Hi Liste, hier meine Frage: Wofür sind die ganzen Benutzer (über 30) die Suse nach einer normalen Installation angelegt hat? z.B. fixadm, fixlohn, fnet,games, gdm, informix,... Welche sind wofür?? Wo könnte ich da was nachlesen... Auf dem Rechner soll eine firewall eingerichtet werden, deswegen hätte ich gene gewußt welche ich aus Sicherheitsgründen löschen kann und welche nicht?! "deamon" zu löschen wäre wohl nich gut oder ;)? Könne mir da jemand einen Tipp geben? Vielen Dank im voraus!! Tö Stefan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Wofür sind die ganzen Benutzer (über 30) die Suse nach einer normalen Installation angelegt hat? z.B. fixadm, fixlohn, fnet,games, gdm, informix,...
Manche Benutzer sind keine "richtigen" Benutzer sondern werden nur von manchen Daemons benutzt um irgendwelche Arbeiten auszuführen. mfg Andi --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Andreas Schmidt wrote:
Manche Benutzer sind keine "richtigen" Benutzer sondern werden nur von manchen Daemons benutzt um irgendwelche Arbeiten auszuführen.
*ROFL* Den Satz muss man sich mal auf der Zunge zergehen lassen! :) SCNR Dominic --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Manche Benutzer sind keine "richtigen" Benutzer sondern werden nur von manchen Daemons benutzt um irgendwelche Arbeiten auszuführen.
*ROFL*
Den Satz muss man sich mal auf der Zunge zergehen lassen! :)
SCNR
Yo, ich war etwas in Eile und wollte halt was schreiben. Ich werde Besserung geloben ;-) Andi P.S.: Nobody is perfect ;-) --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Andreas Schmidt wrote:
Manche Benutzer sind keine "richtigen" Benutzer sondern werden nur von manchen Daemons benutzt um irgendwelche Arbeiten auszuführen.
*ROFL*
Den Satz muss man sich mal auf der Zunge zergehen lassen! :)
SCNR
Yo, ich war etwas in Eile und wollte halt was schreiben. Ich werde Besserung geloben ;-)
Hey! das war keine Kritik, falls Du das so verstanden hast. Ich habe in dem Satz halt spontan eine gewisse Doppeldeutigkeit entdeckt (wenn man nämlich mal 'Benutzer' und 'Daemons' wörtlich nimmt...) :-)) Salü, Dominic --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hey! das war keine Kritik, falls Du das so verstanden hast. Ich habe in dem Satz halt spontan eine gewisse Doppeldeutigkeit entdeckt (wenn man nämlich mal 'Benutzer' und 'Daemons' wörtlich nimmt...) :-))
... habe ich auch nicht als Kritik verstanden ;-) Andi --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, Mar 22, S. Grenda wrote:
Wofür sind die ganzen Benutzer (über 30) die Suse nach einer normalen Installation angelegt hat? z.B. fixadm, fixlohn, fnet,games, gdm, informix,...
Welche sind wofür?? Wo könnte ich da was nachlesen...
Auf dem Rechner soll eine firewall eingerichtet werden, deswegen hätte ich gene gewußt welche ich aus Sicherheitsgründen löschen kann und welche nicht?! "deamon" zu löschen wäre wohl nich gut oder ;)?
Die sind da damit es einfach losgehen kann wenn man ein entsprechendes Paket installiert. Schau mal in /etc/shadow, da steht kein Passwort drin -> es kann sich keiner einloggen mit dem User. Gruss Olaf -- $ man 1 current_release BUGS Users never read manuals... --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 22-Mar-00 Olaf Hering wrote:
On Wed, Mar 22, S. Grenda wrote:
Wofür sind die ganzen Benutzer (über 30) die Suse nach einer normalen Installation angelegt hat? z.B. fixadm, fixlohn, fnet,games, gdm, informix,...
Welche sind wofür?? Wo könnte ich da was nachlesen...
Auf dem Rechner soll eine firewall eingerichtet werden, deswegen hätte ich gene gewußt welche ich aus Sicherheitsgründen löschen kann und welche nicht?! "deamon" zu löschen wäre wohl nich gut oder ;)?
Die sind da damit es einfach losgehen kann wenn man ein entsprechendes Paket installiert.
In der rc.config stehen ja auch nicht all möglichen Einträge am Anfang drin, sondern erst, wenn man das entsprechende Packet installiert hat. Könnte man sowas mit den der /etc/passwd nicht auch machen? In /opt gibt es auch Verzeichnisse, die einfach nur leer sind? Wozu??? Hendrik Sattler --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Hendrik Sattler schrieb am 22.Mär.2000:
In der rc.config stehen ja auch nicht all möglichen Einträge am Anfang drin, sondern erst, wenn man das entsprechende Packet installiert hat. Könnte man sowas mit den der /etc/passwd nicht auch machen?
Was soll das bringen? Ist Dir die /etc/passwd zu dick, und nimmt Dir zuviel Plattenplatz weg, oder was? Jedes Rummfummeln in der /etc/passwd und /etc/shadow ist ein Sicherheitsrisiko. Ein Programm mehr, daß von einem Bösen Buben ausgehebelt werden könnte.
In /opt gibt es auch Verzeichnisse, die einfach nur leer sind? Wozu???
Warum nicht? So unübersichtlich ist /opt nun wirklich nicht. Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mit, Mär 22, 2000 at 03:54:17 +0100, Bernd Brodesser wrote:
* Hendrik Sattler schrieb am 22.Mär.2000:
In der rc.config stehen ja auch nicht all möglichen Einträge am Anfang drin, sondern erst, wenn man das entsprechende Packet installiert hat. Könnte man sowas mit den der /etc/passwd nicht auch machen?
Was soll das bringen? Ist Dir die /etc/passwd zu dick, und nimmt Dir zuviel Plattenplatz weg, oder was?
Jedes Rummfummeln in der /etc/passwd und /etc/shadow ist ein Sicherheitsrisiko. Ein Programm mehr, daß von einem Bösen Buben ausgehebelt werden könnte.
Sorry, _das_ verstehe ich nicht! Rumfummeln in diesen Dateien mit dem Ziel, Benutzer zu löschen kann doch nur die Sicherheit des Systems erhöhen! Jeder Benutzer weniger ist eine Möglichkeit weniger, z. B. über ein u. U. schwaches Passwort in das System zu kommen. Ob ich jetzt userdel aufrufe oder die entspr. Zeilen in passwd, group, shadow per Editor lösche und anschliessend das Home-Verzeichnis plattmache ist dabei IMHO total egal. Zur Frage, wie man erkennt was die Benutzer bedeuten: Feld 5 (Kommentar) in der /etc/passwd, da steht meist drin was der Benutzer soll. Jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Jan Trippler schrieb am 22.Mär.2000:
Sorry, _das_ verstehe ich nicht! Rumfummeln in diesen Dateien mit dem Ziel, Benutzer zu löschen kann doch nur die Sicherheit des Systems erhöhen! Jeder Benutzer weniger ist eine Möglichkeit weniger, z. B. über ein u. U. schwaches Passwort in das System zu kommen.
Es geht hier um Pseudobenutzer wie bin oder news. Mit denen kann man sich nicht einloggen. Egal welches der 2251799813685248 möglichen Passwörter auch wählt, es ist falsch. Was also soll ein solcher Pseudobenutzer an zusätzliche Unsicherheit bringen? Was anderes ist natürlich, wenn da im zweiten Feld von /etc/shadow was wesentlich anders steht als ein *. (x ist nichts wesentlich anderes ;))
Ob ich jetzt userdel aufrufe oder die entspr. Zeilen in passwd, group, shadow per Editor lösche und anschliessend das Home-Verzeichnis plattmache ist dabei IMHO total egal.
userdel ist eine potentielle Sicherheitslücke. Genau dann, wenn es fehlerhaft ist. Von Hand zu löschen ist natürlich eine noch größere Lücke. Wie schnell hat man sich vertippt und merkt es noch nicht mal. Und schon hat man einen zusätzlichen User angelegt. Evtl. sogar ohne Passwort. Aber je weniger Programme auf die /etc/shadow schreibend zugreifen, desto besser. Jedes Programm ist eine zusätzliche potentielle Sicherheitslücke.
Zur Frage, wie man erkennt was die Benutzer bedeuten: Feld 5 (Kommentar) in der /etc/passwd, da steht meist drin was der Benutzer soll.
Nur sind die auch nicht unbedingt erhellend. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mit, Mär 22, 2000 at 10:51:25 +0100, Bernd Brodesser wrote:
* Jan Trippler schrieb am 22.Mär.2000:
Sorry, _das_ verstehe ich nicht! Rumfummeln in diesen Dateien mit dem Ziel, Benutzer zu löschen kann doch nur die Sicherheit des Systems erhöhen! Jeder Benutzer weniger ist eine Möglichkeit weniger, z. B. über ein u. U. schwaches Passwort in das System zu kommen.
Es geht hier um Pseudobenutzer wie bin oder news. Mit denen kann man sich nicht einloggen. Egal welches der 2251799813685248 möglichen Passwörter auch wählt, es ist falsch.
Das habe ich anders verstanden. Die Frage galt doch wohl _allen_ in der passwd existierenden Benutzern. Und da habe ich auch bei mir immer eine ganze Latte (z. B. informix, lnx, postgres, ...), die z. B. DBMS-Admins sind und deren zugehörige Datenbanken mit Sicherheit nicht auf meinem System existieren!
Was also soll ein solcher Pseudobenutzer an zusätzliche Unsicherheit bringen?
Und was an zusätzlicher Unsicherheit soll der Benutzer bringen wenn er gelöscht ist?
userdel ist eine potentielle Sicherheitslücke. Genau dann, wenn es fehlerhaft ist.
_Jedes_ Programm ist ein potenzielle Sicherheitslücke. Zum Beispiel useradd noch viel mehr als userdel. Da muß es noch nicht mal fehlerhaft sein. Diese Argumentation hinkt.
Von Hand zu löschen ist natürlich eine noch größere Lücke. Wie schnell hat man sich vertippt und merkt es noch nicht mal.
Und schon hat man einen zusätzlichen User angelegt. Evtl. sogar ohne Passwort.
Wie soll das denn gehen? Da muß ich aber schon ziemlich groggy sein, wenn ich mich _so_ vertippe, dass ich statt einen User zu löschen einen _neuen_ anlege!
Aber je weniger Programme auf die /etc/shadow schreibend zugreifen, desto besser. Jedes Programm ist eine zusätzliche potentielle Sicherheitslücke.
Da sind wir uns einig. Da hilft z. B. das Löschen eines nicht benötigten Benutzers: Dann kann nämlich niemand per chpasswd oder passwd versuchen diesen Account zu knacken. Mit einem existierenden Account und ungültigem Passwort geht das! Eben mit dem Account games probiert (suse 6.2, kernel 2.2.10). Bevor Ihr alle versucht bei mir einzubrechen: Ich habe danach mit dem vi die /etc/shadow editiert und das Passwort wieder in einen * verwandelt ;-) Wenn man das machen will braucht man natürlich root-Rechte, aber ich würde dann einen *harmlosen* Account wie games nutzen um meine Aktivitäten auf dem System zu tarnen. Da fällt mir ein: Wenn ich das mit einem Benutzer mache der nach Kommunikation riecht (news, squid, wwwrun, ...) dann falle ich wahrscheinlich gar nicht mehr auf. Bevor hier Diskussionen darüber auftauchen, dass Derartiges ja per su - ... viel einfacher geht, wenn ich eh schon root-Rechte habe: Das stimmt. Aber mir geht es auch vorrangig darum, dass IMHO _immer_ gilt: Nur ein gelöschter Account ist ein sicherer Account! Die Praxis von SuSE, Logins auf Vorrat anzulegen gefällt mir absolut nicht.
Zur Frage, wie man erkennt was die Benutzer bedeuten: Feld 5 (Kommentar) in der /etc/passwd, da steht meist drin was der Benutzer soll.
Nur sind die auch nicht unbedingt erhellend.
Wenn da so steht: informix:...:Informix Database Admin:... oder named:...:Nameserver Daemon:... ist das nicht informativ? Hmm, hier lautet die Antwort wahrscheinlich: Geschmacks-Sache. Jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Bernd Brodesser schrieb am 22.Mär.2000:
Es geht hier um Pseudobenutzer wie bin oder news. Mit denen kann man sich nicht einloggen. Egal welches der 2251799813685248 möglichen Passwörter auch wählt, es ist falsch.
Sorry Leute, nicht nur der Satzbau ist falsch, <eg> sondern auch die Zahl. Es gibt 72057594037927936 verschiedene Passwörter. Ich habe mich doch glatt um einen Faktor 32 vertan. <veg> Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Stefan, On Mit, 22 Mär 2000, S. Grenda wrote:
Hi Liste,
Wofür sind die ganzen Benutzer (über 30) die Suse nach einer normalen Installation angelegt hat? z.B. fixadm, fixlohn, fnet,games, gdm, informix,...
Das sind zum größten Teil Systembenutzer, die von bestimmten Programmen genutzt werden. Z.B. läuft apache standardmäßig als "wwwrun". Informix sollte damit auch klar sein ;-) Die Benutzer wie "bin" "mail" "news" "ftp" und was weiß ich sollten aber da sein, die braucht das System IMHO.
Auf dem Rechner soll eine firewall eingerichtet werden, deswegen hätte ich gene gewußt welche ich aus Sicherheitsgründen löschen kann und welche nicht?! "deamon" zu löschen wäre wohl nich gut oder ;)?
Ichhab für alle benutzer außer "root" und mir die Shell /bin/false gesetzt (d.h. kein Einloggen möglich) und das Paßwort in der /etc/passwd auf x und in der /etc/shadow auf "*" gesetzt. Damit ist das Paßwort nicht "tippbar", d.h. es gibt kein Paßwort, das gültig ist. Damit sollten diese Benutzer weitestgehend gesichert sein. Achja, "/bin/false" muß auch in der /etc/shells eingetragen sein. Gruß, Sebastian -- "No worries." - Rincewind Sebastian Helms - mailto:sebastian@helms.sh (PGP available) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.myokay.net/faq/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Sebastian Helms schrieb am 22.Mär.2000:
Ichhab für alle benutzer außer "root" und mir die Shell /bin/false gesetzt (d.h. kein Einloggen möglich) und das Paßwort in der /etc/passwd auf x und in der /etc/shadow auf "*" gesetzt. Damit ist
Doppelt gemoppelt bringts nicht. Wenn in /etc/passwd was steht, wird /etc/shadow AFAIK gar nicht mehr ausgewertet. Wenn die Shell /bin/false ist, ist dann noch ein su bin oder so möglich? Damit kann man sich nämlich einiges erleichtern, wenn man mal darin rumfummelt. Dann braucht man nicht ständig ein chown zu machen.
das Paßwort nicht "tippbar", d.h. es gibt kein Paßwort, das gültig ist. Damit sollten diese Benutzer weitestgehend gesichert sein.
Was heist weitgehend? Wenn es nicht tippbar ist, so kann sich auch keiner darauf einloggen, es sei er ist schon vorher root. Aber dann ist es eh zu spät. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* S. Grenda schrieb am 22.Mär.2000:
hier meine Frage:
Wofür sind die ganzen Benutzer (über 30) die Suse nach einer normalen Installation angelegt hat? z.B. fixadm, fixlohn, fnet,games, gdm, informix,...
Welche sind wofür?? Wo könnte ich da was nachlesen...
Auf dem Rechner soll eine firewall eingerichtet werden, deswegen hätte ich gene gewußt welche ich aus Sicherheitsgründen löschen kann und welche nicht?! "deamon" zu löschen wäre wohl nich gut oder ;)?
Laß sie alle drin, Du ersparst Dir eine Menge Ärger. Man kann sich da nicht einloggen, da sie ein ungültiges Passwort haben. In der /etc/shadow steht da als verschlüsseltes Passwort ein "*", oder so was ähnliches. Das kann aber nicht vorkommen, da alle verschlüsselte 13 Zeichen lang sind und * kommt da auch nicht vor. (Nur Buchstaben, Zahlenen sowie . und /) Bernd -- Bitte die Etikette von Christian beachten: http://www.ndh.net/home/schult/ Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (8)
-
andi@suse.de -
B.Brodesser@online-club.de -
Dominic.XXX@t-online.de -
Jan.Trippler@t-online.de -
olh@suse.de -
sebastian@helms.sh -
stefan.grenda@ruhr-uni-bochum.de -
ubq7@rz.uni-karlsruhe.de