linux-l: Bug oder =?us-ascii?Q?Feature?= =?us-ascii?Q?=3F_Root_Anmeldung_doch_m=F6glich?= via ssh+su!
Philipp Schmidt
philipp at ppc.in-berlin.de
Mo Feb 5 11:37:58 CET 2001
On Mon, Feb 05, 2001 at 09:01:31AM +0100, BEN9000 wrote:
> Hallo Liste!
>
> Wenn man sich jedoch als user an den Rechner anmeldet und dann versucht
> ?ber su
> zu root Rechten zu gelangen, dann klappts! D.h. mein Rechner ist von
> aussen mit
> root Rechten erreichbar!!!!
Ganz normaler Vorgang, da su das Terminal sch*** egal ist, sonst k?nntest
Du Dich z.B. unter X auch nicht zum root su-en. Es gibt, wenn Du ausschlie?en
willst das ein User der sich ?ber ssh angmeldet hat, ein su machen kann,
nur die m?glichkeit die option in unter /etc/pam.d/su einzukommentieren:
# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
-> # auth required pam_wheel.so
und keinen user in die Gruppe wheel aufnehmen.
oder Du k?nntest in die Datei /etc/pam.d/su folgendes aufnehmen:
# Disallows root logins except on tty's listed in /etc/securetty
# (Replaces the `CONSOLE' setting from login.defs)
auth requisite pam_securetty.so
was allerdinghs auch su's von X-Terms aus verbietet.
Alternativ k?nntest Du dem su-binary das setuid-bit wegnehmen....
Wen Du per ssh root-logins willst, kannst Du un der /etc/ssh/sshd_config
filgendes eintragen:
PermitRootLogin yes
>
> _nur_ lokale Root-Anmeldungen erlaubt sind?!?! Eben nur ?ber die
> Terminals tty1-tty12.
>
> Zwei M?glichkeiten: Ich habe eine conf Datei ?bersehen in sowas
> drinsteht
> wie "su everytime_allowed_even_over_ssh" oder aber der "login" Prozess
> den "su"
> aufruft erkennt meine ssh user anmeldung als lokal und erlaubt somit die
> Anmeldung
> als root! Das ist Bullshit!
Ich weiss nicht was f?r ein Problem Du hast das ein user, der das
Root-Passwort hat zu root su'en darf... Das macht remote-administration
erst m?glich und wird meines Wissens auf auf 99% aller Maschinen praktiziert.
Wenn Du Angst hast das einer das Root-Passwort unsicher ?bermittelt, dann
hat er das Vertrauen, es zu bekommen nicht verdient....
Wovor hast Du angst?
AVE!
phils...
--
PHILIPP SCHMIDT / phils - - + - - > phils at gmx.net
Phone: +49(30)66922513 ` - - > http://home.pages.de/~phils/
--> ONLINE fuer Berlin & BRB? IN-Berlin! (info at in-berlin.de) <--
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 232 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20010205/a8d92f33/attachment.sig>
Mehr Informationen über die Mailingliste linux-l