt noch keine Probleme gegeben hat. Jetzt existiert die Partition nicht mehr in der Form [img]http://www.fb18.de/gfx/22.gif[/img]

Für vernünftige Dateisystem sollte es reichen bei gemountetem Dateisystem das Wurzelverzeichniss des jeweiligen Dateisystems mit chmod und chown zu bearbeiten.

Davon ging ich ja auch aus, das scheiterte aber. Der Grund wird wohl gewesen sein, dass vfat!=ext3 und der Eintrag in /etc/fstab entsprechend crap war. Ich weiss auch nicht, wie das passieren konnte, war wohl schlichtweg Unaufmerksamkeit.
Was mich wundert, ist, dass trotz dieses Fehlers Dateioperationen als root kein Problem dargestellt haben… Aber ich bin auch nicht "into" Dateisysteme, vielleicht sind die in der Hinsicht kompatibel zueinander und nur Rechtevergabe wird unterschiedlich gehandhabt (was den Fehler erklären würde). Ich durfte als root neue Dateien anlegen, löschen etcpp, nur Rechte verändern war nicht drin.

Naja, es hat sich geklärt [img]http://www.fb18.de/gfx/28.gif[/img] Danke trotzdem…

Vermutlich wird mount so intelligent gewesen sein und sich über deine Behauptung hinweggesetzt haben (bzw. mount guckt sich den Parameter nur an, wenn es nicht selbst herausfinden kann, von welchem Typ das Dateisystem ist). Denn kompatibel sind vfat und ext3 nie und nimmer.

Hmmm… Sonst meckert mount immer rum, ich solle gefälligst den Dateityp mit angeben… Aber vielleicht hast Du Recht (obwohl davon nix in der Manpage steht).

Jetzt bin ich total verwirrt, ist die partition jetzt ext3 oder ein unvernünftiges Dateisystem? Für letzteres steht die Antwort sehrwohl in "man mount" drinnen, eingetragen wird das ganze dann trotzdem in /etc/fstab.

Nee, der Fehler lag bei mir [img]http://www.fb18.de/gfx/21.gif[/img] Ich habe vfat gehabt und ext3 angenommen… Mich wundert, dass das bis jetzt noch keine Probleme gegeben hat. Jetzt existiert die Partition nicht mehr in der Form [img]http://www.fb18.de/gfx/22.gif[/img]

Für vernünftige Dateisystem sollte es reichen bei gemountetem Dateisystem das Wurzelverzeichniss des jeweiligen Dateisystems mit chmod und chown zu bearbeiten.

Wie gesagt, für vernünftige Dateisysteme

Davon ging ich ja auch aus, das scheiterte aber. Der Grund wird wohl gewesen sein, dass vfat!=ext3 und der Eintrag in /etc/fstab entsprechend crap war. Ich weiss auch nicht, wie das passieren konnte, war wohl schlichtweg Unaufmerksamkeit.

Der Kernel findet von selbst heraus welches Dateisystem vorliegt, du kannst auch einfach auto eintragen. Ist vor allem ganz praktisch weil dann deine ext3 partitionen auch gemounted werden können, wenn der aktuelle Kernel nur ext2 kann.

Was mich wundert, ist, dass trotz dieses Fehlers Dateioperationen als root kein Problem dargestellt haben… Aber ich bin auch nicht "into" Dateisysteme, vielleicht sind die in der Hinsicht kompatibel zueinander und nur Rechtevergabe wird unterschiedlich gehandhabt (was den Fehler erklären würde). Ich durfte als root neue Dateien anlegen, löschen etcpp, nur Rechte verändern war nicht drin.

Tja, liegt daran das fat keine rechte abspeichern kann, weil es eben für ein single User Betriebsystem konzipiert wurde. Ich dachte wir wären uns einig über Vernünftige/Unvernünftige Dateisysteme.

Unter Linux gelten bei fat Dateisystemen für alle Dateien die selben Rechte. Welche das sind, wird beim mounten festgelegt.
Default ist eben das nur root schreiben darf.

Jo, danke für die Info..

Ist aber echt ungehobelt, rtfm in einem Informatikerforum zu schreiben… So macht man sich keine Freunde.

naja. als inf sollte man aber auch da mal reinschauen… und wenn du deinen kernel schon mit ntfs-support ausstattest, dann hast du mit sicherheit auch den text dazu gelesen [img]http://www.fb18.de/gfx/22.gif[/img]



um auch noch mal meinen senf zum root zu geben: ich kann als normaler user wunderbar arbeiten… und wenn ich dann mal was als root machen muss (meistens dateien kopieren/verschieben/löschen), dann is su schnell getippt, da muss ich mich nich ummelden oder sonstwas… in der console gehts meist eh schneller… und wenn jemand meinen rechner kompromittiert, kann er mir nur meine /home-dir zerhauen, was den rechner nicht beeinträchtigt… ich müsste also nicht neu installieren

Was hat vfat denn mit NTFS zu tun? [img]http://www.fb18.de/gfx/24.gif[/img]

kann er mir nur meine /home-dir zerhauen

Eben, und da hat man ja Backups von…

öööhm [img]http://www.fb18.de/gfx/24.gif[/img]

dann versteh ich die probs umsoweniger… mit fat kann linux doch wunderbar um

SchQrf: na, wenn du aber eine Partition mit vfat hast, deinem Kernel aber sagst es wäre ext3, dann ist doch klar das irgendwas nicht funktioniert? :)

Ist aber echt ungehobelt, rtfm in einem Informatikerforum zu schreiben… So macht man sich keine Freunde.

naja. als inf sollte man aber auch da mal reinschauen… und wenn du deinen kernel schon mit ntfs-support ausstattest, dann hast du mit sicherheit auch den text dazu gelesen [img]http://www.fb18.de/gfx/22.gif[/img]

Wenn ich ein Problem beim Mounten habe, schaue ich NATÜRLICH früher oder später in die Manpage. Das gehört oft zu einer Problemlösung dazu. Deswegen empfand ich den Tip, die Manpage zu lesen, als überflüssig, und sehr oft wird dieser Tip als Stichelei verwendet. So hatte ich's verstanden, war (anscheinend) nicht so, super.
Mein Kernel hat keinen NTFS-Support (wozu auch…)

um auch noch mal meinen senf zum root zu geben: ich kann als normaler user wunderbar arbeiten… und wenn ich dann mal was als root machen muss (meistens dateien kopieren/verschieben/löschen), dann is su schnell getippt, da muss ich mich nich ummelden oder sonstwas… in der console gehts meist eh schneller… und wenn jemand meinen rechner kompromittiert, kann er mir nur meine /home-dir zerhauen, was den rechner nicht beeinträchtigt… ich müsste also nicht neu installieren

Wenn jemand Deinen Rechner kompromittiert, will er im Zweifel root-Rechte haben. Vorher zerschiesst er doch nicht das /home-Verzeichnis.
Ausser natürlich, Du meinst, dass Du ihn jailst und er zerschiesst den Honeypot im Homeverzeichnis, weil er denkt, er sei root… Aber in /home gehört das Ding nicht rein [img]http://www.fb18.de/gfx/21.gif[/img]

Jetzt bin ich verwirrt…

Ups, ich wars [img]http://www.fb18.de/gfx/7.gif[/img] Hab vergessen, mich einzuloggen.

Wenn jemand Deinen Rechner kompromittiert, will er im Zweifel root-Rechte haben. Vorher zerschiesst er doch nicht das /home-Verzeichnis.

naja, die wahrscheinlichkeit, dass er nen user, als der er sich remote einloggen kann, kompromittiert, is ja schon relativ gering… und dass er dann noch root-rechte erlangt, is dann umso geringer… und wenn er das nicht schafft, wird er wohl soviel schaden anrichten, wie er kann

Nun, wenn Du Dich einloggen kannst, hast Du zumindest Zugriff auf so ziemlich alle Kernelbugs, die da draussen rumfliegen. Nen apache von aussen abstuerzen zu lassen ist meistens nicht ganz so datenverlustig.

@Wolf: Wenn jemand in Deinen Honeypot tappt, und *irgendwas* von Deinem Rechner sieht, ausser dem Honeypot, dann hast Du was flasch gemacht.

Desweiteren: Home Dir zerhauen tut ordentlich weh. Ich meine ein Debian, wie ich es grad laufen habe, bekomm ich mit einer endlichen Anzahl apt-gets wieder auf den Rechner. Meine persoenlichen Configs/eMails/blafasel sind irgendwie doch wertvoller *und* liegen im Home.

MoKrates

Desweiteren: Home Dir zerhauen tut ordentlich weh.

Deshalb ja backups…
Im vorliegenden Szenario reichts ja schon wenn man alle paar Tage ~user gzippt und in ein anderes Verzeichnis schiebt…

Das hilft auch gegen so Vertipper wie "rm * bak"… ;)

und wenn er das nicht schafft, wird er wohl soviel schaden anrichten, wie er kann

Typisch…so können nur CS-Zocker denken…

Gut, auch ein Angreifer der nur einen User Account hat kann viel Schaden anrichten. Ist er aber root, hat der die Chance lange Zeit unentdeckt auf dem System zu bleiben und allerhand Daten auszuspionieren. Er kann dann logs manipulieren und ein rootkit installieren um Dateien und Prozesse zu verstecken.

Wenn jemand Deinen Rechner kompromittiert, will er im Zweifel root-Rechte haben. Vorher zerschiesst er doch nicht das /home-Verzeichnis.

naja, die wahrscheinlichkeit, dass er nen user, als der er sich remote einloggen kann, kompromittiert, is ja schon relativ gering… und dass er dann noch root-rechte erlangt, is dann umso geringer… und wenn er das nicht schafft, wird er wohl soviel schaden anrichten, wie er kann

Temporär root-Rechte zu erlangen, um sie sich dann langfristig zu besorgen, ist z.B. durch viele Software-Sicherheitslücken u.U. nicht so schwer, wie es hier dargestellt wird, wenn man erstmal eingeloggt ist.

@Wolf: Wenn jemand in Deinen Honeypot tappt, und *irgendwas* von Deinem Rechner sieht, ausser dem Honeypot, dann hast Du was flasch gemacht.

Wenn das passiert, handelt es sich nicht mehr um einen Honeypot. Aber das wollte Wolf wohl auch nicht abstreiten…

Das beste, was man tun kann, ist, wenigen Usern Zugriff zu gestatten, subtile Passwörter zu benutzen und den Usern sehr begrenzte Rechte zuzugestehen. Patchen ist auch wichtig.
Wenn ihr viele User auf euren Maschinen herumgeistern lasst, dann versucht, in regelmässigen Intervallen ihre Passwörter zu knacken, und im Falle des Erfolges verbietet ihr das Passwort. Das ist aufwendig, aber effizient. Es bietet sich an, solche Verfahren zu automatisieren und die User darauf hinzuweisen.

Honeypots sollte man nur bei investigativen / wissenschaftlichen Anliegen heranziehen und nach Möglichkeit auf separaten Maschinen betreiben. Schliesslich gibt es Methoden, sie zu erkennen und deren Sicherheitslücken auszunutzen, um auszubrechen. Das macht sie äusserst gefährlich.

Es gibt Threads, die sind einfach nicht totzukriegen [img]http://www.fb18.de/gfx/21.gif[/img]
Naja, um noch mal zurück zum Topic zu kommen, ich betreibe mein Linux jetzt schon ein paar Tage als normaler User. Aber manchmal nervt's doch schon arg mit su… Ich werd's überleben [img]http://www.fb18.de/gfx/17.gif[/img]
Das mit den Backups der Profildaten mach ich auch so. Ist aber nicht wegen Paranoia vor Einbrechern, sondern, um bei zukünftigen Installationen das Problem mit den Einstellungen gleich zu erschlagen.

was machst du eigentlich so oft mit root?

was machst du eigentlich so oft mit root?

Jetzt gerade nicht so viel [img]http://www.fb18.de/gfx/21.gif[/img] Manchmal will ich ein paar Sachen wissen, die nur root wissen darf, manchmal installiere / deinstalliere ich Sachen. Das ist verschieden und, um ehrlich zu sein, es handelt sich meist um triviale Aufräumarbeiten… Du willst doch etwa nicht, dass ich ins Detail gehe, oder?
Wenn ich mit wine GTA Vice City spiele, bin ich "normal"; wenn ich Digitalkamera-Software deinstalliere, die bei meiner Distribution inflationär mitinstalliert wurde, bin ich root. Ich gehe im Prinzip genau so vor, wie es gedacht ist.
Gestern habe ich meine Distri auf die Festplatte gespiegelt, um nicht mehr mit 7 CD's herumhantieren zu müssen. Das war auch ein root-Job.
Es handelt sich also nicht um "ernsthafte" administrative Aufgaben (wie auch, hab nur 2 Rechner, beide laufen astrein, es gibt nur 2 SSH-User bei mir, alle kritische Software ist weitestgehend gepatcht, ich habe keine Zockerserver am Start, blah).

Dann richte Dir ne Admingruppe ein, und sieh zu, dass Du Dinge, die nicht *wirklich* gefaehrlich sind, der Admingruppe erlaubst. Dann noch die Rechte richtig einstellen (zB. Apachelog lesen oder /var/log/messages kann man schon mal sich als user erlauben).

Desweiteren: [X] suid root existiert.

MoKrates

BTW: ist eigentlich das tool sudo http://www.courtesan.com/sudo/ allen bekannt?

Dann richte Dir ne Admingruppe ein, und sieh zu, dass Du Dinge, die nicht *wirklich* gefaehrlich sind, der Admingruppe erlaubst. Dann noch die Rechte richtig einstellen (zB. Apachelog lesen oder /var/log/messages kann man schon mal sich als user erlauben).

Desweiteren: [X] suid root existiert.

MoKrates

Erst wird es für unsinnig gehalten, dass ich die ganze Zeit als root durch die Weltgeschichte tingelte, und jetzt soll ich aus meinem $USER nen "Pseudo-Root" machen? Nein, ihr hattet schon Recht, wenn man sich erst mal drauf eingestellt hat, ist das schon gut ohne Admingruppe bei meiner Konfiguration. Passt alles. Ich hör schon auf, zu meckern [img]http://www.fb18.de/gfx/23.gif[/img]

BTW: ist eigentlich das tool sudo http://www.courtesan.com/sudo/ allen bekannt?

IIRC ist das n Tool, das "sudoers" hat, also User, die einzelne Befehle als root machen dürfen mit Passworteingabe nach dem Muster:
sudo rm -rf /* So war's doch, oder?

BTW: ist eigentlich das tool sudo http://www.courtesan.com/sudo/ allen bekannt?

IIRC ist das n Tool, das "sudoers" hat, also User, die einzelne Befehle als root machen dürfen mit Passworteingabe nach dem Muster:
sudo rm -rf /* So war's doch, oder?

Jup, wobei man einstellen kann ob der User sein eigenes Passwort nochmal geben soll und welche Befehle überhaupt nutzbar sind. So kann man schön einige oft benötigte befehle mit rootrechten die aber sonst nicht so fatal sind freigeben. Jeder unerlaubte Zugriff wird übrigens auhc noch geloggt, damit root nahcschauen kann :>