Ubuntu root jelszó fontossága

Linux-kezdő

Ubuntu Desktop telepítésekor nem kell megadni root jelszót. Csinálok egy felhasználót a telepítéskor, aki automatikusan rendelkezik adminisztrátori jogokkal, persze csak sudo-n keresztül. (Ezzel szemben Debian-ban a telepítéskor megadok egy root jelszót, és attól függetlenül létrehozhatok egy vagy több mezei felhasználót, akik nem rendelkeznek adminisztrátori jogokkal. A rendszert csak akkor tudom piszkálni, ha root-ként lépek be, mondjuk su-n keresztül, a sudo alapból nincs is beállítva.) Namármost, ubiban root jelszó be sincs állítva, azért root-ként be sem tudok lépni. Tegyük fel, hogy most be vagyok jelentkezve, mint az a felhasználó, aki telepítette a rendszert (1 felhasználós felállás, otthoni gép), és mint ilyen, adminisztrátori jogokkal rendelkezem. Most megnyitom a System/Administration/Users and Groups - ot, majd Unlock után kiveszem a jogosultságaim közül az "Administer the system"-et, és le is OK-zom, majd ki is jelentkezek. Root jelszót továbbra sem adtam meg, root-ként továbbra sem tudok belépni.

Értelmezésem szerint akkor most "a felhasználó"-ként belépve többé nem tudok sudo-zni, és bármit birizgálni a rendszeren, root-ként pedig - jelszó hiányában - eddig sem tudtam, meg ezután sem tudok majd belépni. Innentől kezdve tehát bárminemű rendszeradminisztráció, programtelepítés, stb el van felejtve.

Mennyire szivattam meg magam?

Vagy rosszul gondolom, és van valami megoldása a szitunak (a triviális újratelepítésen kívül)?

/megjegyzem, a fenti probléma nem következett be, csak elgondolkodtam rajta, hogy hogy megszivathatnám így magam. Igazam van-e?/

  • 5577 megtekintés

( Skuzzy | 2010. 02. 26., p – 13:05 )

Igen, igy megszivattad magad kicsit.
Ha nagyon akarsz root-ot, sudo utan passwd-vel adhatsz neki jelszot, utana azzal be tudsz lepni.
A leirtak utan a legegyszerubb, ha bebootolsz egy cd-rol, felmountolod a / particiot, valami szovegszerkesztovel a mount/etc/shadow fileban a root soraban kitorlod a kodolt jelszot, ezutan jelszo nelkul tudsz belepni root-tal.

+1
Bármilyen Live Linux rendszer CD vagy USB-ről bootoló jó erre, ha látja és fel tudja csatolni a telepített Linux fájlrendszerét (mondjuk Ext4-gyel ment fel és a live rendszer még azt nem támogatja), vagy pl. nem ismeri a 'chroot' parancsot, mert a kicsi lebutított disztróból kihagyták (ilyen is lehet USB-seknél főképp). De a legjobb az Ubuntu telepítő CD-det használni erre a célra, ott biztonsan menni fog a művelet.
---
Mézi 4Ever!

( dejo v | 2010. 02. 26., p – 13:14 )

Én sem próbáltam még csak logikusnak azt gondolom, hogy a rendszer ragaszkodni fog ahhoz, hogy legalább 1 db admin joggal rendelkező felhasználó legyen a gépen. Pl. a Windows is így csinálja.
--
Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba és kész!

Nem tudom, en a "sudo su -" -ban bizom. Volt mar olyan, hogy nem sikerult minden kornyezeti valtozot resetelni egy rendszeren a "sudo -i" -vel (meg a -s kapcsoloval sem), de ez mindig bejon.

Persze, tudom, at kell allitani az ilyen rendszereket, a gond, hogy ez nem mindig teheto meg.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Alapból a root felhasználó tiltva van. A tiltás technikája most lényegtelen, nem lehet használni és kész.
Ha ezt nem tudja figyelembe venni az Ubuntu akkor az elég nagy butaság.
--
Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba és kész!

( akkos v | 2010. 02. 26., p – 13:19 )

recovery mode>root shell>root vagy.

utána azt csinálsz amit akarsz.

egyébként meg sudo su -c passwd

( toros | 2010. 02. 26., p – 13:29 )

Amúgy ha meg akarod szivatni magad, a legegyszerűbb, ha leöntöd egy kanna benzinnel a gépet, és meggyújtod. Ez ráadásul platformfüggetlen megoldás... :)

( petrospolinakis | 2010. 02. 26., p – 13:31 )

Gondolom a "sudo passwd" csak akkor menne, ha nem vontam volna meg magamtól az admin jogokat. A live-cd-s illetve a recovery-mode-os megoldás kétségtelenül tök jó! Csak ezekután felmerül a kérdés: tfh. akármilyen gépen van egy ubuntu. Ha a rencergizda nem figyelt eléggé, akkor lehet CD-ről boot-olni, illetve a grub-menuben benne van a recovery-mode-os root környezet. Innentől kezdve ahhoz a géphez akárki odamehet, és azt csinálhat vele, amit akar?

OK, tfh melóhelyi gép, az íróasztalomon, ubi desktoppal. Ha van egy kolléga, aki ki akar velem tseszni, akkor simán ki tud, anélkül, hogy szétszedné a gépet, ha lehet a gépemen CD-ről boot-olni, vagy ott van a recovery mode a grub menuben.

Anno törtem be én is így gépbe - az egyetemen a rendszergizda windows-párti volt, és a gépen le volt tiltva a CD-ről bootolás, a BIOS meg jelszóval védve. Ráadásul még a ház is olyan volt, hogy le lehetett zárni egy kulccsal. A gépet saját használatra kaptam meg, de nem volt hajlandó a rendcergizda linuxot rakni rá, sem megadni a BIOS jelszót. Én viszont dolgozni akartam, amit linuxon szeretek, főleg a GNU fordítók miatt, és nem akartam állandóan a rendszergizdához rohangálni, hogy ezt meg azt rakjon fel nekem. Birtokba akartam venni a gépet. Kénytelen voltam egy álkulccsal a házat kinyitni, a BIOS-t kitörölni a jumperral, majd a ház gondos visszazárása után CD-ről boot-olni, pqmagic-kel összenyomni a windowst (kárt nem csinálni, semmit le nem törölni, csak a használatlan helyet szabaddá tenni), majd a felszabadított helyre feltolni egy debiant. Azon meg kellett adni a root jelszót... :)

A dolog folyománya az lett, hogy egy darabig nem vették észre, mert VirtualBox-ban mindig futtattam benne az XP-t, és ha megjelent valaki, akkor vagy átkapcs teljes képernyős XP-re, vagy gyors reboot, defaultnak meg az XP volt beállítva. Aztán a laborban a kollégák elkezdtek felbátorodni, és megcsinálták ők is. Majd amikor észrevették, már mindenkinek a kedvenc disztrója volt a gépén, és a rendszergizda kénytelen volt elfogadni, hogy ez van, végül is neki sem kell akkor a mi gépeinken a windowst maintainelnie, neki is kevesebb lesz a munkája. Így aztán végül már a VirtualBox-ban futó XP-re sem volt szükség...

Amihez fizikailag hozzá lehet férni, ott nyilván bármit meg lehet csinálni, csak nagyon nem mindegy, mennyi idő alatt, milyen könnyen, stb. A legdurvább U-lakatot is el lehet fűrészelni, csak annyi ideig tart, hogy közben nagy valséggel megjön a tulaj, és kihívja a rendőrséget, vagy jól eltángál, vagy mind a kettő... :)

( marcabru | 2010. 02. 26., p – 13:32 )

Ilyet tényleg lehet csinálni? Az OS X-nél nem lehet elvenni az admin jogokat az utolsó admintól. Ennyi intelligencia az ubuntuban is kell, hogy legyen.

Há I'm listening, de nem értem. Kifejtenéd, kérlek, bővebben? Gondolom Te azt szeretnéd, hogy megmaradjon a Linux a hozzáértők rendszerének, Te pedig megmaradhass kiváltságosnak, és az r=1 userek megmaradjanak az egységkörön (feltételezem Linuxot használsz, és értesz hozzá, ha lenézed az r=1 usereket). Vagy esetleg sokat fektettél M$ részvényekbe?

Javíts ki, kérlek, ha rosszul gondolom! ;)

Nem feltetlen. A Linux legyen azon emberek eszkoze, akik kepesek logikusan es ertelmesen gondolkodni (kvazi: nem veszem el az egyetlen admin usertol az admin jogait). Ehhez nem szakembernek, hanem epp esszel elo lenynek kell lenni. Csak mivel ilyen manapsag mar nem sok szaladgal, ezert raragadt a "szakember" jelzo.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

A "Linux"-nak pont az az előnye, hogy többféle disztró van, és egymással elég jól kompatibilisek. Olyan disztró rengeteg van, amit logikusan és értelmesen gondolkodó emberekre terveztek - sőt, ha elég nagy zseni vagy, még OS sem kell a gépedre.

Ettől még anyukám vagy a barátnőm nem fogja tudni használni. Miért zavarna az Téged, ha van egy foolproof, nyugdíjas magyartanárok széles rétegei által is használható, ennek ellenére biztonságos disztró?

Szerintem lehetne legalább egy olyan disztró, ami képes széleskörben elterjedni, mert van annyira hülyebiztos, hogy nem szivathatja meg magát nagyon egy r=1 user, és még fel is tudja telepíteni, mert csak klikkelgetni kell 7-szer a next gombot, és képes ezután a tárolókban lévő nyíltforrású alkalmazásokat telepíteni vagy leszedni. Emellett, ha ez a rendszer egy sokatpróbált vén róka kezébe kerül, az képes legyen teljes mértékben testreszabni, az automatizmusokat egyszerűen kikapcsolni. És az sem árt, ha a rendszer biztonságos. Én azt hiszem, az Ubi ezt a célt tűzte maga elé. De akkor elvárható lenne, hogy

1. Ha rootjelszó=undef, és már csak 1 admin van a gépen, akkor legalább szóljon, amikor el akarom venni attól az egytől az admin jogot, hogy ez hülyeség, vagy akkor adasson meg egy root jelszót, mielőtt engedi elvenni. Vagy már rögtön a telepítésnél meg kelljen adni egy root jelszót, mondván, hogy legalább egy adminnak kell lennie, és kész.

2. Mindenféle grub-bal vagy recovery mode-dal ne lehessen korlátlan hozzáférést szerezni, mert akkor illetékteleneknek is, bármikor, bárhol.

Mivel ezeket nem lehet túl nehéz megcsinálni, ezért jogosan elvárható lenne, nem?

r=1 user != root
a mezei usernek ne legyen root jelszava egy rendszerhez.
anyokam a maga sok-sok evevel megelegedetten ahsznal linux desktopot, igaz igenyei kimerulnek a bongeszes, levelezes, instant uzenetkuldes, skype, nemi zenehallgatas/videonezes koreben, de tokoeletesen jol elvan vele. nem vagja gallyra a cuccot mindenfele okossag telepitgetesevel, hasznalja aztan pont.
aki meg root jogot vesz magara es elbarmol valamit, az vessen magara (lehetoleg krumplit) es fusson neki megegyszer.
1. a root user tudja mar mit miert csinal
2. nem barmikor barhol, ott es akkor - amihez fizikai hozzaferes van, az konnyen esik aldozatul ilyennek, legyen az akarmilyen OS

1. Anyukámnak felraktam egy ubit, természetesen nem volt neki adminisztrátori joga, Hamar elkezdett panaszkodni, hogy nem tudja megnyitni az ilyen meg olyan videót. Persze, mert nem volt kodek, a rendszer nagyokosan felajánlotta, hogy automatikusan telepíti csomagból, aztán kérte a superuser jelszót. Fasza.

2. Ubuntut felrakja az egyszeri ember otthon magának, elég egyszerű felrakni, és a telepítéskor létrehozott user automatikusan rendelkezik adminisztrátori jogokkal, persze csak sudo-n keresztül. Ha emberünk kodeket vagy flashplugint akar telepíteni (egyik első dolga lesz, miután elkezd netezni), a gép kérni fogja a jelszavát. Mivel ő maga rakta fel a gépére az ubit, tudni is fogja, beírja, nincs gond. De akkor viszont simán megszivathatja magát emberünk a fent leírt módon.

Odahaza, Kovács úréknál nincsen rendszergazda, nincsen root. Az csak a vállalatnál van, ahol Kovács úr a portás, pl. Nem várhatjuk el, hogy az otthoni felhasználó tudja, mit csinál, mikor beírja a jelszót.

1. anyukam ne telepitgessen osszevissza, mert annak az lesz a vege, hogy mehetek kapalapalni. ha kell neki a kodek es mivel ismerem az igenyeit, akkor teszek neki, ha nem tettem volna, akkor meg szoni fog, hogy ezt irta ki, mi legyen. nem nyomja az ok-t, meg a next next finisht, mint a meszes.

2. onnantol, hogy emberunk tudja a jelszot, onnantol, fokent, hogy o a felelos az egesz musorert rootnak tekintheto, ha meg mar root, tudja, hogy mit csinal. ha nem tudja, majd megtanulja. ne varja senki, hogy kap egy rendszert es helybol es nekifutasbol ismerni fogja - sot mi tobb adminsztralni - ha ilyen rendszer letezne, akkor a mi fajtank ehen doglene, vagy mehetne kovet torni, vagy mittudom en

Kovacs ur erosen igy jart, nyomkod ossze vissza, megis mit vart. Legkozelebb majd olvas manualt/howtot ha legenykedni akar, vagy megker valakit (esetleg jopenzert), aki mar olvasta a manualt/howtot, mert epp ebbol el. Ha meg onjelolt buherator akar lenni, akkor szivjon.

"ha ilyen rendszer letezne, akkor a mi fajtank ehen doglene, vagy mehetne kovet torni, vagy mittudom en"

Erre mondják, hogy kibújt a szög a zsákból... :)

Nem biztos, hogy követ törni kéne menni, hanem inkább új dolgokat lehetne kitalálni azzal az erőforrással, ami most a meglévő dolgok supportolására megy el. Már meghódíthattuk volna a galaxist... :)

Tudom, hogy a nyíltforrás üzleti modellje valami olyasmi, hogy a termék ingyenes, a supportért kell fizetni. De akkor ebből szükségképpen az következik, hogy csináljunk csak segítséggel használható terméket, hogy mindenkinek muszáj legyen igénybevenni a supportot? Ügyes! :)

nem supportrol volt szo, hanem hozzaertesrol.
anyukam nem ert hozza, kap supportot tolem, vegulis lattam mar olyat, aki ert hozza.
Kovacs ur nem ert hozza, ingye nem ad neki supportot senki, igy Kovacs ur vagy tanul, vagy fizet (lenyegeben fizet es fizet, vagy idovel vagy a zsebe tartalmaval)

en se kezdek el villanytszerelni, hidegburkolni, falt rakni, vakolni es sorolhatnam, mert nem ertek hozza. esetleg, ha epp buherator kedvem van, akkor utanolvasok, majd rajovok, hogy nekem ez magas. kihivom szepen a supportot es az szepen megcsinalja (mert o meg epp ahhoz ert), en boldog vagyok es fizetek (ha kell)

pl: fozes. van tuzhelyem, serpenyom, meg bevasraoltam, mint a jofogyaszto. beleramolok mindent a serpenyobe, jol alagyujtok, aztan lesek, hogy ehetetlen. legkozelebb elolvasok egy szakacskonyvet es megprobalom ujra. ehetetlen. teszek az egesz fozes musorra es elmegyek etterembe.

Anyukam nem szokott akarni a felhasznalok kozt piszkalodni, mert elmagyaraztam neki, hogy azt a menut lehetoleg ki se nyissa, ha nem akar bajt csinalni. Mivel o tisztaban van a kepessegeivel, meg azzal, hogy nem ert a dolgokhoz, nem piszkal hozza.

Arra meg kulon ki lett tanitva, hogy ha valami felbukkano ablak van, akkor szoljon nekem, es en intezkedek, helyben vagy telefonon at. Igy kezben van tartva a dolog, es nem kell aggodjak, hogy mit, mikor es mibe nyulkal bele.

Egyebkent a sudoers fajl azert is jo, mert a admin user melle letre lehet hozni egy "anyu" nevu usert is, akinek mar csak olyan sudo joga van, hogy tud esetleg kodekket telepiteni, de mast nem.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Windowsszal kezdtem, linuxszal folytattam, 14 éve dolgozom linuxokkal, de otthon osx van. Az imént felsorolt operációs rendszerek közül legutoljára ajánlom a linuxot, akarkinek is kell ajánlanom. Hogy miért, azt itt se idő nincs kifejteni, se hely. Az a linux amibe anno beleszerettem, már nem létezik. Ki tudja, lehet sose létezett.

DOS-szal kezdtem, illetve annak előtte ZX spectrummal :) Windows-zal folytattam, 12 éve linuxozom, jó öreg RedHat, majd Debian, jó ideje Ubuntu. Otthon/munkahelyen/laptopon Ubuntu, barátoknak, barátnőnek, anyukának, akik panaszkodnak, hogy már megint lejárt az MS Office aktivációja, már megint vírusos a gép, már megint belassult a vindóz, stb... próbálok Ubuntut feltelepíteni, úgy, hogy ne kelljen hetente rohangálni, ha fel akar rakni egy kodeket. Próbálok az ő fejükkel gondolkodni, és törekedni arra, hogy a rendszerükön minden magától értetődő legyen egy Windows XP-ről átszokott mezei user számára is.

OSX: gondolom jó drágáért vetted :) Persze, profi cég profi termékével versenyezni nem ér!

Nnna, most élesben is kipróbáltam! Jelentem, tényleg meg lehet ilyet csinálni! Most vontam meg magamtól az admin jogokat, ezekután hiába voltam eddig feketeöves sudo-s, most hiába is próbálkozok sudo-zni:

$ [sudo] password for xxxx: /* [beírom] */
$ xxxx is not in the sudoers file. This incident will be reported.

Az utolsó és egyetlen admin user a gépen jelenleg: root. Jelszaváról fogalmam nincsen.

Akkor ez nagyon nem jó. Egy desktop rendszernél nem szabad, hogy a felhasználó grafikus felületen kattingatva olyan állapotba hozhassa a gépet, hogy grub-matatásra meg szöveges parancsokra legyen szükség a helyrehozatalhoz. Legalább egy ablakot földobhatna a júzernek, hogy "Ez így hülyeség, amit csinálsz, biztos, hogy végrehajtod?"

Az igazsághoz hozzátartozik, hogy csak úgy klikkelgetve nem tudod megcsinálni. Az "unlock" gombra kell kattintani, majd kéri a rendszer a jelszót, feltéve ha szerepelsz a /etc/sudoers-ben. De ha egy nem annyira képzett felhasználó otthon felrakta magának az ubi desktopot, a telepítéskor létrehozott user automatikusan sudoer lesz, mert különben még egy szimpla kodeket sem tudna később feltelepíteni. Viszont akkor ha kíváncsiságból odatéved a Users and Groups-hoz, és elkezdi birizgálni, simán unlockolja, és megszivathatja magát.

Kétségtelenül nem túl okos dolog, de gondolom abban egyetértünk, hogy kifejezetten örülnénk egy könnyen használható, hülyebiztos és biztonságos linux disztrónak.

Itt jön be, hogy kéne egy ilyen védelem beépítve, amit te mondasz. Másrészt meg sokkal jobb lenne, ha úgy lenne, mint a Debian-ban, hogy telepítésnél _meg kell adni_ egy root jelszót, és a rendszert nagyon érintő változtatásokat csak rootként lehessen végrehajtani. De könyörgöm, egy sima felhasználói program, sőt, méginkább, egy nyamvadt kodek telepítéséhez ne kelljen már rootnak lenni! Nem lehetne ezeket valami "felhasználó által telepített programok"-ba nyomatni?

Ez a probléma csak elméleti, a gyakorlatban én még nem találkoztam olyannal, aki elvette magától az admin jogot véletlenül. De ha mégis megtörténne, akkor felmegy szépen az ubuntu.hu-ra, beírja a problémáját a fórumba, és hamarosan beírja neki valaki a megoldást. Ez tipikusan olyan helyzet, amit nem az operációs rendszernek kell kezelnie, hanem a supportnak.

Ezer és egy módja van, hogy valaki kitoljon magával, a legtriviálisabb, hogy letöröl valami fontos és pótolhatatlan fájlt - ez adott esetben sokkal több problémát tud okozni, mint az, hogy elveszi magától az admin jogot, és meg kell kérdezze fórumban, hogy hogyan lehet visszaállítani.

+1. ha valakinek a munkájához kell az openoffice, és ő letörli azt, akkor nehogymár a gépnek kelljen szólni hogy hé, ezt a programot te használod, ne töröld le.
Ha eljutsz a felhasználó beállításáig, beírod a jelszót, birizgálod a részletesebb dolgokat, majd véletlenül(?) elveszed magadtól a jogot, az a te bajod legyen. Ez nem egy desktop ikon az asztalon, amit minenki kíváncsiságból nyomkodna.

Én is telepítettem w95 mellé nt-t, majd töröltem le azt, még sem szólt nekem senki sem bentről hogy nem fogom tudni elérni w95 alól az ntfs-t :)

( r0pi v | 2010. 02. 26., p – 14:33 )

ha grub van, akkor a grub megfelelo soranak vegerol kiszeded az ubuntu altal oly imadott "quiet splash" szoveget es beilleszted a helyere az "init=/bin/bash" -t, mehet a single user modunak is akar. eredmenye egy frissaen pacolt root jogu bash.

( Csab | 2010. 02. 26., p – 14:57 )

Boot CD (valami értelmes nem sudo-s linuxszal):

- editáld meg az /etc/passwd-t, add hozzá a root-ot

root:*:0:0:root:/root:/bin/sh

Indítsd el a rendszer-t:
su

azt hadd szóljon root-ként.

Elég sok gépet törtem már fel ezzel a módszerrel.

MIUTÁN BEFEJEZTED A MUNKÁT ILLIK A ROOT JELSZÓT MEGVÁLTOZTATNI!!!!

:)

( agolon | 2010. 02. 26., p – 18:11 )

Azért ha fizikailag hozzáférsz a géphez (esetedben igen), akkor kb egy perc alatt meg lehet "törni" a root jelszót.
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

ugy szoktunk okoskodni, hogy cryptfs/dm_crypt eseten a szamitogep ket reszbol all, az egyik a vas, a masik a kulcs a fejedben (zsebedben/papiron). Hiszen mind a ketto kell mar csak a bootolashoz is. Igy okoskodva tovabbra is allithato, hogy a gephez valo teljes fizikai hozzaferes eseten nincs valodi vedelem.

Jopofak a lockolt hazak/intrusion detection hazak, a boot/bios jelszo, a grub/lilo jelszo, utana a userjelszo. Lehet neheziteni az admisztraciot vele, de azt megakadalyozni, hogy a penge 14 eves fiad ne nyomja fel a rendszert azalatt a 8 ora alatt, amig nem vagy otthon, ugy se lehet.

Cryptelt fs eseten is betehet egy olyan kernelt, amiben ismert exploit van, es mikor kenyelmesen hazaerve bekapcsolod, akkor nyomja meg halozatrol. Lehetni barmit lehet, a fizikai vedelemtol nem lehet eltekinteni.

a 'forgot root password' (majd) minden rendszer eseteben egy dokumentalt, a rendszer kezikonyveben leirt cselekededsorozat. Vagyis hogyan juss be a rendszerbe root jogosultsagokkal root jelszo nelkul. Azon alapul, hogy fizikailag hozzafersz a gephez. Tudod rebootolni. Adott esetben egy specialis network boot imagerol kell bootolni (brocade fc switch) vagy van rajta egy gomb, aminek megnyomasaval gyari allapotba all vissza az eszkoz. Ez nagy munka is lehet akar, ha a konfiguralas 20 ora, nem orulsz annak,ha elorol kell kezdeni ;-)
Pc/linux eseten is ujra kell bootolni. A boot soran 'init=/bin/sh' parametert kell adni a kernelnek, vagy live rendszerrol bootolni, vagy hasonlo (disztribfuggo). A lenyeg itt is a 'ujrabootolni, es boot soran mondani neki valamit'
Az ujrabootot nem tudod megakadalyozni. (de, crypted root fs) hiszen a hozzafer az illeto, akkor kihuzhatja a powerkabelt es visszadughatja. A boot soran a kernelparameter-valtoztatast meg tudod akadalyozni, ha a grub/lilo ehez jelszot ker. De akkor az illeto bootol cd-rol. Oks, a biosban letiltod a cd/pendrive/floppy bootot. Akkor meg az illeto atallithatja a biost. Akkor a biost jelszoval veded. Akkor meg az illeto szetszedi a gepet, es van benne egy kapcsolo, aminek atkapcsolasaval a bios elfelejti a jelszot.
Azok az eszkozokon, ahol ez a folyamat nincs dokumentalva, ott csak illuzio a vedelem: a fizikai hozzaferes mindenkeppen rootot jelent, legfeljebb te nem tudsz rola (de biztos lehetsz benne, hogy van olyan tamado, aki tudni fogja).

Aha. Tehát ezzel (nekem) semmi újat nem mondtál. Azt hittem, valami világmegváltó, trükkös dolog lesz. Hogy visszafejtem a passwd fájlból a jelszót vagy valami PAM-os dolog vagy mittomén.
De akkor már inkább kiszerelem a vinyó(ka)t, hazaviszem, és otthon nyugodtan tudom hekkelni, nem? Ha már úgyis szétkapom a gépet jó hekker módjára. Kalapácsot vagy bézbóllütőt ne vigyek? Biztos, ami biztos (ha visszatér bioszbizgerálás közben a gép tulaja)... :D

A legtöbb rendszeren működik, és standard, hogy valami livecd/netboot/etc megoldással felhozod a gépet, felhozod a root partíciót, chroot, passwd, és kész. Ezt nehezíti a titkosított fs, de azzal leginkább saját magát szopatja az ember; a biztonsága inkább csak vélt biztonság.
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

( flimo | 2010. 02. 27., szo – 21:59 )

Ehhez nem is kell törölni az admin jogot. Csak állítsd vissza a dátumot, és nem enged sudozni. Dátumot meg anélkül nem tudod megjavítani.

( traktor | 2010. 02. 27., szo – 23:11 )

Ez nagyabol az az eset mintha lenne root jelszo (debian) de elfelejtened. Kicsit persze szivas, de nem olyan nehez megoldani.

( BeR | 2010. 02. 28., v – 09:58 )

Azon gondolkoztam el, e sok remek - nem humornak szánom!!! - ide-oda hsz-t olvasva, hogy mennyi párhuzam van a számítógépünk használata és a lakásunk bejárati zára és kulcsa között. Valahogy nekem mindkettő fontos. Ha meg valami fontos, vigyázok rá. A helyzet viszont az, hogy emberből vagyunk: tévesztünk, hibázunk - és jó esetben tanulunk: vagy a saját, vagy más (megismert) hibáiból.

Lakás és egykori dipóm: kívülről nem volt kilincs, így ritkán zártuk belülről az ajtót, mert nem sokkal többet védett volna, mintha kulcs is kellett volna hozzá kimenni rajta, viszont nem egy esetleges gazembernek, hanem nekünk lett volna macerás: minden alkalommal. Sosem zártam a dipómat sem, viszont egyszer egy kis esernyő valahogy "lenyomta" a számzár kallantyúját. Fáradtan hazaérve, fel a negyedikre, a fontos mellékeshez igyekezve, nem nyílt a táska: szerencsém volt, félóra alatt bejutottam a táskába roncsolás nélkül, ezt még kibírtam és megúsztam: no ekkor fűrészeltem le a kallantyút...

Számítógépe(i)m: csak ott és akkor használok jelszót, ahol kell, így ezek itthon(!!!) nem kérnek jelszót... miért szívassam magamat? Adatok? Rengeteg eszköz van, ami segít biztonságosan tárolni: és másolatot csinálni... használni kell ezeket... ésszel: végül is ebben vagyunk(?) kicsit mások, mint a többi előlény, nem? ;-)

r=1: valahogy nem értem, hogy kinek mire jó ez a kategória...

ágálások, okoskodások, köpködések linuxra, m$-ra, bármire: előre visz ez bárkit is???

BeR
----------------
"Minthogy a természet beéri az egyszerűséggel, nincs köze a fölösleges dolgok hívságaihoz."

Nem a masolatokrol van szo. De amikor a nevedben rendelnek bankkartyat utana meg plazmatevet a te nevedre egy lakasfeltores utan, akkor nem fog vigasztalni a teny: vannak biztonsagos masolatok az adataidrol.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( petrospolinakis | 2010. 02. 28., v – 12:44 )

Naszóval, hasznos volt ez az egész, a következőket tanultam meg:

1. Ubuntu esetén nincs root. De azért lehetne valami beépített védelem arra vonatkozólag, hogy ne engedjen kizárni magamat a gépemből, ne engedje elvenni az utolsó adminjogú felhasználó adminjogait, ha root jelszó=undef. Főleg, mivel ezt a védelmet baromi egyszerű lenne beépíteni. Szerintem nem csak úgy tanulhatja meg valaki, hogy mit ne csináljon, ha konkrétan megszívja, bár egyesek kifejezetten örömmel néznék ezt.

Kb. olyan, kicsit sarkítva, mintha a kölköt hagynánk, hogy berohanjon az útra, mert majd jól elüti az autó, és akkor majd megtanulja, már ha életben marad, hogy legközelebb ne rohanjon be az útra. Különben is, baleseti sebész vagyok, nekem nem érdekem, hogy megelőzzük a bajt, hiszen ha nincs baleset, nem lesz munkám, elmehetek követ törni...

2. Igaz, ami igaz, sudo meg jelszóbekérés miatt persze saját magam kizárását véletlenül, csak klikkelgetéssel nem tudom megcsinálni, legalábbis nagyon kicsi a valószínűsége, hogy megnyitom a System/Administration/Users and Groups-ot, Unlock-olom, beírom a jelszót, és utána kiveszem a pipát a saját magam felhasználói jogainál az 'Administer the system' mellől, majd kijelentkezéssel az egészet lenyugtázom. Ezt leginkább csak készakarva tudom megcsinálni, de kísérletező kedvű, Linuxot Ubuntuval tanuló emberek "nézzük meg mi lesz, ha ezt megnyomom" alapon megszivathatják így magukat.

3. Kár, hogy egyszerű böngészőpluginek meg gstreamer-es codec-ek feltelepítését nem lehet csak user-szinten megoldani, mindenképp csomagot kell feltenni hozzá, amihez meg adminisztrátori jog kell. Jól gondolom-e?

4. Ha már kizártam magam, azért nem kell kétségbe esni, mert egyrészt van recovery mode, ahol single userként root jogokkal rendelkezem, másrészt grub-ból lehet root jogú shellt szerezni, de legvégső esetben valami live cd-vel és chroot-tal is megoldható. Én végül a "recovery mode"-ot választottam, majd

$ usermod -a -G admin xxxx

és ezzel xxxx felhasználó visszakerül az 'admin' group-ba, és alapból "sudoer" lesz, mert a /etc/sudoers-ben ez áll:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

5. Ha más hozzáférését meg akarom nehezíteni, és növelni szeretném a rendszer biztonságát, akkor
a., Védjem le jelszóval a grub-ot, illetve a recovery mode-ot vagy szedjem ki, vagy védjem jelszóval.
b., Adjak meg root jelszót, ha lehet.
c., Kapcsoljam ki a CD-ről bootolást, és védjem jelszóval a BIOS setup-ot.

"Ezt leginkább csak készakarva tudom megcsinálni, de kísérletező kedvű, Linuxot Ubuntuval tanuló emberek "nézzük meg mi lesz, ha ezt megnyomom" alapon megszivathatják így magukat."

Anno, mikor még új volt az Win XP, az ACL jogokkal szórakáztam, próbálgattam ahelyett, hogy utána olvasok. Az eredménye az volt, hogy egy nap alatt 4x telepítettem újra a vindózt, mert valahogy mindig rossz jogokat tagadtam meg saját magamtól. De szar a vindóz, hogy ezt engedte nekem

"5. Ha más hozzáférését meg akarom nehezíteni, és növelni szeretném a rendszer biztonságát, akkor
a., Védjem le jelszóval a grub-ot, illetve a recovery mode-ot vagy szedjem ki, vagy védjem jelszóval.
b., Adjak meg root jelszót, ha lehet.
c., Kapcsoljam ki a CD-ről bootolást, és védjem jelszóval a BIOS setup-ot."

Otthoni gépről ki a franc akarna adatokat lopni? Mellesleg c lépés tök felesleges, ha már eleve ott van a "betörő" a gép előtt.
Ha meg 100% védelemre törekszel, akkor a szobát is védened kell minden féle tekintetben (áramkimaradások, tűz, illetéktelen behatolások, stb.), ami otthonra megint csak felesleges

Ehhem, ehhem. Ha lehet, a felinformaciokat ne terjesszuk, legyszi. A root-nak ubuntu-ban (mint az feljebb kiderult) ujabban van jelszava, csak le van tiltva. De ez mindegy is, a recovery modban nem attol vagy jelszo nelkul a parancssorban, mert a root-nak nincs jelszava, hanem mert a rendszer enkomplette atugorja az authentikacios koroket, es rogton authorizal.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

"De azért lehetne valami beépített védelem arra vonatkozólag, hogy ne engedjen kizárni magamat a gépemből, ne engedje elvenni az utolsó adminjogú felhasználó adminjogait, ha root jelszó=undef. Főleg, mivel ezt a védelmet baromi egyszerű lenne beépíteni."
Ha meg benne lenne egy ilyen védelem, akkor meg az lenne a baj, hogy miért tudja jobban a gép, hogy mit akarok én. Ha harakiri, akkor harakiri... Pl. olyan indokkal lehetne egy ilyen harakirit végrehajtani, ha anyukának, apukának szánod a gépet, aki r=0.000001, és csak netezni meg zenét hallgatni, meg ilyesmit szeretne. Feltelepítesz mindent, egy gyors önmegsemmisítés, és így apuka-anyuka még véletlenül se tudja elcseszerinteni a gépet... :D Látod-látod, az ubuntu készítői erre is gondoltak ;)

( Vladi | 2010. 03. 02., k – 17:24 )

Közepesen. Single userben idnítod - ha jól tudom ez itt a karbantartó mód vagy mi - utána a usered visszateszed a megfelelő csoportba. Kész.

>>: sys-admin.hu :<<

( uid_4263 v | 2010. 03. 02., k – 22:07 )

livecd alól mountold a rootfs -t, aztán let the hack begin

********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu

( bitvadasz | 2010. 06. 28., h – 17:42 )

Most - elérkezvén a hajas fésűhöz a levesben -
és végigolvasva (legalábbis azt hiszem) itt ezt az egészet: 


$ sudo passwd root

innen megokosodva

( Nextra | 2010. 06. 28., h – 17:46 )

Ne aggódj, én már megszívattam magam így. Szvsz úgy hülyeség ahogy van ez a sudozás az Ubuntuban.

Ubuntu az egyeltlen rendszer, ahol kell initrd, mert egyebkent kerne a root jelszot asszem a rendszer, es az initrd magiazik valamit, hogy megse kelljen. Mivel alapvetoen nem uzemeltetek ilyen szervereket, igy ezt melyebben nem tudom, hogy pontosan hogy mukodik.

Es persze, igazad van, de azert van kulonbseg. Az init=/bin/bash nem mindig a legjobb megoldas.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

En a sudo-zasnak r=1 eseteben ott latom ertelmet hogy pl: apt-get install ssh, telepul, es default PermitRootLogin yes viszont nincs root user akkor valamivel nagyobb a biztonsag. Ilyen es hasonlo helyzetekben jo a sudo. Amugy engem a sudo su - is kielegit, vagy epp a timeout ami alatt a sudo nem ker ujra jelszot. Indulasbol tetszett, es nem tartom hulyesegnek csak kicsit masabb mint mashol.
--
The worst or stupidest ideas are always the most popular.

( pinyo_villany | 2010. 06. 29., k – 15:37 )

felbootolsz szerviz modban es kapsz root terminalt.... ha meg nem valtoztattak rajta, ha meg nem igy van, akkor meg ott az init=foobarbaz megoldas is :P
___
info

( bitvadasz | 2010. 06. 29., k – 18:52 )

valami livecd/usb-ről az /etc/passwd-ben 

userone:x:1000:1000:legal,name,,:/home/userone:/bin/bash

sor elejét átírod: 

userone::1000:1000:legal,name,,:/home/userone:/bin/bash

és akkor nincs jelszavad, aztán: 

$ sudo passwd root
...

utána:

$ sudo passwd root
...
$ su -
Passwd:
# passwd userone
...
# logout
$ örül

Szerk.

Isten bizony, legközelebb először a dátumot nézem meg!!!!