Tag alle,
Ich würde gerne wissen wie das mit den Benutzer-Acounts, die voreingestellten (ftp,www, usw) aussieht.
Sollte ich die löschen damit ich nur meinen root und die von mir definierten Benutzer einloggen können
oder kann man die voreingestellten gefahrlos stehen lassen ? Oder sind das gar keine "Benutzer" ? oder
so ... Weil ich hab die mal gelöscht und hatte später gewissen Fehlermeldungen......hilfe.....
Bin "Anfänger"
Gruss Mike.D
Accounts
Re: Accounts
Hi Mike,
Also löschen sollte man diese voreingestellten Benutzter-Accounts und Gruppen <b>nicht</b>, weil mit diesen Accounts die Zugriffsrechte für bestimmte Programme und Dienste festgelegt werden.
Wenn z.B. der User lp (lp heißt line printer) gelöscht wird, dann ist es nicht mehr möglich zu Drucken. Nur um mal eines von vielen Beispielen zu nennen.
Ich will ja nicht Schwarzmalen, aber wenn du tatsächlich alle User, außer root, und den selbstkonfigurierten Accounts gelöscht hast kann es sein, das du mindestens das Grundsystem neu installieren mußt, wenn nicht gar die ganze Distri.
Gruß Karsten
Also löschen sollte man diese voreingestellten Benutzter-Accounts und Gruppen <b>nicht</b>, weil mit diesen Accounts die Zugriffsrechte für bestimmte Programme und Dienste festgelegt werden.
Wenn z.B. der User lp (lp heißt line printer) gelöscht wird, dann ist es nicht mehr möglich zu Drucken. Nur um mal eines von vielen Beispielen zu nennen.
Ich will ja nicht Schwarzmalen, aber wenn du tatsächlich alle User, außer root, und den selbstkonfigurierten Accounts gelöscht hast kann es sein, das du mindestens das Grundsystem neu installieren mußt, wenn nicht gar die ganze Distri.
Gruß Karsten
Re: Accounts
Hi
Musste schon neu installieren *grins* Man lernt nie aus.
Sind demnach die Benutzer/Gruppen Zugriffsrechte relativ sicher ?
Oder sind die erst gar nicht vergleichbar mit "normalen" Benutzer-Accounts ?
Ich habe ein ungutes Gefühl wenn ich tonnenweise Accounts auf dem System hab
wo ich nicht weis ob ich denen (jetzt mal doof gesagt), vertrauen kann.
Danke dennoch
Gruss Mike.D
Musste schon neu installieren *grins* Man lernt nie aus.
Sind demnach die Benutzer/Gruppen Zugriffsrechte relativ sicher ?
Oder sind die erst gar nicht vergleichbar mit "normalen" Benutzer-Accounts ?
Ich habe ein ungutes Gefühl wenn ich tonnenweise Accounts auf dem System hab
wo ich nicht weis ob ich denen (jetzt mal doof gesagt), vertrauen kann.
Danke dennoch
Gruss Mike.D
Re: Accounts
Hallo Mike,
lass die User und Gruppen ruhig drauf, es dient in der Tat der Sicherheit.
Es gibt wohl Benutzer, unter SuSE z.B. adabas, die man, wenn man adabas gar nicht installiert hat, in der Tat nicht braucht.
In der Tat geht es darum, Rechte von Prozessen (z.B. Drucken) so zu gestalten, das sie die Sicherheit des Systems nicht gefährden. Natürlich KANN man das abändern, sollte man aber nicht. Das ganze ist zwar am Anfang kompliziert, wenn man bestimmte User zu bestimmten Gruppen eintragen muss damit diese User dieses und jenes dürfen (Rauswählen, Drucken, Einloggen, Scannen, mounten usw), aber das ist der Preis eines Multi-User-Systems und der Sicherheit.
Bei den von Dir aufgeführten Usern gibt es auch einige (wie z.B. nobody), die keine eigene loginshell haben, heisst, Du kannst Dich zwar einloggen aber nicht arbeiten weil diese User keine Loginshell oder Home-Verzeichnis besitzen. Diese dienen dann nur dazu, bestimmte Systemprozesse mit "ungefährlichen", weil weniger berechtigten User-IDs laufen zu lassen. Ist zugegeben kompliziert am Anfang, aber für die Sicherheit sehr gut. Wobei Sicherheit nicht nur Abschottung gegen das WWW bedeutet, sondern auch auf die Systemstabilität abzielt.
Die paar kByte, die Deine /etc/passwd usw. die Festplatte deswegen zusätzlich belegen sind es mirt Sicherheit wert.
Gruss
AndreasM
lass die User und Gruppen ruhig drauf, es dient in der Tat der Sicherheit.
Es gibt wohl Benutzer, unter SuSE z.B. adabas, die man, wenn man adabas gar nicht installiert hat, in der Tat nicht braucht.
In der Tat geht es darum, Rechte von Prozessen (z.B. Drucken) so zu gestalten, das sie die Sicherheit des Systems nicht gefährden. Natürlich KANN man das abändern, sollte man aber nicht. Das ganze ist zwar am Anfang kompliziert, wenn man bestimmte User zu bestimmten Gruppen eintragen muss damit diese User dieses und jenes dürfen (Rauswählen, Drucken, Einloggen, Scannen, mounten usw), aber das ist der Preis eines Multi-User-Systems und der Sicherheit.
Bei den von Dir aufgeführten Usern gibt es auch einige (wie z.B. nobody), die keine eigene loginshell haben, heisst, Du kannst Dich zwar einloggen aber nicht arbeiten weil diese User keine Loginshell oder Home-Verzeichnis besitzen. Diese dienen dann nur dazu, bestimmte Systemprozesse mit "ungefährlichen", weil weniger berechtigten User-IDs laufen zu lassen. Ist zugegeben kompliziert am Anfang, aber für die Sicherheit sehr gut. Wobei Sicherheit nicht nur Abschottung gegen das WWW bedeutet, sondern auch auf die Systemstabilität abzielt.
Die paar kByte, die Deine /etc/passwd usw. die Festplatte deswegen zusätzlich belegen sind es mirt Sicherheit wert.
Gruss
AndreasM
Re: Accounts
Hallo,
also die paar Benutezraccounts sind irrelevant. Viel wichtiger ist es jedoch die Hintertürchen im System wodurch solche Accounts ausgenutzt werden können zu schließen. Wie zum Beispiel nicht benötigte Ports sperren, eine vernünftige Firewall einrichten und ruhig mal selbst mit ein paar Hackertools sein System testen.
Ciao BATnator
also die paar Benutezraccounts sind irrelevant. Viel wichtiger ist es jedoch die Hintertürchen im System wodurch solche Accounts ausgenutzt werden können zu schließen. Wie zum Beispiel nicht benötigte Ports sperren, eine vernünftige Firewall einrichten und ruhig mal selbst mit ein paar Hackertools sein System testen.
Ciao BATnator
Re: Accounts
Das wäre gleich meine nächste Frage gewesen Frank. Ich habe mal irgendwo gelesen das
sich Ports auch einfach per Befehl schliessen lassen ? Weil Ftp, Telnet &
Smtp brauche ich nicht da ich erstens selbst an die Maschine kann und zweitens weil
sie lediglich als Router dienen soll.
Gruss Mike
Ps. Zum Routing hab ich gleich einen anderes Posting eröffnet.
sich Ports auch einfach per Befehl schliessen lassen ? Weil Ftp, Telnet &
Smtp brauche ich nicht da ich erstens selbst an die Maschine kann und zweitens weil
sie lediglich als Router dienen soll.
Gruss Mike
Ps. Zum Routing hab ich gleich einen anderes Posting eröffnet.