linux-l: Bug oder =?us-ascii?Q?Feature?= =?us-ascii?Q?=3F_Root_Anmeldung_doch_m=F6glich?= via ssh+su!

Philipp Schmidt philipp at ppc.in-berlin.de
Mo Feb 5 11:37:58 CET 2001 

On Mon, Feb 05, 2001 at 09:01:31AM +0100, BEN9000 wrote:
> Hallo Liste!
> 
> Wenn man sich jedoch als user an den Rechner anmeldet und dann versucht
> ?ber su
> zu root Rechten zu gelangen, dann klappts! D.h. mein Rechner ist von
> aussen mit
> root Rechten erreichbar!!!!

Ganz normaler Vorgang, da su das Terminal sch*** egal ist, sonst k?nntest
Du Dich z.B. unter X auch nicht zum root su-en. Es gibt, wenn Du ausschlie?en
willst das ein User der sich ?ber ssh angmeldet hat, ein su machen kann,
nur die m?glichkeit die option in unter /etc/pam.d/su einzukommentieren:

    # Uncomment this to force users to be a member of group root
    # before than can use `su'. You can also add "group=foo" to
    # to the end of this line if you want to use a group other
    # than the default "root".
    # (Replaces the `SU_WHEEL_ONLY' option from login.defs)
 -> # auth       required   pam_wheel.so

und keinen user in die Gruppe wheel aufnehmen.

oder Du k?nntest in die Datei /etc/pam.d/su folgendes aufnehmen:

    # Disallows root logins except on tty's listed in /etc/securetty
    # (Replaces the `CONSOLE' setting from login.defs)
    auth       requisite  pam_securetty.so

was allerdinghs auch su's von X-Terms aus verbietet.

Alternativ k?nntest Du dem su-binary das setuid-bit wegnehmen....

Wen Du per ssh root-logins willst, kannst Du un der /etc/ssh/sshd_config
filgendes eintragen:

    PermitRootLogin yes

> 
> _nur_ lokale Root-Anmeldungen erlaubt sind?!?! Eben nur ?ber die
> Terminals tty1-tty12.
> 
> Zwei M?glichkeiten: Ich habe eine conf Datei ?bersehen in sowas
> drinsteht 
> wie "su everytime_allowed_even_over_ssh" oder aber der "login" Prozess
> den "su"
> aufruft erkennt meine ssh user anmeldung als lokal und erlaubt somit die
> Anmeldung
> als root! Das ist Bullshit!

Ich weiss nicht was f?r ein Problem Du hast das ein user, der das 
Root-Passwort hat zu root su'en darf... Das macht remote-administration
erst m?glich und wird meines Wissens auf auf 99% aller Maschinen praktiziert.

Wenn Du Angst hast das einer das Root-Passwort unsicher ?bermittelt, dann
hat er das Vertrauen, es zu bekommen nicht verdient....

Wovor hast Du angst?

AVE!
  phils...

-- 
     PHILIPP SCHMIDT / phils - - + - - > phils at gmx.net
     Phone: +49(30)66922513      ` - - > http://home.pages.de/~phils/
     --> ONLINE fuer Berlin & BRB? IN-Berlin! (info at in-berlin.de) <--

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 232 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20010205/a8d92f33/attachment.sig>

Mehr Informationen über die Mailingliste linux-l