Hallo,
an ist so ein root password ja ziemlich bloed, und es gibt eigentlich nur eins, was noch bloeder ist: viele davon, weil man immer mehr Rechner hat.
Es geht um Rechner im Serverbetrieb in der Groessenordnung 103. Entweder man setzt ueberall das gleiche password, dann hat man ein echtes Problem, wenn es ausgespaeht wird, weil es zu trivial ist und man es alle Nase ueberall eingeben muss, und man es daraufhin ueberall aendern muss. Oder man setzt ueberall ein anderes, dann platzt dem gesunden Menschen der Kopf, weil es einfach zu viele sind, man muss sie aufschreiben und ewig in irgendwelchen Listen blaettern. Wie man’s mit dem Ding macht, man macht es falsch.
Die Idee ist daher, es ganz loszuwerden und nirgendwo mehr einzugeben. Anmeldung fuer Adminstration per SSH erfolgt ausnahmslos per individualisierten puplic keys, die Infrastruktur, keys von Rechnern zu entfernen oder draufzulegen sei vorhanden. Evtl. notwendige Rechteerhoehung gewoehnlicher Nutzer erfolgt per sudo. Der lokale Zugriff durch /bin/login ist per pam_permit.so vom Passwort befreit. (Leute, die vor der Maschine stehen, haben physikalischen Zugriff und koennen sie auch mitnehmen oder sonstwas damit treiben, also muss man da keine Pseudosicherheit betreiben. Ja, was, ist doch so.)
Jetzt gibt es bestimmt noch ein paar Fallstricke bei dieser Idee und bevor ich jetzt das password ungueltig mache wuerde mich interessieren, was die anwesende Forumschaft davon haelt. Mir ist z.B. kuerzlich /sbin/sulogin nach einem fehlgeschlagenem fsck beim booten aufgefallen, was nach meinen Untersuchungen unter Umgehung saemlticher PAM-Mechanismen direckt nach /etc/shadow greift. Die Intention dahinter ist ja auch nicht so verkehrt, das PAM-Zeugs koennte ja kaputt sein, wenn der fsck schon nicht funktioniert hat. Derzeit ueberlege ich, ob ich es einfach durch eine statische Variante von /bin/bash ersetze.
Was koennte mir bei der Idee denn noch so auf die Fuesse fallen?
Danke im Voraus,
Gruss vom Frank.