© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Polytropon <freebsd(at)edvax.de> wrote:
> On Mon, 15 Jun 2015 18:20:23 +0200, Andreas Mueller wrote:
> > Allerdings hast du Recht. Total sicher kann man nie sein. Jedenfalls ist
> > der root Login über SSH deaktiviert (glaube dass es standardmäßig so
> > ist) und man hat auch keine nervige Logs.
>
> Richtig, das ist die Standardeinstellung. Die Empfehlung ist ja
> die Verwendung von su, sudo oder super. Ich glaube, es war OpenBSD,
> welches sogar lokal empfiehlt, "don't login as root, use su".
Das war schon die Empfehlung, lange bevor OpenBSD überhaupt
existierte. Es kann allerdings sein, dass OpenBSD diese
Policy per Default erzwingt. FreeBSD tut das nicht (siehe
die Einträge mit "secure" in /etc/ttys).
Man kann darüber streiten, wie sinnvoll das ist. Einen
Angreifer mit physikalischem Zugriff auf den Rechner hält
es im Normalfall nicht nennenswert auf, es sei denn, man
trifft eine Reihe weiterer, teils aufwendiger Maßnahmen.
So ein PC hat mehr potentielle Einfallstore, als die
meisten ahnen.
Sich zum Arbeiten als root einzuloggen, würde ich allein
schon aus Bequemlichkeit nicht machen. Wenn ich root-
Rechte brauche, verwende ich "su -m". Das hat den Vorteil,
dass man seine gewohnte Shell und seine gewohnte Umgebung
bekommt, egal welche Shell der User root in /etc/passwd hat.
Man sollte allerdings in seinem Shell-Profile eine Abfrage
haben, die bei root den Prompt so einstellt, dass er direkt
ins Auge fällt und einen daran erinnert, dass man jetzt
gerade mit root-Rechten unterwegs ist.
Zwischen der su-Shell und der normalen Benutzer-Shell kann
man jederzeit mit "suspend" und "fg" wechseln, so dass man
nicht ständig erneut das root-Passwort eingeben muss. (Es
gibt natürlich auch noch andere Möglichkeiten, z.B. per
screen(1), aber je weniger "fremde" Programme imvolviert
sind, umso besser).
Man sollte natürlich (1.) eine root-Shell nur für die Dinge
verwenden, für die sie wirklich benötigt wird, und (2.) eine
root-Shell nicht unnötig ständig im Hintergrund herumhängen
haben.
Last but not least: Für Standard-Aufgaben, die root-Rechte
benötigen, kann man sich auch kleine Programme oder Skripte
schreiben, denen man mit "sudo" oder "super" (mein Favorit)
root-Rechte verpasst. Dann braucht man dafür nicht jedesmal
eine root-Shell. Beim Schreiben der Programme bzw. Skripte
und der sudo-/super-Konfiguration sollte man natürlich wissen,
was man tut. Sonst bohrt man sich leicht Löcher ins System.
> Also _die_ Idee ist ja wirklich genial! Das kannte ich
> so noch gar nicht - Honeypot mal ander. Ich frage mich,
> was passiert, wenn man den "Hackern" (Anführungszeichen
> sind hier gerechtfertigt!) $PROMPTs vorlegt wie
>
> C:\DOS>_
>
> oder
>
> WELCOME TO THE AIR FORCE SYSTEM COMMAND-
> SPACE DIVISION VAX/VMS4.4
> $ _
Wie wäre es mit:
**** CBM BASIC V2 ****
3583 BYTES FREE
READY.
_
Oder das Spiel-Menü aus dem Kultfilm "Wargames":
LOGON: Joshua
GREETINGS PROFESSOR FALKEN.
SHALL WE PLAY A GAME?
Game List
TIC-TAC-TOE
FALKEN'S MAZE
BLACK JACK
GIN RUMMY
HEARTS
BRIDGE
CHECKERS
CHESS
POKER
FIGHTER COMBAT
GUERILLA ENGAGEMENT
DESERT WARFARE
AIR-TO-GROUND ACTIONS
THEATERWIDE TACTICAL WARFARE
THEATERWIDE BIOTOXIC AND CHEMICAL WARFARE
GLOBAL THERMONUCLEAR WAR
_
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Handelsregister: Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd "Share your knowledge. It is a way to achieve immortality." -- The Dalai Lama To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 25 Jun 2015 - 17:29:56 CEST