Mitä sanovat linuxin täkäläiset tietoturva-asiantuntijat siihen, että linuxin pääkäyttäjän (root) salasanan voi helposti muuttaa tietämättä vanhaa salasanaa?
Eikö huolestuta yhtään?
Linuxin heikko tietoturva
Huolestunut linux-käyttäjä
30
3810
Vastaukset
- niin Linuxin?
Tarkoitatko näppäimistöltä käsin?
Ei silloin ole väliä mikä käyttis. Winukan salasanat murtaa sekunnissa kun pääsee koneelle. - paha moka.
Joka on onneksi helppo paikata käyttöoikeuksia muuttamalla. Mutta monelle varmasti yllätys, että kuka tahansa voi mahdollisesti kirjautua rootiksi ja muuttaa salasanaa. Moka mikä moka.
- darkstar
Mutta jos ei tiedä "vanhaa" salasanaa, niin eihän sitä silloin pysty edes ylipäätään vaihtamaan uuteenkaan...?
Ainakin minulla
$ passwd root
antaa:
"You may not change the password for root."
Täytyisi siis ensin kirjautua roottina "vanhalla" salasanalla, ennen kuin pääse passwd:aamaan?
rootin salasana pitäisi siis valita niin tarkkaan ettei sitä muut (tavalliset) käyttäjät keksi... - Ossi
Onhan rootin salasana tarkistettu jo silloin kun rootti kirjautuu sisään.
Jos taas saa käynnistää koneen miten haluaa, ei silloin mikään ole turvassa. Ainut keino on käyttää salattuja levyjä. - minullekin
miten pääsen kaverin koneelle muuttamaan root salasanaa, kun en tiedä millä salasanalla sen avaisi.
- tpk_68
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon. - Ihanko tosissasi
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon."> sudo -u root passwd
Yllätys? "
Ja pöh, pöh... Sudo:lla voidaan määritellä jollekulle käyttäjälle rajoitetut oikeudet käyttää _joitakin_ ylläpitotyökaluja (esim. koneen sulkeminen, verkonpystytys tms.).
Käsityksesi sudosta vaatii hieman tarkennusta:
sudo-käyttäjälle ei ole mitään tarvetta sallia kaikkia root-käyttäjän oikeuksia. - näsä
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon.vastaa:Command not found, tuohon komentoon tav. käyttäjälle.
- kokeilin1
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon.Mandriva kysyy salasanaa ja jos sitä ei tiedä niin...
- hartsa40
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon.oli se kun kokeilin tuota ja mulla ainakin kysyi salasanaa. käyttis mandriva le 2005.
- punahattu
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon.[teppo@home ~]$ sudo -u root passwd
Password:
Sorry, try again.
Password:
Sorry, try again.
Password:
sudo: 2 incorrect password attempts
[teppo@home ~]$ - casey jones
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon.sudo -u root passwd
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password: - pallivaha
casey jones kirjoitti:
sudo -u root passwd
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password:...asennuksen jälkeen tuo antoi vaihtaa rootin salasanan mitään mukisematta, olisiko SuSEa päivitetty tuolta osin, koska käsittämätöntähän se olikin.
Eikä sudo -u root passwd toimikaan jos sudon oikeuksia on rajattu, mutta eiköhän kaikki joilla on sudoon oikeudet voi rootin salasanaa muuttaa.
Tähän ilmeisesti ketjun aloittaja viittaa, jos sudo on sallittu tavalliselle käyttäjälle, onnistuu myös rootiksi kirjautuminen/salasana vaihto.
visudo kertoo lisää. - .........
Ihanko tosissasi kirjoitti:
"> sudo -u root passwd
Yllätys? "
Ja pöh, pöh... Sudo:lla voidaan määritellä jollekulle käyttäjälle rajoitetut oikeudet käyttää _joitakin_ ylläpitotyökaluja (esim. koneen sulkeminen, verkonpystytys tms.).
Käsityksesi sudosta vaatii hieman tarkennusta:
sudo-käyttäjälle ei ole mitään tarvetta sallia kaikkia root-käyttäjän oikeuksia.Aiheesta ennenkin:
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=656&posting=22000000009202004 - jepjep
pallivaha kirjoitti:
...asennuksen jälkeen tuo antoi vaihtaa rootin salasanan mitään mukisematta, olisiko SuSEa päivitetty tuolta osin, koska käsittämätöntähän se olikin.
Eikä sudo -u root passwd toimikaan jos sudon oikeuksia on rajattu, mutta eiköhän kaikki joilla on sudoon oikeudet voi rootin salasanaa muuttaa.
Tähän ilmeisesti ketjun aloittaja viittaa, jos sudo on sallittu tavalliselle käyttäjälle, onnistuu myös rootiksi kirjautuminen/salasana vaihto.
visudo kertoo lisää.Aloittaja on aivan oikeassa, kyllä tuo on täysin oikeassa. Rootin salasana on tietyllä edellytyksellä täysin mahdollista vaihtaa. Tuota jippoa en kuitenkaan aio julkistaa.
- darkstar
tpk_68 kirjoitti:
Kokeilepa tavallisena käyttäjänä komentoa:
> sudo -u root passwd
Yllätys?
Ongelma poistuu, kun ei anneta normaalikäyttäjälle oikeuksia sudoon.Slackware-10.1:sessakaan ei anna vaihtaa suoraan rootin salasanaa...
- tpk_68
Ihanko tosissasi kirjoitti:
"> sudo -u root passwd
Yllätys? "
Ja pöh, pöh... Sudo:lla voidaan määritellä jollekulle käyttäjälle rajoitetut oikeudet käyttää _joitakin_ ylläpitotyökaluja (esim. koneen sulkeminen, verkonpystytys tms.).
Käsityksesi sudosta vaatii hieman tarkennusta:
sudo-käyttäjälle ei ole mitään tarvetta sallia kaikkia root-käyttäjän oikeuksia.Ei tietenkään pitäisikään sallia rootin oikeuksia sudolle.
Oli ehkä turhan provokatiivista käyttää ilmaisua "yllätys?", mutta eiköhän kirjoittaja sudoa tarkoita?
En tiedä miten muuten tuo kuvattun kaltainen tilanne olisi mahdollista kuin antamalla rajoittamattomat oikeudet sudolle. - JMT§
jepjep kirjoitti:
Aloittaja on aivan oikeassa, kyllä tuo on täysin oikeassa. Rootin salasana on tietyllä edellytyksellä täysin mahdollista vaihtaa. Tuota jippoa en kuitenkaan aio julkistaa.
Luulen että sen jipon saa jostain selville, mutta on se hyvä ettei tälläisellä palstalla sitä julkisesti kerrota. Mielestäni on jokaisen oma asia jaksaako etsiä sitä keinoa vai ei.
- Fedoralla
casey jones kirjoitti:
sudo -u root passwd
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password:$ sudo -u root passwd
Password:
testeri is not in the sudoers file. This incident will be reported. - jepjep
JMT§ kirjoitti:
Luulen että sen jipon saa jostain selville, mutta on se hyvä ettei tälläisellä palstalla sitä julkisesti kerrota. Mielestäni on jokaisen oma asia jaksaako etsiä sitä keinoa vai ei.
Takuuvarmasti en sitä julkaise. Mutta linux-väen tuskaa helpottaakseni voin sanoa, ettei silläkään jipolla verkonkautta tulla sisään ihan helposti, tuskin lainkaan.
jepjep kirjoitti:
Takuuvarmasti en sitä julkaise. Mutta linux-väen tuskaa helpottaakseni voin sanoa, ettei silläkään jipolla verkonkautta tulla sisään ihan helposti, tuskin lainkaan.
Tuohan nyt on perus ylläpitojuttu, joka on joskus hyvä tietää. Tietoa ei tarvitse pimittää, koska se on ollut olemassa jo aikojen alusta asti. Kernelin boottioptioksi init-parametriin vain shellin nimi, niin kone käynnistyy suoraan shelliin rootin oikeuksin. Luonnollisesti tämä siis vaatii fyysisen pääsyn koneen ääreen.
- kannattaa
Mik26 kirjoitti:
Tuohan nyt on perus ylläpitojuttu, joka on joskus hyvä tietää. Tietoa ei tarvitse pimittää, koska se on ollut olemassa jo aikojen alusta asti. Kernelin boottioptioksi init-parametriin vain shellin nimi, niin kone käynnistyy suoraan shelliin rootin oikeuksin. Luonnollisesti tämä siis vaatii fyysisen pääsyn koneen ääreen.
Käynnistyslataajassa boot-optioden antamisen voi estää salasanalla. Lisäksi kannataa vaihtaa BIOS:sta ensimmäiseksi boottaavaksi laitteeksi kiintolevy, ettei konetta voi bootata korpulta, cd:ltä tai usb-tikulta. Nämä kun on kunnossa, niin koneelle on erittäin vaikea murtautua myöskin paikallisesti, kun oletetaan että kiintolevyn irroittaminen koneesta on estetty, eikä kukaan pääse siirtämään sitä toiseen koneeseen. Linux on edelleenkin se turvallisempi vaihtoehto.
- sanoo
casey jones kirjoitti:
sudo -u root passwd
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password:Slackware 10.0
- vai?
Miksi pitäisi huolestuttaa? Verkon kautta koneeseen ei kukaan pysty vaihtamaan salasanoja ja jos joku pääsee itse koneen ääreen pahoissa aikeissa ei koneen kohtalo ole ensimmäinen huolen aihe.
Jos jotakin moinen tietyissä tapauksissa kätevä ominaisuus huolettaa, on syytä käyttää jakelua jossa moinen ei ole mahdollista. Käsittääkseni sellaisia on - tehty siis erityisen turvallisiksi - mutta tarkemmin en ole perehtynyt kun ei ole tarvetta.
Sudohan on oletuksena pois käytöstä fiksuissa jakeluissa, että siitä ei ole kysymys. Ilmeisesti olet varsin tuore linux-käyttäjä tai sitten vain trolli. tätä ==>
sudo -u root passwd
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password:
Sorry, try again.
Password:
sudo: 1 incorrect password attempt
Vai jotain muuta kenties?- Russell
No kyllä se on lapset niin, että jos koneeseen pääsee fyysiesti käsiksi, niin on aika herttaisen yhdentekevää mikä käyttis siinä on. Linuxin rootin salasana on aika yksinkertaista vaihtaa jos koneen saa bootata. Jos boot options on suojattu salasanalla, niin boottidiski auttaa. Jos kone on pistetty boottaamaan kovolta ja bios suojattu salasanalla, niin biosin voi resetoida (edelleenkin) jos koneetta pääsee fyysisesti käpelöimään. Tai sitten vaan kovo mukaan ja vie sen kotiinsa. Eiköhän jokainen levy jollain aukea. Jos jotain NIIN salaista on koneella, niin kryptatkaa koko paska, pistäkää tsiljoonabittinen avain levylle, levy Suomen Pankin holviin, ja salasanaksi 1024 merkkinen ote lempikirjastanne niin, että jokainen sana sisältää satunnaisen erikoismerkin ja kolmasosa kirjaimista on satunnaisesti sijoitettuja isoja kirjaimia.
Kyllä linuxin tietoturva silti paremmissa käsissä on kuin windowsin, olettaen että sysadmin tietää mitä tekee. Linuxissa on kyllä helpompi rikkoa koko systeemi adminina, mutta toisaalta windowsissa voi normikäyttäjäkin dellata järjestelmälle tärkeitä tiedostoja tai pläräillä toisten omia kansioita. Eli periaatteessa windowissa ei ole syytä haxeroida adminin salasanaa; systeemiä pääsee selaamaan ihan riittävästi kuka tahansa käyttäjä tai jos ei ole tunnuksia niin esim. safe moden komentokehoitteessa (jos osaa dossia käyttää yhtään). - ksym_
Luin noi kaikki viestit.
Olen aina ollut sitä mieltä, että
ÄLKÄÄ KÄYTTÄKÖ SUDOA!
Opetelkaa se rootin salasana, älkääkä kertoko sitä kenellekkään. Varmin ja paras salaus.- Ihmettelee
Alkuperäisen kirjoittajan tarkoittamalla ongelmalla ei ole mitään tekeämistä sudon kanssa.
Root-salasanan vaihto-ohjeet löytyvät mm. siitä kuuluisasta Tapsan ohjeesta, ihan selvällä suomen kielellä. - Russell
Ihmettelee kirjoitti:
Alkuperäisen kirjoittajan tarkoittamalla ongelmalla ei ole mitään tekeämistä sudon kanssa.
Root-salasanan vaihto-ohjeet löytyvät mm. siitä kuuluisasta Tapsan ohjeesta, ihan selvällä suomen kielellä.Kuten aiemmassa viestissä sanoin, koneen fyysinen turvallisuus ei ole softasta kiinni. Jos ilkeaämielinen ihminen saa koneesi käsiinsä, ei mikään kryptaamaton tieto ole turvassa, oli käyttis mikä hyväänsä. Voi tosin olla, että on olemassa joitain todella extreme -ratkaisuja, mutta onko järkevää, että kone voi "hajota" pysyvästi esim. ohjelmistovirheen takia?
Ja mitä tulee esim. tietojen tuhoamiseen, niin voihan sen koneen vaikka tuikata tuleen. Eiköhän se kovalevy silläkin hajoa. Se, että normaalikäyttäjä pystyisi vaihtamaan fiksusti konffattuun Linuxiin rootin salasanan etänä, ei todellakaan pidä paikkaansa.
- Antti
"Mitä sanovat linuxin täkäläiset tietoturva-asiantuntijat siihen, että linuxin pääkäyttäjän (root) salasanan voi helposti muuttaa tietämättä vanhaa salasanaa?
Eikö huolestuta yhtään?"
Ei huolestuta sillä...
Mielestäni huolestuttavaa on se, että sen voisi tehdä murtautumalla koneeseen verkon kautta jne. Siksi mielestäni onkin tärkeää tehdä koneesta niin turvallinen, ettei etäyhteyden kautta pääse koneeseen roottina (sshd:n roottina loggautumisen esto, varomattomat sudon oikeudet jne.)
Vähemmän huolestuttavaa on se, että kuka tahansa, jolla on fyysinen pääsy koneelle voi kirjautua roottina sisälle. Tosiasiassa tällainen estetään esimerkiksi pitämällä tärkeää konetta konehuoneessa lukkojen takana, BIOSin salasanalla , GRUBin salasanalla ja buuttaamisen esto muilta kuin siltä medialta minne käyttis on asennettu.
Tärkeintä on vaaran tiedostaminen ja sen ennalta ehkäisy.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Nurmossa kuoli 2 Lasta..
Autokolarissa. Näin kertovat iltapäivälehdet juuri nyt. 22.11. Ja aina ennen Joulua näitä tulee. . .1065520Maisa on SALAKUVATTU huumepoliisinsa kanssa!
https://www.seiska.fi/vain-seiskassa/ensimmainen-yhteiskuva-maisa-torpan-ja-poliisikullan-lahiorakkaus-roihuaa/15256631453683Vanhalle ukon rähjälle
Satutit mua niin paljon kun erottiin. Oletko todella niin itsekäs että kuvittelet että huolisin sut kaiken tapahtuneen503245Mikko Koivu yrittää pestä mustan valkoiseksi
Ilmeisesti huomannut, että Helenan tukijoukot kasvaa kasvamistaan. Riistakamera paljasti hiljattain kylmän totuuden Mi4532568Purra hermostui A-studiossa
Purra huusi ja tärisi A-studiossa 21.11.-24. Ei kykene asialliseen keskusteluun.2611610- 871356
Ensitreffit Hai rehellisenä - Tämä intiimiyden muoto puuttui suhteesta Annan kanssa: "Meillä ei..."
Hai ja Anna eivät jatkaneet avioliittoaan Ensitreffit-sarjassa. Olisiko mielestäsi tällä parilla ollut mahdollisuus aito131309Joel Harkimo seuraa Martina Aitolehden jalanjälkiä!
Oho, aikamoinen yllätys, että Joel Jolle Harkimo on lähtenyt Iholla-ohjelmaan. Tässähän hän seuraa mm. Martina Aitolehde321283- 771248
Miksi pankkitunnuksilla kaikkialle
Miksi rahaliikenteen palveluiden tunnukset vaaditaan miltei kaikkeen yleiseen asiointiin Suomessa? Kenen etu on se, että1501192