# Keine Root-Anmeldung mehr möglich



## Bombi (15. Januar 2004)

Hallo erstmal,

habe ein kleines Problem mit Suse Linux Professional 9.0 !
Seit einiger Zeit kann ich mich nicht mehr als root anmelden.
Es erscheint dann nämlich folgende Meldung:
"Anmeldung als Benutzer Root nicht zulässig"

Wenn ich mich jetzt aber als normalen Benutzer anmelde, dann
kann ich mir in der Konsole mit dem Befehl "su" die Root-Rechte
ohne Probleme holen.

Also meine Frage an die Profis:
Was kann dafür sorgen, daß keine Root-Anmeldung mehr möglich ist ?

Ich bin übrigens Linux-Anfänger (ca.3/4 Jahr) und kann mit irgendwelchen komplizierten Lösungen vermutlich nix anfangen. Also bitte helft mir, aber möglichst einfach 

Danke

Bombi


----------



## Ben Ben (15. Januar 2004)

hmm das kenn ich nur noch von früher,
dass ich mich remote per Telnet nicht 
also root anmelden konnte.... oder sitzt
du direkt an der Konsole?


----------



## Thomas Kuse (15. Januar 2004)

Du meldest Dich als root unter KDE an?
Oder meinst Du die Console?

Bei KDE gibt es eine nette Config:  /etc/opt/kde3/share/config/kdm/kdmrc
Vielleicht ist die bei Dir nicht in Ordnung?
Da gibt es eine Variable AllowRootLogin schau mal dort nach!

Ansonsten poste doch mal die Config!


----------



## Christian Fein (15. Januar 2004)

Ich gehe davon aus das du per SSH dich anmeldest. 
Dann lass das so, das du dich nur per User anmelden und dann über SU zu root wirst. Sollte so oder so durchgeführt werden, niemals direkt als root anmelden. 

Hat dein Hoster wohl aus Sicherheitsgründen so konfiguriert, und er hat recht damit.


----------



## Bombi (15. Januar 2004)

*Danke Problem gelöst !*

Vielen Dank an alle !

PROBLEM gelöst    ;-)    

Der Tip von Thomas Kuse hat den Fehler schon behoben !
In meiner Datei stand nämlich:

AllowRootLogin=False

Obwohl ich bis heute nicht weiß, warum sich das geändert hat.
Denn vorher konnte mich immer ohne Probleme anmelden und dann
von einen Tag auf den anderen ging es nicht mehr. Vielleicht
liegt es daran, daß ich den Rechner einmal ausschalten musste
ohne zu booten 

Also nochmal DANKE an ALLE

Ihr seid die Besten


----------



## Thomas Kuse (15. Januar 2004)

Meinte er denn einen Root-Server und SSH? 

@bombi: Hättest ja auch mal ein bisschen mehr Informationen als nur "kann mich nicht anmelden" geben können. Eigentlich wissen wir gar nicht wo Du Dich anmelden willst. 

[edit]Mensch bin ich wieder langsam gewesen [/edit]


----------



## Bombi (15. Januar 2004)

Also ehrlich gesagt, bin ich wohl doch noch ein blutiger Anfänger !
Ich weiss nämlich nicht was mit SSH gemeint ist.

Um nochmal kurz die Situation zu erklären:
Ich sitze hier vor einem Web-Server und wenn ich diesen
neu boote dann kommt irgendwann eine "grafische Anmeldung".
Dann muss ich den Benutzer eingeben, um dann KDE zu starten.
Und mit dem Benutzer "root" funktionierte das nicht mehr.
Ich hoffe ich hab' es so erklärt, daß auch Profis eine genaue
Vorstellung von dem Problem haben.

Aber jetzt funktioniert ja alles wieder !


----------



## Christian Fein (15. Januar 2004)

> _Original geschrieben von Bombi _
> *Also ehrlich gesagt, bin ich wohl doch noch ein blutiger Anfänger !
> Ich weiss nämlich nicht was mit SSH gemeint ist.
> 
> ...



Mach das nicht. Melde dich nicht mit Root bei KDE an. Melde dich 
niemals mit root an.


----------



## Ben Ben (15. Januar 2004)

aber was macht es für einen unterschieid bei einem ssh
login, ob ich mich gleich als root anmelde oder erst als normaler
user und dann als root?


----------



## Neurodeamon (15. Januar 2004)

> _Original geschrieben von Ben Ben _
> *aber was macht es für einen unterschieid bei einem ssh
> login, ob ich mich gleich als root anmelde oder erst als normaler
> user und dann als root? *



Ganz einfach: Für Dich keinen ausser minimal Zeit und Aufwand. Für einen Hacker wird es schon einen Unterschied machen, wenn er Root-Zugrif erlangen will und nicht per Brute-Force den Root-Account  gleich Online übernimmt. Es ist immer besser einen "ICH KANN ALLES ACCOUNT" nicht direkt aufrufbar zu machen, sondern nur die normalen Benutzer. Es gibt SU und SUDO, falls man mal Superuser-Rechte braucht.

Es ist nur eine frage der Sicherheit. Du kannst das handhaben wie Du willst. Aber heul bei Problemen nicht denen die Ohren voll, die Dich gewarnt haben 


Ausserdem meldest Du dich nicht als ROOT ein, nachdem Du als normaler User eingeloggt bist, sondern holst Dir kurzfristig alle nötigen Rechte.


----------



## Sway (16. Januar 2004)

Gründe um sich *kurzfristig* als Root anzumelden sind meisst:

- Installation von Programmen
- Änderung von Systemconfigs
- beim aufruf von Configprogrammen (z.B.YAST  oder synaptic  )


Man muss sich auch nie als Root in eine Grafische Oberfläche einloggen. 
Das machst du per Konsole oder beim Aufruf von Programmen, aber um 
himmelswillen, NIE als root in die Grafische Oberfläche !


----------



## JohannesR (16. Januar 2004)

> _Original geschrieben von Sway _
> *Gründe um sich kurzfristig als Root anzumelden sind meisst:
> 
> - Installation von Programmen
> ...



100% ACK! Damit umgeht man das gesamte Sicherheitskonzept von Linux und kann gleich Windows benutzen! Da meldet man sich ja auch immer als Admin an...


----------



## Frumpy (17. Januar 2004)

Bei den Servern die ich administriere (Debian GNU Linux R301) ist es auch so eingestellt das man sich per Remotezugriff nicht als root anmelden kann. Die Anmeldung dort ist nur per User möglich. Wenn man dann Adminzugriff benötigt kann man sich ja als SU verifizieren. Das ist zwar umständlich aber sicherer...... Weil Hacker so nicht ganz so leicht vollen zugriff bekommen.

MFG Frumpy


----------



## JohannesR (17. Januar 2004)

Auf den Servern, die ich kennengelernt habe, gibt es keine Useraccounts, mit denen man sich einloggen könnte, nur den Root-Account. Was anderes macht man auf den Servern ja auch nicht, nur administrieren, und das nunmal als root.


----------



## Neurodeamon (17. Januar 2004)

> _Original geschrieben von Johannes Röttger _
> *Auf den Servern, die ich kennengelernt habe, gibt es keine Useraccounts, mit denen man sich einloggen könnte, nur den Root-Account.*


Gibt es eigentlich eine Linux Distribution die bei der Installation KEINEN Normalen User verlangt/einrichtet? Ich glaube kaum, ausser vielleicht bei exoten 



> Was anderes macht man auf den Servern ja auch nicht, nur administrieren, und das nunmal als root.


Eben nicht. Dazu gibt es SU und SUDO. Man "administriert" etwas, und verlässt den Modus wieder.

Der Sinn ist doch Sicherheit, wozu dann Linux verwenden wenn man sowieso keine Sicherheitsrichtlinien einhält? Kann man ja gleich Windows benutzen ...
Sicher, zu Hause spielt das wohl eine kleine Rolle mit dem Root-Account. Aber bei einem Webserver ist mehr Sicherheit wichtig. Oder lässt Du auch noch alle Deine Anwendungen mit ROOT-Rechten laufen? Sehr warscheinlich, wenn Du immer als ROOT eingeloggt bist ...?
Was sollte man tunlichst vermeiden? Programme als ROOT ausführen, wenn es nicht wirklich nötig ist!

Wie gesagt, jedem wie er will. Gute Ratschläge kann man auch in den Wind schlagen


----------



## JohannesR (17. Januar 2004)

Neurodeamon hat gesagt.:
			
		

> Gibt es eigentlich eine Linux Distribution die bei der Installation KEINEN Normalen User verlangt/einrichtet? Ich glaube kaum, ausser vielleicht bei exoten


Es wird vorgeschlagen, ist aber nicht erforderlich!



			
				Neurodeamon hat gesagt.:
			
		

> Eben nicht. Dazu gibt es SU und SUDO. Man "administriert" etwas, und verlässt den Modus wieder.


Sorry, das ist falsch! Auf einem System, auf dem keine Loginshells existieren kann man kein su oder sudo benutzen (logischerweise). Die Dienste laufen auf einer chroot-Umgebung, die User für ewaige Dienste (www für den Apache etc.) haben als Loginshell /bin/false. Nur Root hat eine Shell.



			
				Neurodeamon hat gesagt.:
			
		

> Sicher, zu Hause spielt das wohl eine kleine Rolle mit dem Root-Account. Aber bei einem Webserver ist mehr Sicherheit wichtig. Oder lässt Du auch noch alle Deine Anwendungen mit ROOT-Rechten laufen? Sehr warscheinlich, wenn Du immer als ROOT eingeloggt bist ...?


Natürlich ist die Sicherheit auf einem Webserver wichtig, deshalb sage ich ja, dass man nicht mehr Nutzeraccounts als unbedingt nötig einrichten sollte. Im Bestfall also keinen, auf dem man sich einloggen kann. (root ist kein user)



			
				Neurodeamon hat gesagt.:
			
		

> Was sollte man tunlichst vermeiden? Programme als ROOT ausführen, wenn es nicht wirklich nötig ist!


Fein erkannt.



			
				Neurodeamon hat gesagt.:
			
		

> Wie gesagt, jedem wie er will. Gute Ratschläge kann man auch in den Wind schlagen


Auch richtig.
So gibt es jetzt mind. 2 mögliche Angriffspunkte: Der Root-Account und der User-Account. Feine Sache!


----------



## Neurodeamon (18. Januar 2004)

> _Original geschrieben von Johannes Röttger _
> *Sorry, das ist falsch! Auf einem System, auf dem keine Loginshells existieren kann man kein su oder sudo benutzen (logischerweise). Die Dienste laufen auf einer chroot-Umgebung, die User für ewaige Dienste (www für den Apache etc.) haben als Loginshell /bin/false. Nur Root hat eine Shell.
> Auch richtig.
> So gibt es jetzt mind. 2 mögliche Angriffspunkte: Der Root-Account und der User-Account. Feine Sache! *



Okay, stimmt. Man KANN es so machen, ich gebe mich in diesem Punkt geschlagen *g* 
Ich glaube wir vertiefen uns hier in eine Grundsatzdiskussion bei der mehrere Wege möglich sind.  Aber ... 



> *So gibt es jetzt mind. 2 mögliche Angriffspunkte: Der Root-Account und der User-Account. Feine Sache! *


*Knackpunkt*
Was ist eher das Ziel: Der Root-Account oder ein User-Account?
Doch wohl eher der Root-Account!

Wenn jetzt Root KEINE eigene Shell besitzt kann jemand der es ins System geschafft hat dennoch nicht ALLES, sondern besitzt nur die normalen Userrechte. Ein Root-Account mit Shell würde gleich alles offenlegen.

So und als Fetischist:
Zugang zur Shell nur über SSH2 und  dann tunneln wir das ganze noch zusätzlich und schon hat ein Angreifer mehr Hürden zu nehmen als sonst ;-)


----------



## JohannesR (18. Januar 2004)

> _Original geschrieben von Neurodeamon _
> *Knackpunkt
> Was ist eher das Ziel: Der Root-Account oder ein User-Account?
> Doch wohl eher der Root-Account!*


Das kommt auf das Ziel des Hacks an, wenn es nur darum geht, Spam zu verschicken, würde ich die Useraccounts des Mailsystems kompromitieren. Das kann man jetzt übertragen auf den Webserver, den Fileserver, den Datenbankserver...
Der Root-Account ist natürlich ultimativ, aber meistens/hoffentlich zu gut gesichert.



> _Original geschrieben von Neurodeamon _
> *Wenn jetzt Root KEINE eigene Shell besitzt kann jemand der es ins System geschafft hat dennoch nicht ALLES, sondern besitzt nur die normalen Userrechte. Ein Root-Account mit Shell würde gleich alles offenlegen.*


Das ist richtig, nur reichen, wie oben gesagt, meist schon die normalen Userrechte.


----------

