www.mikrocontroller.net

Forum: PC Hard- und Software Ubuntu herunterfahren root-Rechte


Autor: Linuxnutzer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,
ich verwende seit kurzem Ubuntu 9.04
Zum Herunterfahren benötige ich root-Rechte (sudo halt).
Wie kann es sein, dass jeder Benutzer über Gnome den PC herunterfahren 
kann?
Hat die grafische Oberfläche etwa auch root-Rechte?

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
5 S     0  4904     1  0  80   0 -   813 -      ?        00:00:00 kdm
4 S     0  4909  4904  2  80   0 -  6212 -      tty7     00:03:26 Xorg
5 S     0  4916  4904  0  80   0 -   998 -      ?        00:00:00 kdm
4 S  1000  5675  4916  0  80   0 -   443 -      ?        00:00:00 startkde
5 S     0  5821     1  0  80   0 -   391 -      ?        00:00:00 start_kdeinit

Teilweise schon (UID = 0).

Autor: Linuxnutzer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Könnte das von Usern ausgenutzt werden, um root-RECHTE zu erlangen?

Autor: gast (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ja, aber sofern kein Bug/Sicherheitslücke vorliegt darf man dadurch nur 
bestimmte eingeschränkte Aktionen durchführen, wie hier z.B. 
herunterfahren.

Autor: Sven P. (haku) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Linuxnutzer schrieb:
> Könnte das von Usern ausgenutzt werden, um root-RECHTE zu erlangen?

Kompliziert; mit der Anmeldung arbeitest du ja wieder im 
Benutzerkontext. Überleg mal: Letztlich stammen alle Prozesse vom init 
ab, welches ja auch als root läuft.

Autor: faustian (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bei einer "normalen" Ubuntu-Installation ist dein Benutzerkonto ja 
insofern relativ privilegiert, dass du etliches machen kannst womit Du 
im Endeffekt an Rootrechte kommst - aber eben dein Benutzerpasswort 
eingeben musst. Damit hat man schonmal Automatismen, Schadprogramme usw 
recht effizient hinter sich gelassen (die Gefahr, dass irgendetwas 
wartet bis man eine privilegierte Aktion ausfuehrt, und dann den 
Passwortdialog nachmacht, ist evtl noch gegeben)...

Bei einer "klassischen" Unix/Linux-Installation sind die Rechte genau so 
gesetzt dass ein normaler Benutzeraccount sie absolut nicht selber 
erweitern kann - das ist aber eben die sichere aber unhandliche 
Variante...

Autor: Niklas Gürtler (erlkoenig)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich weiß jetzt nicht ob das auf diesen Fall zutrifft, aber man macht 
solche Dinge oft so: Man setzt das SUID(SUID = Set User ID)-Datei-Flag 
der Programmdatei des Programms, welches eine privilegierte Aktion ( 
z.B. eben herunterfahren) ausführen soll. Dies bewirkt, dass das 
Programm immer als der Benutzer, dem die Datei gehört (also oft root), 
ausgeführt wird, egal wer es startet, sodass das Programm eben den 
Computer herunterfahren kann. Wenn man voraussetzt, dass das Programm 
keinen Bug oder Sicherheitslücke enthält, ist das auch recht sicher, da 
das Programm eben nur diese eine Aktion durchführt, und nicht dazu 
gebracht werden kann (können sollte ;), irgendwelche schädlichen 
Aktionen durchzuführen. Daher sind solche Programme immer sehr klein und 
haben z.B. keine grafische Oberfläche (diese wird dann, falls eine 
benötigt wird, "extern" in einem nicht-SUID-Programm gemacht), um 
möglichst wenig Fehlerquellen zu haben. Das klassische Beispiel ist 
passwd, das Konsolen-Programm um das eigene Passwort zu verändern: Die 
Passwörter sind in /etc/passwd (bzw. bei neueren Linuxen in /etc/shadow) 
gespeichert. Diese Datei ist nur für root beschreibbar, sodass ein 
Benutzer sein Passwort eigentlich nicht ändern kann. Das passwd-Programm 
hat aber eben dieses SUID-Flag gesetzt, sodass, wenn ein Benutzer es 
aufruft, um sein Passwort zu ändern, das Programm als root gestartet 
wird und /etc/passwd beschreiben kann. Das Programm achtet dabei 
natürlich darauf, dass der Benutzer nur sein eigenes Passwort ändern 
kann, oder eben auch gar nicht ändern kann, falls root es so 
konfiguriert hat. Die Programme su, sodu etc. (und ihre grafischen 
Pendants gksu etc.) arbeiten übrigens genauso.
Noch mehr Kontrolle über die von Benutzern durchführbaren Aktionen 
erreicht man, indem man dafür sorgt, dass die Programmdatei des 
SUID-Programms einer bestimmten Benutzergruppe gehört, und nur Benutzer 
dieser Gruppe können dieses Programm ausführen (so kann sudo z.B. nur 
von Benutzern, die in der wheel-Gruppe sind, ausgeführt werden - 
wimre.).

Autor: Markus Burrer (Firma: Embedit Mikrocontrollertechnik) (_mb_)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Linuxnutzer schrieb:
> Hallo,
> ich verwende seit kurzem Ubuntu 9.04
> Zum Herunterfahren benötige ich root-Rechte (sudo halt).
> Wie kann es sein, dass jeder Benutzer über Gnome den PC herunterfahren
> kann?
> Hat die grafische Oberfläche etwa auch root-Rechte?

Nein. Nur du als Hauptuser kannst ohne Passworteingabe den Rechner 
runterfahren. Wenn du einen neuen User anlegst und diesem ein normales 
Desktop Profil gibst, hat der zwar den Menupunkt "Ausschalten", aber der 
Hauptuser muss dann sein Passwort eingeben.

Der Hauptuser hat gewisse Rechte automatisch (wie das Herunterfahren) 
und für andere Sachen wie Software Installieren muss man das Passwort 
eingeben, um temporär Root Rechte zu erhalten.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.