Linux/Benutzer/Root/Login: Unterschied zwischen den Versionen

Aus Foxwiki
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Linux/Benutzer/Root/Zugriff einschänken'''
'''Linux/Benutzer/Root/Login''' - Login des [[Superuser]]s steuern


=== Beschreibung ===
== Beschreibung ==
Wenn ein Administrator aus diesen oder anderen Gründen Bedenken hat, Benutzern die Anmeldung als root zu gestatten, sollte
; ''root''-Anmeldung steuern
* das root-Passwort geheim gehalten werden und
* root-Passwort geheim halten
* der Zugriff auf den [[Runlevel]] 1 oder den Einzelbenutzermodus sollte durch den Passwortschutz des Bootloaders verhindert werden ([https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/4/html/security_guide/s2-wstation-bootloader Bootloader-Passwörter])
* Zugriff auf [[Runlevel]] 1 (Einzelbenutzermodus) verhindern
* Passwortschutz des Bootloaders ([https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/4/html/security_guide/s2-wstation-bootloader Bootloader-Passwörter])


; Root-Anmeldungen verhindern
; Root-Anmeldung verhindern
{| class="wikitable options big"
{| class="wikitable options big"
| [[#Login-Shell ändern|Login-Shell ändern]]
|-
|-
| [[#securetty aktivieren|''securetty'' aktivieren]]
! Möglichkeit !! Beschreibung
|-
|-
| Deaktivieren von SSH-Anmeldungen als root
| [[#Login-Shell|Login-Shell]] ||
|-
|-
| PAM zur Einschränkung des Root-Zugriffs auf Dienste verwenden
| [[#securetty| securetty]] ||
|-
| [[#SSH|SSH]] ||
|-
| [[#PAM|PAM]] ||
|}
|}


=== Login-Shell ===
== Login-Shell ==
; Ändern der Root-Shell
; Deaktivierung der Root-Shell
Um zu verhindern, dass sich Benutzer direkt als Root anmelden, kann der Systemadministrator die Shell des Root-Kontos in der Datei <tt>/etc/passwd</tt> auf <tt>/sbin/nologin</tt> setzen
* Verhindern, dass sich Benutzer direkt als Root anmelden
 
[[Login-Shell]] des [[Root-Konto]]s in der Datei <tt>[[/etc/passwd]]</tt> auf <tt>[[/sbin/nologin]]</tt> setzen


; Deaktivierung der Root-Shell
{| class="wikitable"
{| class="wikitable"
|-
|-
Zeile 45: Zeile 50:
|}
|}


=== securetty ===
== securetty ==
; Deaktivieren des Root-Zugriffs über ein Konsolengerät (tty)
; Deaktivieren des Root-Zugriffs über ein Konsolengerät (tty)
Um den Zugriff auf das Root-Konto weiter einzuschränken, können Administratoren die Root-Anmeldung an der Konsole deaktivieren, indem sie die Datei <tt>/etc/securetty</tt> bearbeiten
Um den Zugriff auf das Root-Konto weiter einzuschränken, können Administratoren die Root-Anmeldung an der Konsole deaktivieren, indem sie die Datei <tt>/etc/securetty</tt> bearbeiten
Zeile 95: Zeile 100:
|}
|}


=== SSH ===
== SSH ==
Um Anmeldungen als root über das SSH-Protokoll zu verhindern, bearbeiten Sie die Konfigurationsdatei des SSH-Daemons, <tt>/etc/ssh/sshd_config</tt>, und ändern Sie die Zeile, die lautet
Um Anmeldungen als root über das SSH-Protokoll zu verhindern, bearbeiten Sie die Konfigurationsdatei des SSH-Daemons, <tt>/etc/ssh/sshd_config</tt>, und ändern Sie die Zeile, die lautet
  #PermitRootLogin yes
  #PermitRootLogin yes
Zeile 116: Zeile 121:
|}
|}


=== PAM ===
== PAM ==
; PAM zur Einschränkung des Root-Zugriffs auf Dienste verwenden
; PAM zur Einschränkung des Root-Zugriffs auf Dienste verwenden
PAM ermöglicht über das Modul <tt>/lib/security/pam_listfile.so</tt> eine hohe Flexibilität beim Ablehnen bestimmter Konten
PAM ermöglicht über das Modul <tt>/lib/security/pam_listfile.so</tt> eine hohe Flexibilität beim Ablehnen bestimmter Konten
Zeile 154: Zeile 159:
|-
|-
|}
|}
<noinclude>
== Passwort zurücksetzen ==
# PC neu starten
# Im Bootmenü auf "e" drücken
# Die erste Zeile suchen, die mit "Linux" beginnt
# Am Ende der Zeile ein Leerzeichen setzen
# init=/bin/bash eingeben und anschließend mit F10 fortfahren
# In der Shell <code>mount / -o remount,rw</code> eingeben
# Das Passwort mit "passwd" ändern
# Rechner neu starten
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
</noinclude>

Aktuelle Version vom 18. Dezember 2024, 12:03 Uhr

Linux/Benutzer/Root/Login - Login des Superusers steuern

Beschreibung

root-Anmeldung steuern
Root-Anmeldung verhindern
Möglichkeit Beschreibung
Login-Shell
securetty
SSH
PAM

Login-Shell

Deaktivierung der Root-Shell
  • Verhindern, dass sich Benutzer direkt als Root anmelden

Login-Shell des Root-Kontos in der Datei /etc/passwd auf /sbin/nologin setzen

Auswirkungen Keine Auswirkungen
Verhindert den Zugriff auf die Root-Shell und protokolliert alle derartigen Versuche

Folgende Programme können nicht auf das Root-Konto zugreifen

  • login
  • gdm
  • kdm
  • xdm
  • su
  • ssh
  • scp
  • sftp
Programme, die keine Shell benötigen, wie FTP-Clients, E-Mail-Clients und viele Setuid-Programme

Folgende Programme werden „nicht" am Zugriff auf das Root-Konto gehindert

  • sudo
  • FTP-Clients
  • E-Mail-Clients

securetty

Deaktivieren des Root-Zugriffs über ein Konsolengerät (tty)

Um den Zugriff auf das Root-Konto weiter einzuschränken, können Administratoren die Root-Anmeldung an der Konsole deaktivieren, indem sie die Datei /etc/securetty bearbeiten

  • In dieser Datei sind alle Geräte aufgeführt, bei denen eine Anmeldung des Root-Benutzers zulässig ist
  • Wenn die Datei überhaupt nicht vorhanden ist, kann sich der Root-Benutzer über jedes Kommunikationsgerät im System anmelden, sei es über die Konsole oder eine Raw-Netzwerkschnittstelle
  • Dies ist gefährlich, da sich ein Benutzer über Telnet als Root auf seinem Computer anmelden kann, wobei das Passwort im Klartext über das Netzwerk übertragen wird

Standardmäßig erlaubt die Datei /etc/securetty von Red Hat Enterprise Linux dem Root-Benutzer nur die Anmeldung an der physisch an den Computer angeschlossenen Konsole

  • Um die Anmeldung des Root-Benutzers zu verhindern, entfernen Sie den Inhalt dieser Datei, indem Sie als Root den folgenden Befehl an einer Shell-Eingabeaufforderung eingeben
echo > /etc/securetty

Um die Unterstützung von securetty in den Anmeldungsmanagern KDM, GDM und XDM zu aktivieren, fügen Sie die folgende Zeile

auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

zu den unten aufgeführten Dateien hinzu:

  • /etc/pam.d/gdm
  • /etc/pam.d/gdm-autologin
  • /etc/pam.d/gdm-fingerprint
  • /etc/pam.d/gdm-password
  • /etc/pam.d/gdm-smartcard
  • /etc/pam.d/kdm
  • /etc/pam.d/kdm-np
  • /etc/pam.d/xdm
Warnung
Eine leere /etc/securetty-Datei verhindert nicht, dass sich der Root-Benutzer über die OpenSSH-Tool-Suite remote anmeldet, da die Konsole erst nach der Authentifizierung geöffnet wird
Deaktivieren von Root-Anmeldungen
Auswirkungen Hat keine Auswirkungen
Verhindert den Zugriff auf das Root-Konto über die Konsole oder das Netzwerk

Der Zugriff auf das Root-Konto wird für die folgenden Programme verhindert

  • login
  • gdm
  • kdm
  • xdm
  • Andere Netzwerkdienste, die ein TTY öffnen
Programme, die sich nicht als root anmelden, aber administrative Aufgaben über setuid oder andere Mechanismen ausführen

Folgende Programme werden „nicht" am Zugriff auf das root-Konto gehindert

  • su
  • sudo
  • ssh
  • scp
  • sftp

SSH

Um Anmeldungen als root über das SSH-Protokoll zu verhindern, bearbeiten Sie die Konfigurationsdatei des SSH-Daemons, /etc/ssh/sshd_config, und ändern Sie die Zeile, die lautet

#PermitRootLogin yes

wie folgt

PermitRootLogin no
Deaktivieren von Root-SSH-Anmeldungen
Auswirkungen Hat keine Auswirkungen
Verhindert den Root-Zugriff über die OpenSSH-Tool-Suite
  • Folgende Programme können nicht auf das Root-Konto zugreifen
  • ssh
  • scp
  • sftp
Programme, die nicht Teil der OpenSSH-Tool-Suite sind

PAM

PAM zur Einschränkung des Root-Zugriffs auf Dienste verwenden

PAM ermöglicht über das Modul /lib/security/pam_listfile.so eine hohe Flexibilität beim Ablehnen bestimmter Konten

  • Der Administrator kann dieses Modul verwenden, um auf eine Liste von Benutzern zu verweisen, die sich nicht anmelden dürfen
  • Um den Root-Zugriff auf einen Systemdienst zu beschränken, bearbeiten Sie die Datei für den Zieldienst im Verzeichnis /etc/pam.d/ und stellen Sie sicher, dass das Modul pam_listfile.so für die Authentifizierung erforderlich ist

Im Folgenden wird ein Beispiel dafür gegeben, wie das Modul für den vsftpd FTP-Server in der PAM-Konfigurationsdatei /etc/pam.d/vsftpd verwendet wird (das \-Zeichen am Ende der ersten Zeile ist „nicht" erforderlich, wenn die Anweisung in einer einzelnen Zeile steht)

auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed

Hierdurch wird PAM angewiesen, die Datei /etc/vsftpd.ftpusers zu konsultieren und allen aufgeführten Benutzern den Zugriff auf den Dienst zu verweigern

  • Der Administrator kann den Namen dieser Datei ändern und separate Listen für jeden Dienst führen oder eine zentrale Liste verwenden, um den Zugriff auf mehrere Dienste zu verweigern

Wenn der Administrator den Zugriff auf mehrere Dienste verweigern möchte, kann eine ähnliche Zeile zu den PAM-Konfigurationsdateien hinzugefügt werden, z. B. /etc/pam.d/pop und /etc/pam.d/imap für Mail-Clients oder /etc/pam.d/ssh für SSH-Clients

Weitere Informationen zu PAM finden Sie im Kapitel „Pluggable Authentication Modules (PAM)" im „Reference Guide"

Deaktivieren von Root mit PAM
Auswirkungen Hat keine Auswirkungen
Verhindert den Root-Zugriff auf Netzwerkdienste, die PAM-fähig sind
  • Der Zugriff auf das Root-Konto wird für die folgenden Dienste verhindert
  • login
  • gdm
  • kdm
  • xdm
  • ssh
  • scp
  • sftp
  • FTP-Clients
  • E-Mail-Clients
  • Alle PAM-fähigen Dienste
Programme und Dienste, die nicht PAM-fähig sind


Passwort zurücksetzen

  1. PC neu starten
  2. Im Bootmenü auf "e" drücken
  3. Die erste Zeile suchen, die mit "Linux" beginnt
  4. Am Ende der Zeile ein Leerzeichen setzen
  5. init=/bin/bash eingeben und anschließend mit F10 fortfahren
  6. In der Shell mount / -o remount,rw eingeben
  7. Das Passwort mit "passwd" ändern
  8. Rechner neu starten

Anhang

Siehe auch

Links

Weblinks