Root Anmeldung verbieten

Hallo zusammen,

ich möchte meine Debian Systeme so konfigurieren das ein direktes einloggen an der GUI bzw. an der Shell oder via SSH verboten wird.

Allerdings soll über Programme wie su, (oder die grafischen Pendants) gksu usw. weiterhin möglich sein root zu werden.

Sudo möchte ich ehrlich gesagt nicht unbedingt nutzen.

Ich hatte schon die Idee einfach in der /etc/passwd den root Account auf /sbin/nologin zu legen.

Allerdings meinte ein Freund zu mir, das dies auch su betreffen würde.

Gibt es eine Option dies zu verwirklichen? Ich finde nirgends eine Auflistung welche Programme betroffen sind und welche nicht.

Möchte mich ungern als root aussperren, denn dann müsste ich wieder mit einer Live CD rumfummeln um das in Ordnung zu bringen.

Hi,

editiere die /etc/shadow indem Du als Passwort ein ! einsetzt. Das verbietet jeglichen direkten Login als root.

Beispiel:

root:!:1:0:1:0:::

Stell aber VORHER sicher, das sudoers richtig konfiguriert ist, ansonsten kannst Du dich leicht aussperren.


BTW: Über adduser geht das ganze mit der Option --disabled-login.

Gruß
Sven

Ähm, ich will ja eben nicht mit sudo arbeiten.

Sondern mit SU (switch User).

Ich will nur verhindern das man sich direkt (also ohne über einen User zu tunneln) an der Konsole bzw. der GUI anmeldet.

Wenn jemand (also wohl normalerweise ich) zum root werden will, dann soll er sich zunächst als user anmelden und dann wie su zum root mutieren.

Geht das nicht?

Wenn ich das richtig verstanden habe, führe ich doch damit nur Programme mit der USER-ID des root Benutzers aus (bzw. des Users zu welchem ich geswitched bin). Somit ist das was anders als eine RICHTIG Anmeldung.

Ich mag sudo jedenfalls nicht und möchte es eigentlich umgehen.

Hallo,

ssh per /etc/ssh/sshd_config

PermitRootLogin NO

Darüber bin ich mittlerweile gestolpert. Dachte halt es geht eventuell zentraler. Aber dann ist ein Teilpunkt jedenfalls schon erledigt.

Bleibt nur noch der große Brocken. Wie gesagt, sudo ist mir irgendwie zuwieder. Entweder ich bin root oder nicht.

Hallo,

der Grund dieser Massnahme?

Wie meinen?

Hallo,

Warum willst das das direkte einloggen von root unterbinden?

Weil der root User nach meinem Sicherheitsbewusstsein nichts auf einer grafischen Oberfläche zu suchen hat. Dafür gibt es ja Tools die einzelnen Programmen temporär zu root rechten verhelfen.

Auch auf der Konsole hat für mich ein User als echter root erstmal nix verloren.

Dafür gibt es ja eben su (nicht sudo).

Im Zweifel kann man ja das Login temoprär wieder erlauben.

Es hat schlichtweg etwas mit meiner grundsätzlich paranoiden Einstellung zu tun.

Natürlich nur, solange sich aufwand und nutzen in einem gesunden Verhältniss zueinander stehen. (Sonst würde ich sogar SELinux nutzen).

Das Grafische root login kannst du ohne probleme abstellen.

Auch auf der Konsole hat für mich ein User als echter root erstmal nix verloren.

Zum Vergrößern anklicken....

Es macht überhaupt keinen Unterschied, ob du dich an der konsole mit root einloggst oder mit su root wirst.

Theoretisch könntest du dir ein PAM-Modul schreiben, das root automatisch abweist, und das Modul bei allen Login-Anwendungen ausser su eintragen. Aber das ist wiegesagt nur eine theoretische Lösung.

Hallo,

Hmm, nun das grafische lässt sich ja dadurch einschränken indem du nur mit init 3 bootest!

Was bei Servern durchaus so sein sollte! - meine Einstellung

Ich rede aber nicht von einem Server. Auf einem Server würde ich erst gar keine GUI installieren.

@catdog2 sagst du mir auch wie?

Davon abgesehen IST es ein Unterschied ob du via su PSEUDO root wirst oder dich als root einloggst. Bei su wird kein kompletter Login vollzogen (Startskripte usw). Es macht also einen großen Unterschied. Außerdem verschafft su soweit ich weiß NUR die Userid von root. Nicht mehr und nicht weniger.

@Mµ*e^13.5_?¿ hört sich zumindest nach einem Ansatz an. Werde mal danach googeln.

Wenn du kdm Benutzt musst du in der kdmrc AllowRootLogin=true auf AllowRootLogin=false setzen. Bei den anderen display managern dürfts ähnlich gehen.

Gandalf_the_Grey schrieb:

Davon abgesehen IST es ein Unterschied ob du via su PSEUDO root wirst oder dich als root einloggst. Bei su wird kein kompletter Login vollzogen (Startskripte usw). Es macht also einen großen Unterschied. Außerdem verschafft su soweit ich weiß NUR die Userid von root. Nicht mehr und nicht weniger.

Zum Vergrößern anklicken....

da ist kein unterschied ... du erwähnst ja die userid bzw. die groupid die eigentlich wichtiger ist... und die wird durch su auf 0 gesetzt. und damit bist du echter root, egal wie der user heist. einen pseudoroot wie du ihn dir vorstellst, also einen mit weniger rechten als der echte root gibt es unter linux/unix nicht ... und warum hat der root auf der konsole nichts verloren? bei echte unix systemen kann man über die datei /etc/default/login das einloggen des roots nur über die konsole (also /dev/console) aus sicherheitsgründen zulassen, somit muß man letztendlich direkt an die maschine gehn, wenn man sich als root einloggen will. um das einloggen des root über tty terminals zu verhindern kannst du eine leere /etc/securetty datei erstellen und um den root ganz zu deaktivieren kannst du in der /etc/passwd beim root die shell auf /sbin/nologin setzen. das betrifft aber dann auch login bzw. su, nicht aber sudo, damit kannst du immer noch administrativ tätig sein. den root aus ssh aussperren kannst du über die datei /etc/ssh/sshd_config und dort den parameter PermitRootLogin auf no setzen und unter /etc/pam.d die dienste für den root sperren so daß für die pam-fähigen dienste pam_listfile.so für die authentifizierung erforderlich ist ...

greetz

hugo

Hallo,

Hier stimme ich hp voll zu!

Aber auch bei richtigen Linuxen gibt es eine Datei in der bestimmt wird, von wo sich root anmelden kann/darf (heißt da genau so)

Hmm, die Idee mit dem nologin ist nun nicht gerad mein Geschmack.

Alternativ kannste ja root auch umbenennen!