Root-Rechte ohne Passwort?
Hallo Liste, wollte heute mal einen fsck-Check auf den Festplatten ausführen. Dann passierte bei mir (erneut nachvollziehbar) folgendes: Ich gab im Bootmanager Grub in die Befehlsoptionszeile init 1 ein und landete an einem Root-Prompt ohne irgendein Passwort eingegeben zu haben. Ich habe damit Zugriff auf sämtliche Befehle und Dateien. Kann das bitte mal jemand gegenchecken? Das kann doch wohl nicht wahr sein, oder? Ich verwende openSUSE 11.3 lg Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29.12.2010 14:25, schrieb Thomas Schirrmacher:
Hallo Liste,
wollte heute mal einen fsck-Check auf den Festplatten ausführen.
Dann passierte bei mir (erneut nachvollziehbar) folgendes:
Ich gab im Bootmanager Grub in die Befehlsoptionszeile
init 1
ein und landete an einem Root-Prompt ohne irgendein Passwort eingegeben zu haben. Ich habe damit Zugriff auf sämtliche Befehle und Dateien.
Kann das bitte mal jemand gegenchecken?
Das kann doch wohl nicht wahr sein, oder?
Ich habs jetzt nicht gecheckt. Zumindest früher musste man mal das root Passwort eingeben in dem Fall. Allerdings hast du genaugenommen sowieso keinen Zugriffsschutz, wenn jemand die Bootoptionen ändern kann (genaugenommen schon dann nicht, wenn jemand alternativ Booten kann). Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Das funktioniert auch mit der Option "init=/bin/bash" (einfach hinten anhängen). Da hat man dann auch gleich ne root-Konsole offen - und sogar ohne, dass irgendwelche Prozesse gestartet werden. Praktisch wenn man irgend nen Prozess vermurkst hat, so dass gar nichts mehr geht (also das System nicht mehr bis zu den Konsolen hoch fährt). "That's not a bug, it's a feature". Deshalb kann man den Grub ja auch mit nem Passwortschutz versehen. Grüße Am 29.12.2010 14:30, schrieb Wolfgang Rosenauer:
Am 29.12.2010 14:25, schrieb Thomas Schirrmacher:
Hallo Liste,
wollte heute mal einen fsck-Check auf den Festplatten ausführen.
Dann passierte bei mir (erneut nachvollziehbar) folgendes:
Ich gab im Bootmanager Grub in die Befehlsoptionszeile
init 1
ein und landete an einem Root-Prompt ohne irgendein Passwort eingegeben zu haben. Ich habe damit Zugriff auf sämtliche Befehle und Dateien.
Kann das bitte mal jemand gegenchecken?
Das kann doch wohl nicht wahr sein, oder?
Ich habs jetzt nicht gecheckt. Zumindest früher musste man mal das root Passwort eingeben in dem Fall. Allerdings hast du genaugenommen sowieso keinen Zugriffsschutz, wenn jemand die Bootoptionen ändern kann (genaugenommen schon dann nicht, wenn jemand alternativ Booten kann).
Wolfgang
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 29/12/10 13:25, Thomas Schirrmacher wrote:
[...] Das kann doch wohl nicht wahr sein, oder?
Was meinst Du, warum Server und andere wichtige Computer ueblicherweise hinter verschlossenen Tueren stehen? Wenn man physikalischen Zugriff auf ein System hat, kann man so gut wie alles machen. CU, Th. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29.12.2010 14:25, schrieb Thomas Schirrmacher:
Hallo Liste,
wollte heute mal einen fsck-Check auf den Festplatten ausführen.
Dann passierte bei mir (erneut nachvollziehbar) folgendes:
Ich gab im Bootmanager Grub in die Befehlsoptionszeile
init 1
ein und landete an einem Root-Prompt ohne irgendein Passwort eingegeben zu haben. Ich habe damit Zugriff auf sämtliche Befehle und Dateien.
Kann das bitte mal jemand gegenchecken?
Das kann doch wohl nicht wahr sein, oder?
Ich verwende openSUSE 11.3
lg Thomas
Geht ähnlich mit z.B einem Windows 2008 Server und ist ein notwendiges Feature. Es muß einen Weg geben in ein wuschiges System rein zu kommen. Wenn du das partout nicht willst muß du den physikalischen Zugriff auf das System unterbinden (gesicherter Raum). Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 29. Dezember 2010, 15:53:22 schrieb Ralf Prengel:
Geht ähnlich mit z.B einem Windows 2008 Server und ist ein notwendiges Feature. Es muß einen Weg geben in ein wuschiges System rein zu kommen. Wenn du das partout nicht willst muß du den physikalischen Zugriff auf das System unterbinden (gesicherter Raum).
Ja, schon klar. Allerdings würde man auch in das System reinkommen wenn statt des sofortigen Root-Prompt erst ne Passwortanfrage kommt. Für was betreibe ich den so ein Brimborium mit Benutzerrechten und strikter Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß init 1 eintippern brauch um auf die vollbusigen damen auf papas Rechner zugreifen zu können? Also mir war das heute neu; für alle anderen bisher offensichtlich nicht. Das liegt wahrscheinlich daran, dass ihr euch professionell mit den Systemen befasst. lg Thomas
Gruß Ralf Prengel Manager Customer Care Comline AG
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Und wie kommt man dann an root-Rechte (ohne externes Boot-Medium) wenn die Passwortabfrage zerstört ist (z.B. /etc/shadow überschrieben/gelöscht)? Damit da dann doch noch was zu machen ist gibt es diese Hintertür. Und wie gesagt, der Grub kann mit Passwörtern abgesichert werden. Man kann ohne die Eingabe eines Passworts die aufgelisteten Menüpunkte auswählen. Will man diese editieren (Taste e) ist ein Passwort nötig (glaube auf diese Ebene konnte man das Abstufen. Zumindest die Grub-Konsole selbst und einzelne Menüeinträge können mit Passwörtern geschützt werden). Dann sollten auch die privaten Bilder sicher sein :) Grüße Am 29.12.2010 16:33, schrieb Thomas Schirrmacher:
Am Mittwoch, 29. Dezember 2010, 15:53:22 schrieb Ralf Prengel:
Geht ähnlich mit z.B einem Windows 2008 Server und ist ein notwendiges Feature. Es muß einen Weg geben in ein wuschiges System rein zu kommen. Wenn du das partout nicht willst muß du den physikalischen Zugriff auf das System unterbinden (gesicherter Raum).
Ja, schon klar.
Allerdings würde man auch in das System reinkommen wenn statt des sofortigen Root-Prompt erst ne Passwortanfrage kommt.
Für was betreibe ich den so ein Brimborium mit Benutzerrechten und strikter Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß init 1 eintippern brauch um auf die vollbusigen damen auf papas Rechner zugreifen zu können?
Also mir war das heute neu; für alle anderen bisher offensichtlich nicht. Das liegt wahrscheinlich daran, dass ihr euch professionell mit den Systemen befasst.
lg Thomas
Gruß Ralf Prengel Manager Customer Care Comline AG
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 29.12.2010 16:33, schrieb Thomas Schirrmacher:
Also mir war das heute neu; für alle anderen bisher offensichtlich nicht. Das liegt wahrscheinlich daran, dass ihr euch professionell mit den Systemen befasst.
Ich schrieb ja bereits, dass früher da immer eine root Passwort Abfrage kam. Ich habs jetzt hier auch mit einer 11.3 nochmal getestet. Booten im runlevel 1 bringt mir immer noch diese Abfrage. Weiss also nicht, was genau bei dir passiert ist. Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Schirrmacher, Mittwoch 29 Dezember 2010:
Für was betreibe ich den so ein Brimborium mit Benutzerrechten und strikter Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß init 1 eintippern brauch um auf die vollbusigen damen auf papas Rechner zugreifen zu können?
Wenn ich auf einen Rechner physischen Zugriff habe, dann komme ich immer an die Daten dran. Zum Beispiel kann ich von CD booten, und mir dann die Bilder ansehen. Nur wenn ein Rechner geschützt im Schrank steht, und der Zugriff nur übers Netzwerk möglich ist, kannst Du das Ding einigermaßen kontrollieren. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, Dec 30, 2010 at 09:50:38AM +0100, Andre Tann wrote:
Thomas Schirrmacher, Mittwoch 29 Dezember 2010:
Für was betreibe ich den so ein Brimborium mit Benutzerrechten und strikter Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß init 1 eintippern brauch um auf die vollbusigen damen auf papas Rechner zugreifen zu können?
Wenn ich auf einen Rechner physischen Zugriff habe, dann komme ich immer an die Daten dran. Zum Beispiel kann ich von CD booten, und mir dann die Bilder ansehen.
Nur wenn ein Rechner geschützt im Schrank steht, und der Zugriff nur übers Netzwerk möglich ist, kannst Du das Ding einigermaßen kontrollieren.
Es gibt fuer sowas die Moeglichkeit BIOS und GRUB Passworte zu vergeben. Aber ja, ne finale Sache ist das nicht. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, 30 Dec 2010 10:00:47 +0100, Marcus Meissner wrote:
On Thu, Dec 30, 2010 at 09:50:38AM +0100, Andre Tann wrote:
Thomas Schirrmacher, Mittwoch 29 Dezember 2010:
Für was betreibe ich den so ein Brimborium mit Benutzerrechten und strikter Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß init 1 eintippern brauch um auf die vollbusigen damen auf papas Rechner zugreifen zu können?
Wenn ich auf einen Rechner physischen Zugriff habe, dann komme ich immer an die Daten dran. Zum Beispiel kann ich von CD booten, und mir dann die Bilder ansehen.
Nur wenn ein Rechner geschützt im Schrank steht, und der Zugriff nur übers Netzwerk möglich ist, kannst Du das Ding einigermaßen kontrollieren.
Es gibt fuer sowas die Moeglichkeit BIOS und GRUB Passworte zu vergeben.
Aber ja, ne finale Sache ist das nicht.
Bleibt noch die Vollverschlüsselung. -- Lutz Thuns openSUSE official member (lOtz1009) LXDE team -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 30. Dezember 2010, 18:04:03 schrieb Lutz Thuns:
On Thu, 30 Dec 2010 10:00:47 +0100, Marcus Meissner wrote:
On Thu, Dec 30, 2010 at 09:50:38AM +0100, Andre Tann wrote:
Thomas Schirrmacher, Mittwoch 29 Dezember 2010:
Für was betreibe ich den so ein Brimborium mit Benutzerrechten und
strikter
Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß
init 1
eintippern brauch um auf die vollbusigen damen auf papas Rechner
zugreifen
zu können?
Wenn ich auf einen Rechner physischen Zugriff habe, dann komme ich immer an die Daten dran. Zum Beispiel kann ich von CD booten, und mir dann die Bilder ansehen.
Nur wenn ein Rechner geschützt im Schrank steht, und der Zugriff nur übers Netzwerk möglich ist, kannst Du das Ding einigermaßen kontrollieren.
Es gibt fuer sowas die Moeglichkeit BIOS und GRUB Passworte zu vergeben.
Aber ja, ne finale Sache ist das nicht.
Bleibt noch die Vollverschlüsselung.
Da warst du wohl fast 6 Minuten schneller als ich. Gratulation und Grüße Felix
Am Donnerstag, 30. Dezember 2010, 18:00:47 schrieb Marcus Meissner:
On Thu, Dec 30, 2010 at 09:50:38AM +0100, Andre Tann wrote:
Thomas Schirrmacher, Mittwoch 29 Dezember 2010:
Für was betreibe ich den so ein Brimborium mit Benutzerrechten und strikter Trennung der administrativen Aufgaben, wenn jeder 6jährige bloß init 1 eintippern brauch um auf die vollbusigen damen auf papas Rechner zugreifen zu können?
Wenn ich auf einen Rechner physischen Zugriff habe, dann komme ich immer an die Daten dran. Zum Beispiel kann ich von CD booten, und mir dann die Bilder ansehen.
Nur wenn ein Rechner geschützt im Schrank steht, und der Zugriff nur übers Netzwerk möglich ist, kannst Du das Ding einigermaßen kontrollieren.
Es gibt fuer sowas die Moeglichkeit BIOS und GRUB Passworte zu vergeben.
Aber ja, ne finale Sache ist das nicht. Ich muss sagen, ich fühle mich mit meinen verschlüsselten Festplatten recht sicher. Ich weiß, dass jede Sicherung geknackt werden kann, aber so eine Verschlüsselung mit einem ordentlich Passwort ist doch recht aufwendig zu umgehen. Man könnte zB einen manipulierten Kernel auf die (notwendigerweise nicht verschlüsselte) boot-Partition spielen, der dann das Passwort aufzeichnet. Ein Freun hat deshalb seinen Kernel nicht auf dem Laptop, sonder auf einen USB- Stick, den er immer um den Hals trägt (aber man kann es auch übertreiben^^).
Und bei der Verschlüsselung hilft auch kein physischer Zugriff. Denn dabei will man nicht das Lesen, sondern das Verstehen der Bits verhindern. Liebe Grüße und einen guten Rutsch Felix
Felix Lemke, Donnerstag 30 Dezember 2010:
Ich muss sagen, ich fühle mich mit meinen verschlüsselten Festplatten recht sicher. Ich weiß, dass jede Sicherung geknackt werden kann, aber so eine Verschlüsselung mit einem ordentlich Passwort ist doch recht aufwendig zu umgehen.
Das sehe ich auch so, und mit meinem Laptop mache ich das auch. Denn wenn einem das Ding geklaut wird, dann sollen ja nicht auch noch die Daten kompromittiert sein.
Ein Freun hat deshalb seinen Kernel nicht auf dem Laptop, sonder auf einen USB- Stick, den er immer um den Hals trägt (aber man kann es auch übertreiben^^).
Das interessiert mich jetzt - sicherlich ergreift er diese Maßnahme nicht zum Spaß. Welche Anforderungen gibt es denn, daß so ein Verhalten die Antwort ist? Und wie reagiert die Kiste, wenn er den Stick abzieht, um mal pinkeln zu gehen? ;)
Und bei der Verschlüsselung hilft auch kein physischer Zugriff. Denn dabei will man nicht das Lesen, sondern das Verstehen der Bits verhindern.
Man sieht hier, was eigentlich sowieso klar ist: zuerst muß man sich klar werden, wovor man sich schützen will. Dann überlegt man, wie das am besten zu realisieren ist. Wenn Du immer super verschlüsselst, aber die Partition dauernd eingehängt ist und das Laptop ungesperrt herumsteht, dann bringt das alles nichts. Denke, wir sind uns ohnehin einig. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag 30 Dezember 2010 schrieb Andre Tann:
Felix Lemke, Donnerstag 30 Dezember 2010:
Ich muss sagen, ich fühle mich mit meinen verschlüsselten Festplatten recht sicher. Ich weiß, dass jede Sicherung geknackt werden kann, aber so eine Verschlüsselung mit einem ordentlich Passwort ist doch recht aufwendig zu umgehen.
Das sehe ich auch so, und mit meinem Laptop mache ich das auch. Denn wenn einem das Ding geklaut wird, dann sollen ja nicht auch noch die Daten kompromittiert sein.
Ein Freun hat deshalb seinen Kernel nicht auf dem Laptop, sonder auf einen USB- Stick, den er immer um den Hals trägt (aber man kann es auch übertreiben^^).
Das interessiert mich jetzt - sicherlich ergreift er diese Maßnahme nicht zum Spaß.
Das habe ich so ähnlich auch schonmal auf dem EeePC701 probiert, Auf einer 128MB-SD-Card war das gesamte /boot, der Rest dann auf der verschlüsselten SSD. Ob ich die Karte im laufenden Betrieb rausziehen konnte, weiß ich jetzt nicht mehr, vermutlich stört den Rechner aber ein plötzlich leeres /boot zur Laufzeit nicht so sehr.
Welche Anforderungen gibt es denn, daß so ein Verhalten die Antwort ist?
Das könnte er Dir vermutlich sagen, aber dann müßte er Dich töten! IMHO natürlich ;^)
Und wie reagiert die Kiste, wenn er den Stick abzieht, um mal pinkeln zu gehen? ;)
Wozu braucht ein Rechner den Kernel auf Datenträger, wenn er schon im Speicher liegt und läuft? Grüße, Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 30. Dezember 2010, 19:24:30 schrieb Andre Tann:
Felix Lemke, Donnerstag 30 Dezember 2010:
Ich muss sagen, ich fühle mich mit meinen verschlüsselten Festplatten recht sicher. Ich weiß, dass jede Sicherung geknackt werden kann, aber so eine Verschlüsselung mit einem ordentlich Passwort ist doch recht aufwendig zu umgehen.
Das sehe ich auch so, und mit meinem Laptop mache ich das auch. Denn wenn einem das Ding geklaut wird, dann sollen ja nicht auch noch die Daten kompromittiert sein.
Ein Freun hat deshalb seinen Kernel nicht auf dem Laptop, sonder auf einen USB- Stick, den er immer um den Hals trägt (aber man kann es auch übertreiben^^).
Das interessiert mich jetzt - sicherlich ergreift er diese Maßnahme nicht zum Spaß. Welche Anforderungen gibt es denn, daß so ein Verhalten die Antwort ist? Eigentlich ist es nur die ganz normale Paraneua, die einen ergreift, wenn man auf die regelemäßigen Treffen des Chaos Computer Clubs geht.^^
Und wie reagiert die Kiste, wenn er den Stick abzieht, um mal pinkeln zu gehen? ;) Sobald der Kernel geladen ist, kann man den USB-Stick abziehen, weil er nicht mehr gebraucht wird. Er braucht also nur solange stecken, bis der Kernel in den Arbeitsspeicher gewandert ist.
Und bei der Verschlüsselung hilft auch kein physischer Zugriff. Denn dabei will man nicht das Lesen, sondern das Verstehen der Bits verhindern.
Man sieht hier, was eigentlich sowieso klar ist: zuerst muß man sich klar werden, wovor man sich schützen will. Dann überlegt man, wie das am besten zu realisieren ist. Wenn Du immer super verschlüsselst, aber die Partition dauernd eingehängt ist und das Laptop ungesperrt herumsteht, dann bringt das alles nichts. Seit SUSE 11.3 klappt das Suspend to disk super, sodass man auch beim Aufwachen das Passwort eingeben muss. Deshalb sind die Festplatten nicht eingehängt, wenn ich nicht davor sitze.
Und die Verschlüsselung macht ja keine Umstände. Dank LVMs werden alle Partitionen mit der einmaligen Eingabe des Passwortes entschlüsselt (und nicht für jede Partition einzeln). Außerdem verzichte ich dafür auf das Anmelde- Passwort in meiner grafische Oberfläche (KDE). Ich nutze die Verschlüsselung also nach dem Motto: "Warum nicht."
Denke, wir sind uns ohnehin einig. Ja
Grüße Felix
Hallo zusammen, Felix Lemke meinte am Donnerstag, den 30.12.2010 um 11:53 Uhr wegen:Root-Rechte ohne Passwort?
Und die Verschlüsselung macht ja keine Umstände. Dank LVMs werden alle Partitionen mit der einmaligen Eingabe des Passwortes entschlüsselt (und nicht für jede Partition einzeln). Außerdem verzichte ich dafür auf das Anmelde- Passwort in meiner grafische Oberfläche (KDE). Ich nutze die Verschlüsselung also nach dem Motto: "Warum nicht."
Ich nutze LUKS und die Anmeldung via pam_mount und habe dabei dem (einzigen) User den Schlüsselkey als Passwort vergeben und root ein anderes. Welche Vorteile hat es, den Kernel auf USB Stick zu haben? Mir sind in letzter Zeit schon 2 Sticks kaputt gegangen, obwohl nur hin und wieder mal ein paar Bilder damit transportiert wurden. Muss man da ein Backup auf einem Reserve-Stick haben? -- Beste Grüße Christian Gut, das Audacious gerade von Peter Fox - Haus Am See spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 30.12.2010 13:32, schrieb Christian Meseberg:
Hallo zusammen,
Felix Lemke meinte am Donnerstag, den 30.12.2010 um 11:53 Uhr wegen:Root-Rechte ohne Passwort?
Und die Verschlüsselung macht ja keine Umstände. Dank LVMs werden alle Partitionen mit der einmaligen Eingabe des Passwortes entschlüsselt (und nicht für jede Partition einzeln). Außerdem verzichte ich dafür auf das Anmelde- Passwort in meiner grafische Oberfläche (KDE). Ich nutze die Verschlüsselung also nach dem Motto: "Warum nicht."
Ich nutze LUKS und die Anmeldung via pam_mount und habe dabei dem (einzigen) User den Schlüsselkey als Passwort vergeben und root ein anderes.
Welche Vorteile hat es, den Kernel auf USB Stick zu haben?
Mir sind in letzter Zeit schon 2 Sticks kaputt gegangen, obwohl nur hin und wieder mal ein paar Bilder damit transportiert wurden. Muss man da ein Backup auf einem Reserve-Stick haben?
Hallo zusammen, nach sich nun alle einig sind, wann wo wie man was verschlüsseln sollte, möchte ich versuchen, die ursprüngliche Frage des Threads zu beantworten. Das Ganze wird über die Datei /etc/inittab gesteuert. Dort steht, was bei den einzelnen Run-Leveln usw. gemacht wird. Beispiel für init 1: ... # what to do in single-user mode ls:S:wait:/etc/init.d/rc S ~~:S:respawn:/sbin/sulogin ... Spannend ist hier die Zeile mit /sbin/sulogin. Die bewirkt, dass das root-Passwort abgefragt wird. Grüße aus dem tief verschneiten Erzgebirge, Hendrik -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (12)
-
Andre Tann -
Christian Meseberg -
Estelmann, Christian -
Felix Lemke -
Hendrik Woltersdorf -
Lutz Thuns -
Marcus Meissner -
Peter Huyoff -
Ralf Prengel -
Thomas Hertweck -
Thomas Schirrmacher -
Wolfgang Rosenauer