hallo, basierend auf suse linux 7.2 soll ein webserver eingerichtet werden. nun ist es bei suse üblich, allerhand "ballast" selbst bei wahl der minimalkonfiguration zu installieren. in /etc/passwd finden sich z.b. etliche user für softwarepakete, die ein webserver niemals braucht und die in der minimalkonfiguration auch überhaupt nicht installiert werden! die frage ist jetzt, welche der user entfernt werden können, ohne das system unbrauchbar zu machen. gruß, jens
* Jens Georg schrieb am 17.Jun.2001:
basierend auf suse linux 7.2 soll ein webserver eingerichtet werden. nun ist es bei suse üblich, allerhand "ballast" selbst bei wahl der minimalkonfiguration zu installieren. in /etc/passwd finden sich z.b. etliche user für softwarepakete, die ein webserver niemals braucht und die in der minimalkonfiguration auch überhaupt nicht installiert werden!
die frage ist jetzt, welche der user entfernt werden können, ohne das system unbrauchbar zu machen.
Keine Ahnung. Aber laß sie doch einfach drauf. Sie stören nicht. Keinerlei Resaurcenverbrauch, wenn man mal von den Einträgen in der /etc/passwd, /etc/shadow und /etc/group absieht. Aber das wird ja wohl zu verkraften sein. Es ist auch kein Sicherheitsrisiko, denn man kann nur zu einem solchen User werden, wenn man vorher root ist. Wenn aber ein Angreifer schon root ist, dann ist so wie so alles zu spät. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
On Sun, 17 Jun 2001 09:26:17 +0200, Bernd Brodesser wrote:
* Jens Georg schrieb am 17.Jun.2001:
basierend auf suse linux 7.2 soll ein webserver eingerichtet werden. nun ist es bei suse üblich, allerhand "ballast" selbst bei wahl der minimalkonfiguration zu installieren. in /etc/passwd finden sich z.b. etliche user für softwarepakete, die ein webserver niemals braucht und die in der minimalkonfiguration auch überhaupt nicht installiert werden!
die frage ist jetzt, welche der user entfernt werden können, ohne das system unbrauchbar zu machen.
Keine Ahnung. Aber laß sie doch einfach drauf. Sie stören nicht. Keinerlei Resaurcenverbrauch, wenn man mal von den Einträgen in der /etc/passwd, /etc/shadow und /etc/group absieht. Aber das wird ja wohl zu verkraften sein.
Es ist auch kein Sicherheitsrisiko, denn man kann nur zu einem solchen User werden, wenn man vorher root ist. Wenn aber ein Angreifer schon root ist, dann ist so wie so alles zu spät.
Wie kommst du denn auf den Trichter. Man muß ! nicht root sein um zum Beispiel der User adabas zu werden. Wenn ich das will werde ich als User brav nach einem Passwort gefragt. Ich muß zwar ein Passwort vergeben um mich einzuloggen, aber wer weiß ob man auch nicht so Unfug treiben kann. Ich würde jedensfalls nach der Devise vorgehen was ich nicht brauche runter damit egal Programme oder überflüssige User / Gruppeneinträge oder noch besser erst garnicht installieren anlegen. Und falls ich feststelle ich brauche ein bestimmtes Progamm dann kann ichs immer noch nachinstallieren. It's time to close windows !!! with best regards from Dortmund Matthias Popp 49-163-4289 455 PGP Public Key Fingerprint = 71 13 E9 4B 89 E5 88 6C 66 1D B8 E8 32 3A AE AB
* Matthias Popp schrieb am 17.Jun.2001:
On Sun, 17 Jun 2001 09:26:17 +0200, Bernd Brodesser wrote:
Es ist auch kein Sicherheitsrisiko, denn man kann nur zu einem solchen User werden, wenn man vorher root ist. Wenn aber ein Angreifer schon root ist, dann ist so wie so alles zu spät.
Wie kommst du denn auf den Trichter. Man muß ! nicht root sein um zum Beispiel der User adabas zu werden. Wenn ich das will werde ich als User brav nach einem Passwort gefragt. Ich muß zwar ein Passwort vergeben um mich einzuloggen, aber wer weiß ob man auch nicht so
Ja, wenn Du ein Paßwort vergibst, dann ja. Aber wer macht das schon. Von Adabas habe ich keine Ahnung, daher sage ich dazu auch nichts. Aber z.B gibt es ein User bin. Der hat kein Paßwort und sollte nie eins erhalten. Da steht in der /etc/shadow folgende Zeile: bin:*:8902:0:10000:::: Wichtig ist das * Das sollte nie geändert werden. Wenn man es doch tut, dann ist natürlich jedem Unsinn Tür und Tor eröffnet. Wenn man aber den * stehen läßt, könnte auch ein X oder sonstwas in der Art sein, dann kann sich keiner als bin einloggen, und es besteht somit auch kein Sicherheitsrisko. Einzige Möglichkeit bin zu werden ist als root su -u bin zu machen. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
Am Sonntag, 17. Juni 2001 01:31 schrieb Jens Georg:
hallo,
basierend auf suse linux 7.2 soll ein webserver eingerichtet werden. nun ist es bei suse üblich, allerhand "ballast" selbst bei wahl der minimalkonfiguration zu installieren. in /etc/passwd finden sich z.b. etliche user für softwarepakete, die ein webserver niemals braucht und die in der minimalkonfiguration auch überhaupt nicht installiert werden!
die frage ist jetzt, welche der user entfernt werden können, ohne das system unbrauchbar zu machen.
gruß, jens
Schau dir doch mal harden_suse an. Zu finden auf der homepage von Marc Heuse http://www.suse.de/~marc/ hth, Robert
participants (4)
-
B.Brodesser@t-online.de
-
Jens Georg
-
Matthias Popp
-
Robert Szentmihalyi