Matthias Houdek [u] wrote on 07/09/2004 17:13:
Andreas, wenn es dir darum geht, den Usernamen root zu eleminieren (weil der halt immer gleich ist, dann benenne das root-Konto einfach um (in /etc/passwd _und_ in /etc/shadow). Dann kannst du auch noch ein neues "root"-Konto anlegen, das kaine Rechte hat ;-)
Was keine gute Idee ist, denn viele Skripte pr�fen nicht auf die UID, sondern auf den Namen des aktuellen benutzers (als den Namen der aktuellen EUID, um genau zu sein) auf Gleichheit mit "root". Und genau das funktioniert dann nicht mehr.
Allerdings ist das eine tr�gerische Sicherheit, denn intern wird ja immer die UID verwendet, und die ist und bleibt "0".
Hehe, ich hatte mal ein System aufgebaut, bei dem die allm�chtige UID eben nicht 0 war (und der zugeh�rige User auch nicht root hie� - der hatte weiter UID 0). Allerdings bedeutete das, dass ich beinahe jedes wichtige Programm patchen und neu �bersetzen musste (von Apache bis sshd, von passwd bis login etc....). Viel Arbeit f�r wenig Nutzen. Aber machbar ist es.
Einige (aber nicht alle) Hacker sind bei diesem Honeypot immerhin drauf reingefallen und haben alles daran gesetzt, UID 0 zu erreichen.
Wenn es darum geht, weiteren Personen Administrationsaufgaben zuzugestehen, so bleibt dir wohl nur, diese der Gruppe "root" zuzuf�gen, wobei es nat�rlich gewisse Einschr�nkungen gibt (ich w�rde daf�r auch keine normalen Userkonten verwenden, sondern zus�tzliche Admin-Konten).
Gruppe root ist nicht wirklich n�tig daf�r, sudo w�re erheblich besser.
Es gibt noch mehr M�glichkeiten (z.B. mit dem "s"-Bit bei den Dateirechten -> man chmod) und Skripten.
Ja, f�r Teilaufgaben sicher. Vor allem mit sudo zusammen.
Ciao, Sven
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
