Ein zweiter root

hallo
ich habe mal wieder was *g*

ich möchte einen zweiten root user (admin) anlegen

aber wenn ich einen benutzer erstelle zb root2 der dann auch in der gruppe root ist
hat nicht die gleichen rechte wie der eigendliche root
was könnte ich falsch gemacht haben ??

MfG
M.Lindemann

Hallo

ja user hab ja alle eine eindeutige UserID z.b. root hat die UID 0 und z.B. ein normaler benutzer hat dann eine viel höhere 500 oderso.Nur root hat die UserId 0 und hat damit die vollen rechte wenn du auch einen zweiten Root machst , der hat dann ne andere UID und damit hat er auch wenn er der gleichen Gruppe angehört nicht die gleiche Rechte…

mfg

Pille

Das Problem ein wenig genauer analysiert
das ganze ist noch ein Stück tiefgründiger

schauen wir uns mal eine Systemdatei an:

ls -l /etc/fstab
-rw-r–r--r 1 root root …

wie du siehst hat der user-root rw auf die datei, die Gruppe root aber nur r, daher kann dein Benutzer root2 diese Datei nicht verändern

da gibt es aber noch andere Probleme …

ein top liefert mal schnell ein paar Prozesse zu tage die dem User root gehören (wohlgemerkt dem User, ein Prozess kann keiner Gruppe gehören, da sie von einem user gestartet werden müssen)

so läuft z.B. der kswapd (der wohl den Swap verwaltet) unter dem user root … allerdings lösen das manche Programme auch anders … z.B.

ls -l /dev/hda1
brw-rw------ 1 root disk …

das b steht für Blockdevice, und wie du siehst hat die gruppe disk auch rw, d.h. darf in die device schreiben … ein solches Vorgehen verhindert, dass zuviele Programme unter root laufen (wenn diese Programme exploitet werden und mit ihnen beliebiger Code ausführbar wird, hat der Angreifer root-rechte und dann ist fertig lustig, läuft das Programm aber nicht als root ist das Risiko viel geringer)

ls -l /dev/apm_bios
crw-rw-rw- 1 root root …

das c hier steht für Characterdevice …

einen kleinen Exkurs darüber findest du unter

http://developer.apple.com/techpubs/mac/Devices/Devi…

ich hoffe ich habe dir geholfen zu verstehen, warum dein root2 nicht funktioniert … falls du damit einem anderen user root-rechte geben wolltest, ohne ihm das Passwort für root zu überlassen, dann schau dir mal sudo an - das könnte helfen

gruss

berni

Hi Marcus,

kein Problem. Nur musst du das von Hand machen und nicht mit irgendwelchen Tools.

Einfach eine neue Zeile in der /etc/passwd und /etc/shadow anlegen und alles bis auf den Namen (root, erstes Wort) aud den Zeilen von Root übernehmen. Dann noch ein
passwd root2 (oder wie der auch immer heissen soll)
und es läuft.

Was die anderen da erzählen ist blödsinn.

Schau:

root@truhe:/home/arne/scripts \> cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
root1:x:0:0:root:/root:/bin/bash

root@truhe:/home/arne/scripts \> cat /etc/shadow
root:\*\*\*\*\*\*\*:11431:0:10000::::
root1:\*\*\*\*\*\*:11813:0:10000::::

arne@truhe:~/scripts \> su root1 -
Password:
root@truhe:/home/arne/scripts \> id
uid=0(root) gid=0(root) Gruppen=0(root)

Arne

ja user hab ja alle eine eindeutige UserID z.b. root hat die
UID 0 und z.B. ein normaler benutzer hat dann eine viel höhere
500 oderso.Nur root hat die UserId 0 und hat damit die vollen
rechte wenn du auch einen zweiten Root machst , der hat dann
ne andere UID und damit hat er auch wenn er der gleichen
Gruppe angehört nicht die gleiche Rechte…

BLÖDSINN !

Was soll mich davon abhalten einen neuen User mit ID 0 anzulegen ? (Ausser irgendwelchen Überwachungstools, die das explizit verhindern)

Siehe auch den Antwortartikel.

Arne

oder sudo
hat beider vor und nachteile …

BLÖDSINN !

Nein.

Was soll mich davon abhalten einen neuen User mit ID 0
anzulegen ?

daß manche Programme dann „komische Dinge“ tun.

Trust me…

Sebastian

Zweiter UID 0 User macht Probleme
Hallo Sebastian,

Was soll mich davon abhalten einen neuen User mit ID 0
anzulegen ?

daß manche Programme dann „komische Dinge“ tun.
Trust me…

Jau, dir glaube ich das.

Erzähl mal. Welche Programme, was für komische Dinge ?

Arne

Was soll mich davon abhalten einen neuen User mit ID 0
anzulegen ?

daß manche Programme dann „komische Dinge“ tun.
Trust me…

Jau, dir glaube ich das.

Danke :wink:

Erzähl mal. Welche Programme, was für komische Dinge ?

Mist. Ich wusste, daß das passiert. Ich habe leider den Hinweis auf das konkrete Prbvlem verlegt, aber irgendwas hatte ich mal.

Vielleicht werde ich doch noch mal fündig.

Sorry für unbelegte Behauptungen (ich mag sowas auch ums Verrecken nicht), aber ich finde gerade nicht die Referenz…

Sebastian

Erzähl mal. Welche Programme, was für komische Dinge ?

Mist. Ich wusste, daß das passiert. Ich habe leider den
Hinweis auf das konkrete Prbvlem verlegt, aber irgendwas hatte
ich mal.

Also, wenn es nur um irgendwelche „schicken“ Verwaltungstools geht, die dann diesen einen User nicht anzeigen, ist das für mich kein Hinderungsgrund.

Und wenn einzelne Software einen „Bug“ hat und deshalb nicht damit klar kommt, ist das für mich auch kein Problem.

Sowas brauchst du mir auch nicht raussuchen.

Wenn es aber begründet ist, dass ein Programm nicht damit klar kommt, will ich das wissen. Also such in dem Fall :wink:

Gruss
Arne

Gegenfrage

ich möchte einen zweiten root user (admin) anlegen

Das es geht wurde ja schon beschrieben (geschildert/beteuert oder
wie auch immer).

Drängt sich mir doch die Frage auf, falls die Antwort von
„DasBaby“ funktioniert (ich hab sowas noch nie getestet) was hätte
man dann davon?

Beide User dürften Passwörter ändern (also auch ihre
eigenen/gegenseitig). Somit ist es NULL Schutz um eine „Hintertür“
offen zu lassen?!

Da beide Benutzer die gleichen Rechte hätten, könnten sie sich
gegenseitig aussperren. Macht doch dann also keinen echten Sinn
denn dann kann man ja gleich den selben Namen/PW verwenden?!

Sinnvoller wäre da schon ein SuperRoot (der auch shadow ändern
darf …) und einen normalen UserRoot zu haben, der auch
Programme installieren darf usw.

In diesem Sinne schöne Feiertage

Gruß aus Hamburg
Knud Schiffmann

Hallo knud

Ich möchte einfach nur einen zweiten root
für den fall des falles haben .
da ich mir letztens dummer weise das root password geändert hatte.

script :
USER = test
useradd $USER
passwd $USER

aber glücklicher weise hatte ich noch einen root an der console angemeldet .
womit ich mir zum glück noch eine offene tür hatte *g*

MfG
M.Lindemann

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Ich möchte einfach nur einen zweiten root
für den fall des falles haben .
da ich mir letztens dummer weise das root password geändert
hatte.

Hallihallo,

f"ur solche F"alle habe ich eine CD mit Demo-Linux (http://demolinux.org). Mit der bootest Du die Konsole, es wird also ein Linux von der CD gestartet, Einloggen als root (ohne Passwort). Danach kannst Du Deine Platten mounten und beliebig die Files darauf editieren…

Als Rettungsanker sehr hilfreich (einfacher als Ausbau der Platte und an einen anderen Rechner h"angen).

Ciao
Mischa

das ganze ist noch ein Stück tiefgründiger

schauen wir uns mal eine Systemdatei an:

ls -l /etc/fstab
-rw-r–r--r 1 root root …

wie du siehst hat der user-root rw auf die datei, die Gruppe
root aber nur r, daher kann dein Benutzer root2 diese Datei
nicht verändern

genau dort werden auch viele Probleme herrühren:
Zugriffsrechte und Prozess-Eigentümer werden intern mit der UID gehandhabt. Somit dürfte Linux bei User-Auflösung ins Stottern geraten, wenn dann zwei Namen zu einer UID existieren.

Grüße,
Tobias

das ganze ist noch ein Stück tiefgründiger

Hä? Kein Unix-Admin bisher dabei? Thread hat mich amüsiert, deshalb hab ichs kurz implementiert und dokumentiert:

linux1:/etc # more passwd # bin grad root
root:x:0:0:root:/root:/bin/bash
suwofo:x:0:0:superwofo *grins* :/root:/bin/csh

Sprich: ich hab einen user suwofo angelegt mit der UID 0 und der GID 0, dessen Kennung/Textfeld „superwofo *grins*“ enthält, dessen $HOME auf /root zeigt und dessen Startshell die csh ist.

Weiter: # bin immer noch root
linux1:/etc # more shadow
root:n9TLhmV1pUv6w:11569:0:10000::::
suwofo:A2B5UToep3pbc:11569:0:10000::::
.
.
wofo:A2B5UToep3pbc:11569:0:99999:7:0::

Das passwort hab ich vom user wofo zum user suwofo reinkopiert und der Rest der Zeile entspricht dem von root

Weiter: #eingelogged als normaler user wofo:
wofo@linux1:/disk3/wofo> id
uid=505(wofo) gid=100(users) Gruppen=100(users)

id sagt mir meine User-Eigenschaften!

Zu root machen mit suwofo und Eigenschaften abfragen:

wofo@linux1:/disk3/wofo> su suwofo
Password:
linux1 /home/wofo# id
uid=0(suwofo) gid=0(root) Gruppen=0(root)

Pfad prüfen:
linux1 /home/wofo# pwd
/disk3/wofo

AHA! Bin immer noch in dem Verzeichnis, in dem ich mich zu suwofo gemacht habe… Dachte ich mir schon (siehe oben, der Pfad hat sich nicht geändert)

linux1 /home/wofo# cd
linux1 /root# pwd # um ganz sicher zu sein
/root

Nochmal AHA! ein cd bringt mich ins $HOME wie im /etc/passwd vereinbart, hier /root, wie erwartet

Jetzt der Test der permissions:
linux1 /root# cd /home/wofo
linux1 /home/wofo#

linux1 /home/wofo# ls -al
insgesamt 9336
drwx------ 22 wofo users 4096 Mai 14 20:52 .
drwxr-xr-x 10 root root 4096 Mai 14 21:22 …
.
.

Man sieht, mein $HOME gehört mir und niemand ausser mir hat hier Rechte.

linux1 /home/wofo# touch aaa
linux1 /home/wofo# ls -al |grep aaa
-rw-r–r-- 1 root root 0 Mai 14 21:48 aaa

OK: root hat ein file aaa mit der Länge 0 und den umask-Rechten von root in meinem $HOME angelegt!

Voila!!! Noch irgendwelche Fragen? Stehe gern zur Verfügung.

PS: Eintrag ist wieder gelöscht, also keine falschen Hoffnungen, hier über iptrace etc. reinzukommen. Aber ich will niemanden einladen…

Gruss Wolfgang

f"ur solche F"alle habe ich eine CD mit Demo-Linux
(http://demolinux.org). Mit der bootest Du die Konsole, es
wird also ein Linux von der CD gestartet, Einloggen als root
(ohne Passwort). Danach kannst Du Deine Platten mounten und
beliebig die Files darauf editieren…

uahh! Overkill! Unix ist doch so einfach… (s.u)

Hi Marcus,

kein Problem. Nur musst du das von Hand machen und nicht mit
irgendwelchen Tools.

Einfach eine neue Zeile in der /etc/passwd und /etc/shadow
anlegen und alles bis auf den Namen (root, erstes Wort) aud
den Zeilen von Root übernehmen. Dann noch ein
passwd root2 (oder wie der auch immer heissen soll)
und es läuft.

Was die anderen da erzählen ist blödsinn.

Yepp! Habs unten noch etwas breiter ausgetreten…

Hi Wolfgang,

linux1:/etc # more shadow
root:n9TLhmV1pUv6w:11569:0:10000::::
suwofo:A2B5UToep3pbc:11569:0:10000::::

Du möchtest gaaanz dringend das Root-Passwort (und das vom suwofo, sofern der nicht schon wieder gelöscht ist) ändern. Aus den hier geposteten Hashes lassen sich (mit genug Rechenzeit) problemlos die Passwörter cracken.

Arne

Hi Wolfgang,

Danke Dir, Arne. Hab ich sofort nach dem Post gestern abend getan :smile:))

Wolfgang