Hallo,
wenn ich auf meinem Rechner einige Nutzer anlegen will, habe ich z.B. die Moeglichkeit, fuer jeden Nutzer
useradd -m -d /home/gruppe/nutzer nutzer echo "nutzer:passwort" | chpasswd
durchzufuehren. Es ist auch kein Problem, das mit einem Script zu machen. Aber ich habe fuer einen kurzen Augenblick das Passwort im Klartext vorliegen. Ich kann auch chpasswd mit einer Datei fuettern, die paarweise nutzer:passwort beinhaltet.
Aber damit habe ich ja das selbe Problem. Die Manpage sagt, das File sollte geschuetzt sein, wenn es nicht verschluesselte Passworte enthaelt.
Dann gibt es noch die Moeglichkeit, mit der Option -e ein "encrypted password" zu setzen. Aber wie erfaehrt der neue User nun das Passwort, was er beim ersten Anmelden eingeben muss?
Ich wuerde gern dem User einen Zettel in die Hand druecken, auf dem Username & Passwort stehen. Wenn ich die Dateien in das Home- verzeichnis des root lege, dann ist das doch einigermaszen sicher?
Stefan
.
On Sat, Nov 30, 2002 at 09:55:51PM +0100, Stefan Lagotzki wrote:
Ich wuerde gern dem User einen Zettel in die Hand druecken, auf dem Username & Passwort stehen. Wenn ich die Dateien in das Home- verzeichnis des root lege, dann ist das doch einigermaszen sicher?
Kommt ganz drauf an mit welchen Rechten du /root versehen hast. chmod 700 sollte es dir erstmal sichern, gegen Nutzer die dein root-Passwort haben hilft das aber wenig. Du koenntest auch diese Textdatei verschluesseln (z.B. mit vi(m)-Kommando :X) und irgendwo zwischenspeichern um jene dann bei Bedarf wieder zu entschluesseln... naja nicht wirklich ne tolle Loesung ;).
Gruesse, Sebastian
Sebastian Roth wrote:
Kommt ganz drauf an mit welchen Rechten du /root versehen hast. chmod 700 sollte es dir erstmal sichern, gegen Nutzer die dein root-Passwort haben hilft das aber wenig.
Na gut, ich gehe davon aus, dass kein User mein Root-Passwort hat :-) Mittlerweile bin ich aber so weit, dass ich aus der Datei <nutzer.txt> beliebig viele Nutzer anlegen und auch wieder loeschen kann. Wenn ich mich auf die Integritaet dieser Datei verlassen kann, fuehle ich mich erst mal auf der sicheren Seite :-)
Stefan
.
On Sat, Nov 30, 2002 at 11:25:50PM +0100, Stefan Lagotzki wrote:
Sebastian Roth wrote:
Kommt ganz drauf an mit welchen Rechten du /root versehen hast. chmod 700 sollte es dir erstmal sichern, gegen Nutzer die dein root-Passwort haben hilft das aber wenig.
Na gut, ich gehe davon aus, dass kein User mein Root-Passwort hat :-)
Die ganze Überlegung ist sinnlos, denn wenn irgend jemand unberechtigt root-Zugang hat, hast Du ganz andere Probleme.
Eric
Am Samstag, 30. November 2002 22:41 schrieb Sebastian Roth:
On Sat, Nov 30, 2002 at 09:55:51PM +0100, Stefan Lagotzki wrote:
Ich wuerde gern dem User einen Zettel in die Hand druecken, auf dem Username & Passwort stehen. Wenn ich die Dateien in das Home- verzeichnis des root lege, dann ist das doch einigermaszen sicher?
Noch sicherer waehre es natuerlich, du wuerdest root neutralisieren und alles nur noch per "sudo" machen. Bei SunOS und BSD ist das zB moeglich und klappt auch. Die Frage ist, ob du ein System nach Sicherheitsstufe C1 bis B brauchst....
Resumee: sofern du alle nicht benoetingten Dienste deaktiviert hast und zb dein System auf CD kopierst und beides vergleichst (regelmaezsig) solltest du ein eigentlich sicheres System vor dir dann haben!
Gruss Carsten
On Mon, Dec 02, 2002 at 10:27:25AM +0100, Carsten-Uwe Werner wrote:
Noch sicherer waehre es natuerlich, du wuerdest root neutralisieren und alles nur noch per "sudo" machen. Bei SunOS und BSD ist das zB moeglich und klappt auch. Die Frage ist, ob du ein System nach Sicherheitsstufe C1 bis B brauchst....
Resumee: sofern du alle nicht benoetingten Dienste deaktiviert hast und zb dein System auf CD kopierst und beides vergleichst (regelmaezsig) solltest du ein eigentlich sicheres System vor dir dann haben!
Aufwand vs. Nutzen Es ging doch nur darum, ob es sicher ist, für einen Augenblick (wie immer der sich definiert) die Klartextpasswörter in /root/ abzulegen. Solange /root nur für (uid == 0) lesbar ist, ist er auf der sicheren Seite. Die Bemerkungen über unberechtige root-User kamen nur von Klugscheißern wie mir, die immer auf das Offensichtliche aufmerksam machen müssen. ;-)
Eric
Eric Schaefer wrote:
Es ging doch nur darum, ob es sicher ist, für einen Augenblick (wie immer der sich definiert) die Klartextpasswörter in /root/ abzulegen.
Na ja. Meine Frage ging auch in die Richtung, ob jemand aus der Prozessliste oder andersweitig herauslesen kann, welche Zeichenketten ich an 'chpasswd' uebergebe.
Solange /root nur für (uid == 0) lesbar ist, ist er auf der sicheren Seite. Die Bemerkungen über unberechtige root-User kamen nur von Klugscheißern wie mir, die immer auf das Offensichtliche aufmerksam machen müssen. ;-)
Nein, das war mir soweit schon klar, die Frage war eher rhetorisch. Aber kannst Du mir eventuell sagen, wie man bestimmt, wie viele Nutzer sich zur gleichen Zeit auf einem Linux-Rechner anmelden duerfen?
Stefan
.
On Mon, 02 Dec 2002 21:59:56 +0100, Stefan Lagotzki wrote:
Na ja. Meine Frage ging auch in die Richtung, ob jemand aus der Prozessliste oder andersweitig herauslesen kann, welche Zeichenketten ich an 'chpasswd' uebergebe.
Du wolltest: useradd -m -d /home/gruppe/nutzer nutzer echo "nutzer:passwort" | chpasswd
Wenn echo nicht shellintern ist sondern /bin/echo mit dem Passwort als Parameter aufgerufen wird, können andere per ps das Passwort lesen. Das ist lediglich vom Timing her "schwer". Die Pipe selbst sowie anderweitig verbogene FDs durch < > usw. sind hingegen kein Problem.
Nein, das war mir soweit schon klar, die Frage war eher rhetorisch. Aber kannst Du mir eventuell sagen, wie man bestimmt, wie viele Nutzer sich zur gleichen Zeit auf einem Linux-Rechner anmelden duerfen?
Dafür gibt es meines Wissens kein künstliches Limit. Wenn eine der nötigen Ressourcen (RAM, ttys oder sowas) alle ist, ist Schluß.
Wenn du /dev/pts/* nutzt, kannst du in der Kernelkonfig die maximale Anzahlt ttys angeben. Beim alten System mit /dev/tty?? kannst du Gerätedateien löschen um die Grenze runterzusetzenn ;-) Ansonsten gehts solange gut wie alle nötigen Ressourcen vorhanden sind.
Reinhard
Reinhard Foerster wrote: [Verwendung von 'echo' bei chpasswd]
Danke. Die Datei mit den Paaren Nutzer:Passwort geht per cat und pipe an chpasswd.
Stefan
.
On Mon, Dec 02, 2002 at 09:59:56PM +0100, Stefan Lagotzki wrote:
Eric Schaefer wrote:
Es ging doch nur darum, ob es sicher ist, für einen Augenblick (wie immer der sich definiert) die Klartextpasswörter in /root/ abzulegen.
Na ja. Meine Frage ging auch in die Richtung, ob jemand aus der Prozessliste oder andersweitig herauslesen kann, welche Zeichenketten ich an 'chpasswd' uebergebe.
root kann das. Sonst, keiner. Das selbe gilt für's Environment.
Solange /root nur für (uid == 0) lesbar ist, ist er auf der sicheren Seite. Die Bemerkungen über unberechtige root-User kamen nur von Klugscheißern wie mir, die immer auf das Offensichtliche aufmerksam machen müssen. ;-)
Nein, das war mir soweit schon klar, die Frage war eher rhetorisch. Aber kannst Du mir eventuell sagen, wie man bestimmt, wie viele Nutzer sich zur gleichen Zeit auf einem Linux-Rechner anmelden duerfen?
Durch ein Experiment? Je Nutzer mindestens ein Prozess. Also maximal etwas weniger als Du Platz in der Prozesstablette hast (ca 32000?).
Ich denke, es kommt drauf an, was sie machen...
Oder worauf läuft die Frage hinaus?
Heiko
Heiko Schlittermann wrote:
root kann das. Sonst, keiner. Das selbe gilt für's Environment.
Danke, das ist jetzt klar. Also kann zur gleichen Zeit noch jemand anders angemeldet sein.
Ich denke, es kommt drauf an, was sie machen...
Oder worauf läuft die Frage hinaus?
Einmal darauf, dass mich jemand gefragt hatte, wo denn die Grenzen bei Linux liegen - bei WinNT oder 2000 sind es ja die Lizenzen. Ich gehe mal davon aus, dass es bei Samba dann auch keine weiteren Probleme geben duerfte.
Und zum anderen wollte ich auch mal etlichen Usern die Moeglichkeit geben, sich an meinem Laptop anzumelden. Ich hab es jetzt hier einfach mal probiert und es funktionierte. Ich habe eine Datei mit Nutzern, gebe jedem ein Passwort und kann ihnen ja per Script z.B. noch bestimmte Rechte geben oder entziehen. Und mit etwas LaTeX oder a2ps kann ich jedem noch ein Blatt mit User-Name und Passwort ausdrucken. Und im Gegensatz sehe ich manchmal, wie sich die Windows-Admins damit abplagen, solche User wie SP01 bis SP40 von Hand anzulegen :-)
Stefan
.
On Sat, 30 Nov 2002 21:55:51 +0100, Stefan Lagotzki wrote:
Wenn ich die Dateien in das Home- verzeichnis des root lege, dann ist das doch einigermaszen sicher?
Ja klar. Wenn bei dir roots 600-Files nicht als sicher gelten, müßtest du dir auf dem Rechner um die Geheimhaltung von Nutzerpassworten sowieso keine Gedanken mehr machen.
Reinhard
lug-dd@mailman.schlittermann.de
-
Carsten-Uwe Werner -
Eric Schaefer -
Heiko Schlittermann -
Reinhard Foerster -
Sebastian Roth -
Stefan Lagotzki