Sicherheitsfalle in Ubuntu – der Defaulthauptbenutzer

Nach ein paar Tagen PC-Pause gab es heute eine Menge Updates und das geniale Ubuntu brachte u.a. ein Kernelupdate und den Firefox 3.0 ins Spiel. Ich bin ja schon lange überzeugt von Ubuntu am Dektop und sonst bleibe ich nach wie vor bei Debian oder einem BSD. Normalerweise bleibt mir nach der Installation eigentlich gar nichts anderes übrig als ein „sudo passwd“, da ich mir ein System ohne root einfach nicht vorstellen konnte und die Gewohnheit ersparte mir langes Nachdenken. Unlängst bemerkte ich allerdings, dass in Ubuntu „By default, the root account password is locked in Ubuntu“ der root by default entmachtet wird, was Sicherheitstechnisch eine absolute Katastrophe darstellt und lokal alle Berechtigungssysteme und Benutzerrechte sinnlos macht. Siehe auf sudo:

Ubuntu und Derivate nutzen sudo standardmäßig. Ein root-Konto ist dort durch ein ungültiges Passwort deaktiviert. In bestimmten Fällen, kann die Aktivierung des root-Kontos sinnvoll sein. Etwa dann, wenn ein Zugriff auf die Hardware (Rechner) durch Andere nicht ausgeschlossen werden kann. So kann der Rechner z.B. im Recovery Modus gestartet werden, wobei man direkt auf die root-Konsole gelangt. Dies kann durch die Aktivierung des Kontos verhindern werden, da so nach dem root-Passwort gefragt wird. Allerdings bietet auch das keine hundertprozentige Sicherheit, da man auch per Live-CD auf das System zugreifen und Daten (inklusive Passwort-Dateien) manipulieren kann.

Wozu gibt es die ganzen Sperren und Plomben für die Hardware, wenn ich im Recovery-Mode ohne mir nix dir nix root werden kann? Pfui, pfui, da sollte man sich dringend etwas überlegen, oder zumindest bei der Installation warnen, denn immerhin soll Ubuntu ja nicht nur kostenlos und fantastisch gut in jeder anderen Hinsicht, sondern auch möglichst sicher sein. Bis dahin empfehle ich unbedingt „sudo passwd“, um sich mit einem neuen „UNIX-Passwort“ für den root wieder als Herr des Systems fühlen zu können und nicht als irgend ein „Defaulthauptbenutzer“ auf der Seife zu stehen. 😉

Weblinks:
RootSudo
Warum und wie einen Root Account aktivieren ?

(660)

6 Gedanken zu „Sicherheitsfalle in Ubuntu – der Defaulthauptbenutzer“

  1. Pingback: Sicherheit geht vor | Helmeloh's Notizblog
  2. http://d-i.alioth.debian.org/manual/en.amd64/ch07s02.html
    http://www.freebsd.org/doc/de/books/handbook/disks-encrypting.html
    für private persönliche Nutzung ab Paranoia Stufe 2 empfohlen (manche Psychopharmaka helfen angeblich aber auch), außerdem empfehlenswert bei illegalen Inhalten oder wenn der schwachsinnige Inhalt einfach nicht einmal illegalen intruders zugemutet werden kann.
    Ach ja, und die Verschlüsselung natürlich unbedingt erst nach der Installation meines rootkits durchführen, sonst könnten Datenintegritätsprobleme auftreten.

  3. Aua sag ich da nur….

    Dem Kommentar von Christoph fehlt meiner Meinung nach noch der wichtigste Punkt:
    – / Partiotion verschluesseln ….
    Klar musst Du dann beim rebooten anwesend sein.

    Aber generell ist das kein Ubuntu Problem. Das gleiche gilt auch fuer Debian, BSD und auch Windoof. Sorry fuer jedes andere OS das ich hier nicht aufgefuehrt habe.^^

    Und das Problem ist seit Jahren bekannt…

    @helmeloh
    Bitte nicht boese sein fuer den folgenden Kommentar:
    Aber setz Dich doch mal ein bischen mit Deinen Unixen auseinander, dann kannst Du Dir fuer die Zukunft solche Blogs sparen 🙂

    Gruss vom Bill

    1. Lieber unix123 bzw. ms_billiboy (nette IP und Emailadresse hast du, aber in Langley hat man mir versichert, dass sich bestimmt nur ein Trottel vertippt hat), ich danke dir für deinen intelligenten Kommentar, der mir bestätigt, dass viele unixuser zuerst einmal überheblich, dann ignorant und besserwisserisch und schließlich und endlich von sich selbst eingenommen sind; mehr ist da oft nicht, der Rest steht im man. Verschlüssele doch bitte als Hauptstandardbenutzer deine Partitionen, damit keiner je erfahren wird, welchen Schwachsinn er sich erspart hat. Warum ich so sauer bin muss ich dir bestimmt auch erklären, denn du wirst sicher nicht selbst darauf kommen: „weil du offensichtlich nicht lesen kannst“. Was ja bei x|win|mac_doofusern ja nicht selten der Fall, sondern eher die Regel ist. Das Blog heißt Helmeloh’s Notizblog! Was denkst du wohl, was diese zwei Wörter bedeuten? Richtig, mein Lieber, ich mache mir hier persönliche Notizen zu diesen Themen, mit denen ich mich auseinandersetze und somit auch zu „meinen Unixen“. Als ich 1995 mit Slackware anfing (dann SuSe, Mandrake, Debian ….) musste ich noch wertvolle Ressourcen vergeuden, indem ich meine Notizen auf einen Block (Schmierzettel) aus Papier schrieb, den ich dann in irgend einer Tasche doch nicht mehr fand, wenn ich ihn brauchte. Heute habe ich dazu, ach Bill, ich glaube bei dir ist jede Erklärung sowieso nur hoffnungslose Zeitverschwendung. Egal, aber wer von Windoof spricht disqualifiziert sich ohnehin selbst vor jedem Menschen, der auch nur einen Funken an Krips hat. Happy Verschlüsseling und falls du eine Einführung in Kryptographie brauchst, um ansatzweise zu verstehen was du da eigentlich machst – und vor allem natürlich, damit du dann laut hinausbrüllen kannst, wie tollt du und natürlich nur ganz alleine du, bist, – dann lass es mich wissen, ich schicke dir ein paar Links zu Begriffsdefinitionen für Kleinkinder.

  4. Wenn eine Person physischen Zugang zu einem Rechner besitzt, dann hilft dir auch das Setzen eines Root-Passwortes nichts. Mit dem einfachen Zusatz von „init=/bin/bash“ in die Kernel-Zeile beim Booten landet man in einer Root-Shell…

    > http://linuxundich.de/de/ubuntu/hacking-ubuntu-der-recovery-modus/

    Je nach persönlicher Paranoia muss man

    * Root-PW setzen
    * Grub-PW setzen
    * Bootreihenfolge so setzen, dass nicht von USB oder CD gebootet werden kann
    * BIOS mit PW sichern
    * Rechner in abschließbaren Schrank einbauen

    und tatsächlich lokale Sicherheit zu erreichen. Das setzen eines Root-PW alleine bringt dir nur ein bisschen Pseudo-Sicherheit.

    1. Danke für deinen Kommentar Christoph, aber ich sehe das doch ein wenig anders, denn physischer Zugang zum Computer ist Voraussetzung für die Sinnhaftigkeit eines Mehrbenutzersystems und auch die gesamte ACL würde sonst lokal ziemlich nutzlos. Zum zurücksetzten vom BIOS-PW genügt es den Kondensator zu entnehmen usw. aber ich gehe von professionellen Voraussetzungen aus, wo du zwar den PC mit6 Gewalt unter Zerstörung der Plombe öffnen kannst, aber das merkt man dann. Ebenfalls dürfen CD, USB usw. natürlich nicht gemountet sein, aber das ist eh klar. Es geht mir um die standardmäßige Nutzung und da verspielt Ubuntu den Sicherheitsvortei8l von Linux mit dem unnützen Standardhauptbenutzer, den kein Mensch braucht und wenn schon, dann sollte man bei der Installation wenigstens darauf hinweisen, dass die Benutzerberechtigungen nur mehr eine Farce sind, wenn der root automatisch entmachtet und durch einen Standardhauptbenutewr ersetzt wird. Wäre ja nicht zuviel verlangt, wenn man wenigstens darauf hinweisen würde, oder?

      Deine anderen Vorschläge sind gut, aber die kennt man und da rechnet auch jeder damit, nur dass man im recovery mode ohne pw Rootrechte bekommen kann ist meiner Meinung nach nicht zu erwarten von einem halbwegs durchdachten System. Bei aller Liebe zu Ubuntu sehe ich das trotzdem als echte heimtückische Falle an.
      Thks und schönen Tag noch 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.