Antiqua schrieb:
2. Falls ich ungewollt ein Root Passwort gesetzt habe, wie kann ich das erkennen? Wie beseitigen?
einfach root-Passwort Beseitigen (s. sudo/Konfiguration (Abschnitt „Root-Anmeldung-untersagen“))
sudo passwd -l root # minus kleines L
wenn eines gesetzt war, ist es jetzt nicht mehr gesetzt, wenn eh keines gesetzt war, ist es jetzt auch nicht gesetzt 😉
Auweia, MAMA!
Das steht zwar (noch) so im Wiki, aber hat das mal jemand probiert? Ich ja, weil ich leztens Opensuse installiert hatte, und dort standardmäßig der root-Account benutzt wird, statt sudo, und ich das ändern wollte.
Wenn man
sudo passwd -l root
benutzt, dann wird damit der root Account deaktiviert. Falls du danach jemals in die Verlegenheit kommst, im Recovery-Modus in die root-Kommandozeile zu wollen, hast du dich damit erfolgreich ausgesperrt!. Dies ist auch in der man-page zu passwd so beschrieben. Mit diesem Kommando wird der Passwort-Hash, der zum kontrollieren des Passworts verwendet wird, in einen unmöglichen Wert verwandelt, so dass ein Login unmöglich wird.
Du kannst also mal dein System im Recovery-Modus starten, und dort in "zur root Befehlszeile (shell) wechseln". Wenn keine Passwort gesetzt ist, wirst du aufgefordert, 'enter' zu drücken, um in die shell zu gelangen, wenn eines gesetzt ist, wirst du zur Passworteingabe aufgefordert.
Wenn du weißt, welches Passwort für root in Frage kommt, dann kannst du mit
su root
versuchen, dich als root anzumelden. Ich habe jetzt mal ein passwort für root gesetzt und mich danach damit angemeldet:
sda5:~$ sudo passwd root
[sudo] password for lionlizard:
Geben Sie ein neues UNIX-Passwort ein:
Geben Sie das neue UNIX-Passwort erneut ein:
passwd: Passwort erfolgreich geändert
sda5:~$ su root
Passwort:
root@sda5:/home/lionlizard# exit
exit
Jetzt habe ich absichtlich ein falsches Passwort eingegeben:
sda5:~$ su root
Passwort:
su: Fehler bei Authentifizierung
Die gleiche Meldung erhältst du aber auch, wenn gar kein Passwort gesetzt ist. Jetzt habe ich das Passwort füt root wieder gelöscht:
sda5:~$ sudo passwd -d root
passwd: Passwortablauf-Informationen geändert.
sda5:~$
Auf der Kommandozeile ist also nicht einduetig zu erkennen, ob das Konto deaktiviert oder ein falsches Passwort benutzt wurde.
Du solltest also sicherheitshalber einfach das root-Passwort mit
sudo passwd -d root
löschen. Damit kann man sich an dein System nur dann als root - ohne Passwort - anmelden, wenn man den Recovery-Modus startet. Im laufenden System ist das Anmelden als root hingegen nich möglich, weil root kein Passwort hat. Die Idee, dass man sein System sicherer macht, indem man den root Zugang sperrt, führt übrigens in die Irre. Man kann sich dann zwar nicht als root anmelden, aber wenn man physikalischen Zugang zum Rechner hat, kann man ein Live-System starten, und damit von außen jederzeit auf die Daten zugreifen. Hier würde nur eine Verschlüsselung des Systems helfen.
Falls du übrigens ein Konto mit
passwd -l
deaktiviert hast, so kannst du es mit
passwd -u
wieder aktivieren.
Edit: Wenn der root account kein Passwort hat, dann kann man sich im Recovery-Modus auch anmelden, wenn der account gesperrt ist. Außerdem kannst du auf der Kommandozeile mittels
sudo passwd -S root
sehen, ob ein Passwort für root gesetzt ist
lion@lizard-sda5:~$ sudo passwd -S root
[sudo] password for stepfahn:
root NP 04/22/2014 0 99999 7 -1
lion@lizard-sda5:~$ sudo passwd root
Geben Sie ein neues UNIX-Passwort ein:
Geben Sie das neue UNIX-Passwort erneut ein:
passwd: Passwort erfolgreich geändert
lion@lizard-sda5:~$ sudo passwd -S root
root P 04/22/2014 0 99999 7 -1
lion@lizard-sda5:~$ sudo passwd -l root
passwd: Passwortablauf-Informationen geändert.
lion@lizard-sda5:~$ sudo passwd -S root
root L 04/22/2014 0 99999 7 -1
Die zweite Spalte gibt Auskunft über das Passwort.
lion@lizard-sda5:~$ sudo passwd -d root
passwd: Passwortablauf-Informationen geändert.
lion@lizard-sda5:~$ sudo passwd -S root
root NP 04/22/2014 0 99999 7 -1
lion@lizard-sda5:~$ sudo passwd -l root
passwd: Passwortablauf-Informationen geändert.
lion@lizard-sda5:~$ sudo passwd -S root
root L 04/22/2014 0 99999 7 -1
lion@lizard-sda5:~$ sudo passwd -u root
passwd: Das Passwort zu entsperren würde zu einem Benutzerzugang ohne
Passwort führen. Sie sollten mit usermod -p ein Passwort setzen, um das
Passwort für diesen Benutzerzugang zu entsperren.
lion@lizard-sda5:~$
Wenn man versucht ein Konto ohne Passwort zu entsperren, so ist dies nicht möglich, man erhält eine Fehlermeldung. Stattdessen wird das Konto entsperrt, indem man wieder ein Passwort setzt, oder das Passwort löscht.