RootForum Community

Möchte mein Redhat System mehr sicherheit geben und habe gelesen man sollte jedes software und user der nicht gebraucht wird deinstallieren, also das system auf das minimum reduzieren.


Habt ihr /etc/passwd /etc/group bei euch verändert???
Standartmässig sieht /etc/passwd ja so aus:

root0:0:root:/root:/bin/bash
bin1:1:bin:/bin:
daemon2:2:daemon:/sbin:
adm3:4:adm:/var/adm:
lp4:7:lp:/var/spool/lpd:
sync5:0:sync:/sbin:/bin/sync
shutdown6:11:shutdown:/sbin:/sbin/shutdown
halt7:0:halt:/sbin:/sbin/halt
mail8:12:mail:/var/spool/mail:
news9:13:news:/var/spool/news:
uucp10:14:uucp:/var/spool/uucp:
operator11:0:operator:/root:
games12games:/usr/games:
gopher13:30:gopher:/usr/lib/gopher-data:
ftp14:50:FTP User:/home/ftp:
man15:15:Manuals Owner:/:
majordom16:16:Majordomo:/:/bin/false
postgres17:17:Postgres User:/home/postgres:/bin/bash
nobody65534:65534:Nobody:/:/bin/false

benutzer wie news,games,gopher,lp brauch ich doch nicht oder?

Möchte "root" durch "admin" ersetzen, kann ich da einfach einen admin hinzufügen und root die shell verweigern?
admin21:0::/home/admin:/bin/bash
root0:0:root:/root:/sbin/nologin

Wieso macht ihr euch alle solche Gedanken um die unbenutzten User in der passwd? Sofern man mal in die /etc/shadow schaut, wird man schnell feststellen, dass die ohnehin schon sehr restriktiv gehandhabt werden.

admin21:0::/home/admin:/bin/bash
root0:0:root:/root:/sbin/nologin

Sofern du das so machst, hast du ein ziemliches Problem: niemand mehr wird root sein können, und auch nicht dazu werden dürfen. UID 21 hat nämlich defintiv keine Sonderrechte.

Also? Was währe besser?

"Richtige" Sicherheit statt Security by obscurity. ;)

Mal ernsthaft: was verspricht du dir davon, root "umzubenennen". Ein einziger Blick in die /etc/passwd reicht aus, um zu erkennen, dass UID 0 jetzt nicht mehr root sondern (z.B.) höddeldi heißt.

Stichworte zur Absicherung wären viel eher: Kein Rootlogin per ssh, su nur über Gruppenzugehörigkeit wheel, ...

wollte root nicht umbenennen sondern den login verweigern.
Genau das mit der wheel gruppe versuche ich mühsehlig einrurichten.

Hast du eine gute Dokumentation darüber.
Im moment weiss ich nur das der Telnet Server sich verabschieden muss
und im ssh der root login abgeschaltet werden sollte.

wollte root nicht umbenennen sondern den login verweigern

Ã?hm...du weißt aber schon, dass dadurch kaum noch etwas laufen wird? Ã?berleg einfach mal, wie sämtliche Startscripte aufgerufen werden.

Um's kurz zu machen: du brauchst einen User mit UID 0, ob der root heißt oder karl spielt dabei keine Rolle, es kommt dabei nur auf die UID an, und genau die lässt sich mit einem kurzen Blick in die /etc/passwd feststellen.

Doku zur Einrichtung von wheel gibt's hier irgendwo im Forum, such mal nach pam und wheel.