Arbeiten als root unter Open Media Vault

  • Hallo Zusammen,

    ich bin gerade am Einrichten von OMV und lese in viele HowTo's immer "einloggen als root".
    So habe ich es bisher auch gemacht.
    Doch beim Einrichten von Seafile bin ich irgendwie ins grübeln gekommen.
    Ist es nicht eigentlich unüblich sich als root anzumelden?
    Aus anderen Linux Distributionen kenne ich es eigentlich gerade anders herum.
    Man macht so weit wie möglich alles als normaler User und verwendet sonst eben sudo + Passwort des root's.
    Der root Account selbst ist dort meist nicht mal aktiv.
    Wieso sollte das also bei OMV, besonders wenn man diesen auch noch vom WWW erreichbar machen will, anders sein und birgt dies nicht ein erhebliches Sicherheitsrisiko?
    Vielleicht können mir ja die Linux Profis unter euch weiterhelfen.

    Danke

    Ciao

    NCC-1701

  • Ich bin zwar kein Linux-Profi, logge mich aber grundsätzlich als root auf mein OMV-System ein.

    Auf openELEC loggt man sich auch grundsätzlich auch als root ein....

    Wie gesagt, ich bin kein Profi und dies ist nur meine Meinung:
    Für mich macht es keinen Unterschied ob ich mich als user einlogge und sudo nutze oder mich gleich als root einlogge.
    Direkt als root ist komfortabler, aber auch nicht immer ungefährlich, man sollte schon wissen was man macht.
    Das muss man bei sudo aber ja auch....

    Darüber hinaus laufen eh alle Tasks und Skripte etc. unter root. Zumindest bei meinem OMV. Ausnahme: TVheadend.

    Mein OMV ist allerdings auch nicht zum Inet offen und wird es auch nicht da ich da keinen Bedarf habe. Und für den Fall das doch habe ich VPN.
    Für Dienste die ständig mit dem Inet verbunden sind habe ich einen Pi 24/7 laufen worauf keine an Daten liegen.

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Ich finde es als sehr suspekt sich als root anzumelden. Das habe ich bei meinen Kisten auch unterbunden. Weder per ssh noch direkt an der Maschine. Ich muss aus Sicherheitsgründen immer erst zu root werden.
    Alles andere würde mich nicht mehr schlafen lassen.

    Sudo ist meiner Meinung nach auch nur sinnig, wenn man die Befehle einzeln festlegt die ausgeführt werden dürfen und diese sehr vorsichtig aussucht für einen eingeschränkten Personenkreis. Wie das ubuntu z.B. macht gefällt es mir überhaupt nicht.

    Zitat

    Auf openELEC loggt man sich auch grundsätzlich auch als root ein....

    Ich glaube hier ist es etwas anders, da es kein vollständiges Linux ist auf dem man schalten und walten kann wie man möchte. Da ist selbst root recht eingesperrt.

  • Ja das stimmt schon, auf openELEC hat man selbst als root so gut wie keine Rechte...

    Vielleicht fehlt mir da nur (wichtiges) Wissen, aber ich sehe keinen Grund warum ich unruhig schlafen sollte weil mein root-Zugang per ssh zugänglich ist (Im LAN).
    Zugang vom Internet ist nicht eingerichtet, keine Portweiterleitung etc und der Root-Account hat ein gutes Passwort. Fail2ban folgt noch.

    Als ich noch Windows genutzt habe war mein Standard-Account auch grundsätzlich ein Administrator-Account was auch nie ein Problem war. Und der war deutlich schlechter abgesichert...

    Bin für eine "Belehrung" gern offen...

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Nun ja...
    Erst mal bin ich absolut paranoid, dass muss ich wohl vorweg stellen.

    Ich hätte da z.B. eine Sicherheitslücke bei mir, meine Freundin. Die durfte in unser WLAN mit ihrem Handy. Bedeutet, wenn sie das verliert ist der potentielle Angreifer schon im LAN. Das 4 Zeichen Passwort auf dem Telefon meiner Freundin werte ich nicht als Sicherheit.
    Daher habe ich z.B. für ihre Geräte ein eigenes Netz aufgezogen - solange sie sich weigert ein sicheres Passwort zu nutzen.

    Was machst du wenn WLAN Geräte verloren gehen? Hast du Freunden Zugang zu deinem WLAN gegeben? Stellst du sicher das die Geräte, wenn sie Verkauft werden entsprechend gelöscht werden? Sicher kann man auch anders noch Sicherheiten einbauen, ich mache einfach den root Zugang zu. Neben einigen Dingen mehr ;)

    Z.B. bekomme ich bei jedem root-Login sofort eine Push-Nachricht auf mein Handy. Dann weiß ich ja, ob ich das selbst war.


    Was mir noch einfällt:
    Ein Angreifer weiss, dass es einen root gibt. Dann braucht er "nur" noch das Passwort. Wenn root verboten wird, braucht der Angreifer erst einen Benutzernamen + Passwort, und ein weiteres Passwort. Viel mehr Aufwand also.

    Kein Backup - kein Mitleid!

    Einmal editiert, zuletzt von BigChris (1. März 2015 um 19:25)

  • Nun ja...
    Erst mal bin ich absolut paranoid, dass muss ich wohl vorweg stellen.


    Eine gewisse paranoidität (schreibt man das so?) ist heutzutage sicher nicht verkehrt....

    Zitat


    Ich hätte da z.B. eine Sicherheitslücke bei mir, meine Freundin. Die durfte in unser WLAN mit ihrem Handy. Bedeutet, wenn sie das verliert ist der potentielle Angreifer schon im LAN. Das 4 Zeichen Passwort auf dem Telefon meiner Freundin werte ich nicht als Sicherheit.
    Daher habe ich z.B. für ihre Geräte ein eigenes Netz aufgezogen - solange sie sich weigert ein sicheres Passwort zu nutzen.

    Interessanter Punkt über den ich in der Tat noch nicht nachgedacht habe!
    Natürlich haben die Geräte meiner Freundin WLAN-Zugang ;).
    Das einzige Gerät meiner Freundin welches das Haus verläßt ist das iPhone. Gesichert ist dies per TouchID. Für den Otto-Normal Dieb oder "Finder" also wohl nicht zu knacken.
    Selbst wenn, wird er nur mit dem iPhone selbst ins WLAN kommen, ohne weiteres ist das Passwort nicht einzusehen.
    Ich wüßte nicht wie....

    Mir wurde bereits einmal ein iPhone gestohlen, hier kann ich aus Erfahrung sagen: Das letzte was einen Dieb interessiert ist mein WLAN ;)

    Zitat


    Was machst du wenn WLAN Geräte verloren gehen? Hast du Freunden Zugang zu deinem WLAN gegeben? Stellst du sicher das die Geräte, wenn sie Verkauft werden entsprechend gelöscht werden? Sicher kann man auch anders noch Sicherheiten einbauen, ich mache einfach den root Zugang zu. Neben einigen Dingen mehr ;)

    Gäste erhalten lediglich Zugang zum Gäste-WLAN welches lediglich surfen und mailen erlaubt. Alles andere ist gesperrt.
    Zumindest sagt das meine FritzBox ;)
    Trotzdem sind sämtliche Zugänge zum Server (WebGUI aller Dienste, ssh) mit einem 11-16 stelligen Passwort gesichert, inklusive Sonderzeichen.
    Jede Verbindung mit dem Gäste-WLAN wird mir per Mail angezeigt.

    Zitat


    Z.B. bekomme ich bei jedem root-Login sofort eine Push-Nachricht auf mein Handy. Dann weiß ich ja, ob ich das selbst war.


    Hier würde mich interessieren wie das geht. Da hätte ich Interesse dran!

    Zitat


    Was mir noch einfällt:
    Ein Angreifer weiss, dass es einen root gibt. Dann braucht er "nur" noch das Passwort. Wenn root verboten wird, braucht der Angreifer erst einen Benutzernamen + Passwort, und ein weiteres Passwort. Viel mehr Aufwand also.

    Da hast du allerdings recht, da ist deutlich mehr Sicherheit geboten.

    Meine Antworten bitte nicht falsch verstehen, möchte deine Einstellung zur Sicherheit nicht widerlegen o.ä., sondern lediglich meine Einstellung verdeutlichen um evtl. was dazu lernen oder zu sehen wo meine Fehler liegen..

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Eine kleine Anekdote zur Überwachung, und warum Vorratsdatenspeicherung weiterhin versucht wird einzuführen.
    Arbeiten als Root würde ich auch nicht grade empfehlen, eine vorhandene Sicherheitslücke kann so natürlich ohne Umschweife ausgenutzt werden, aber grundlegend muss man ja erst mal überhaupt Systemzugriff haben, um dies auch auszunutzen. Was mich aber immer wieder Wundert; und Tuschhuldigung wenn ich etwas abschweife; ist die tatsche das sich im Zuge des Profil/Daten Sammelwahns der Industrie, Geheimdienste etc. im WWW keine bis kaum Sicherheitsbedenken gibt.

    Ich versuche das mal einfach auszudrücken, es gibt 2 Typen im WWW entweder (TYP A) diejenigen welche dich direkt attackieren (Persönlich) Unwahrscheinlichste Methode, oder einfach diejenigen (Typ B)welche breit flächig nach Schwachstellen suchen(Pauschal). Typ B stellt für die meisten halbwegs versierten Computerusern kein Problem da. Mit der Vergabe verschiedener und Ordentlicher Passwörter sowie einem Aktuellen upgedatetem System werden vermutlich 99% aufgrund des erhöhten Aufwandes abgeschreckt. TYP A ein Persönlicher Hack, kommt zu 99% nur zustande wenn man z.B. auffällig Straffällig handelt(schon allein wegen Staatlicher Gesetze), Drogenhandel über das WWW etc. Eine Unwahrscheinliche Möglichkeit wäre vielleicht noch die Persönlicher Rachefeldzug eines Bekannten. Nur um ganz kurz mal die Möglichkeit eines Angriffes zu schildern und die völlig unterschiedlichen Typen mit dehnen man es zu tun haben könnte.(für den Hinterkopf)

    Worauf ich jedoch hinaus will heutzutage ist man, an Datensätzen interessiert und nicht daran einen kleinen Raubkopierer seine TB große Film Sammlung für daheim Strittig zu machen. Hierfür zahlt erst mal niemand und Ankläger
    gibt es auch nicht, da der Nachweis im Vorfeld meist fehlt(Gibt da natürlich immer vollfposten^^). Die folge anklage wird vermutlich niemand erheben, da der Nachweis über einen Hack eben auch nicht Beweiskräftig ist. Als Hacker ist man jedoch nicht unbedingt an den Daten auf deinen Rechner interessiert, sondern mehr an diesem als Zentralen Verteiler zwischen all deinen Aktivitäten. Ein Persönlicher Hack könnte z.B. deine Aktivitäten verfolgen und bestimmen wann man Daheim anwesend, in den Urlaub fährst, oder einen Mechaniker bestellt. Wie man so etwas ausnutzt sei erst mal dahin gestellt.

    Kommen wir aber zu den Punkt worauf ich hinaus will, angenommener Fall Person X wird überwacht (ist gehackt wird Online observiert[dazu müsste man nicht zwangsweise auf den Rechner zugriff haben]), wichtig wäre eine
    Lückenlose Überwachung oder?

    Wenn ich also eine Person X überwachen will (Persönlich)lege ich ein Profil an, in den Zeiten von Internet eine Datenbank. Dazu nutze ich als Basis z.B. das Wissen aus die Person X ist aktiv auf Forum XY. Dort logt er/sie sich mit
    einem Synonym ein, über Umwege habe ich die Kenntnis über min. eine weitere Tätigkeit die diese Person damit verbindet. (Könnte schon ein Passender Onlinezyklus mit dem Daheim zeitgleich brennenden Licht sein, oder die vorliebe für eine Internetseite) Die im Internet gesuchte Person ist bereits jetzt auf ein Paar wenige beschränkt. Weiterhin erweitere ich die Datenbank aller in Frage kommenden Personen. Je unvorsichtiger und vor allem, bei je mehr Konten er/sie sich anmeldet, desto zuverlässigere Daten erhält man. Beispiel: Person X heute seinen unvorsichtigen Tag logt sich in Forum Daheim am PC ein, verknüpft eine Nachricht dort mit seiner E-Mail auf einer
    Mobilen IP, die gleiche Startseite läuft auf beiden Geräten, und logt sich zuletzt in eine Cloud XY ein. Könnte mit einer zunehmenden anzahl von Daten per Elektrischer Rasterfahndung immer Genauer und einfacher werden.

    Person X geht erneut online, und trotz dessen das er sich über eine grade Neu erworbene Prepaid Karte einwählt, ist er/sie schon im Kreis der Verdächtigen observierten der Observation. Wie ist das möglich ganz einfach
    1.) Internet Konten 5 Minuten Online und man hat sich eventuell auch völlig automatisiert, in eine reihe an Internetkonten eingeloggt.(Automatische Updates Addons, Plugins, Cloud Dienste, bevorzugte DNS etc.) Selbst wenn dort keine Real Namen oder Adressen vorliegen, am Beispiel der Rasterfahndung kann ich den User aufgrund der Kontennutzung auf eine geringe Anzahl der gesuchten Beschränken 2.) Nehme ich die Typisch besuchten Internetseiten dazu kann ich den Personenkreis weiter einschränken 3.) Verhalten ein Schreibstil eine Typische Angewohnheit z.B. ein häufiger Tippfehler, eine der Reihenfolge nach abzuarbeitende Gewohnheit das alles kann verräterisch sein.

    So weit so gut das Tollste daran ist jedoch, dazu muss man nicht mal prinzipiell auf deinem System Zugangsrechte besitzen, das könnte man z.B. wenn man den Provider oder Internet Einwahlknoten überwacht, oder sonst wie großflächig Serverdaten mitloggt. Zur Erinnerung hörten wir nicht kürzlich ähnliches über gewisse Geheimdienste.

    Sicher gibt es Möglichkeiten meine IP zu verstecken, brauche ich diese in der heutigen Zeit, wo ganze Serverparks gebaut werden nur um Datenbanken über dein Surfverhalten anzulegen? Ich bin mir zwar nicht sicher wie weit die Automatische erkennung in dem Bereich von den Geheimdiensten fortgeschritten ist, bin mir aber sicher das an einer Perfektionierung gearbeitet wird.

    Ich hoffe ich konnte es einigermaßen verständlich ausdrücken, die Personen Identifizierung der Zukunft, wird nicht über Hacks oder Gesichtserkennung stattfinden, sondern über Profildatenbaken deines Surfverhaltens. Und momentan machen 99,9% daran fleißig mit, diese breitgefächert im Internet zu veröffentlichen. Es dürfte vermutlich Leistungstechnisch nicht mehr lange dauern, das man anhand ein Paar wenigen Verhaltensweisen
    im WWW, dich völlig automatisch einem Profil zuordnen kann, und mithilfe von Datenbanken an jedem PC der Welt Egal ob Internetcafé oder Fremdes Handy ausfindig zu macht.

    Warum eigentlich dieser Weg?
    Meine Antwort: Hat mehrere Vorteile, die Person ist leichter Kontrollierbar aufgrund der Vielfalt an Informationen, das wichtigste ist aber der Anschein des Freiheitlich recgelrecht Gepredigtem Lebensstils, es gibt auf
    diesem Planeten scheinbar Institutionen die ihre Angst damit versuchen zu unterdrücken, indem sie mehr Informationen Sammeln.
    Rechtlich ist das in den meisten Staaten ein Problem. Auf diese weise überwache ich nicht eine Person sondern lege Datenbanken über alles an, was mir verdächtig erscheint. Die ich nicht mal unbedingt einer Person zuordnen muss aber dennoch alles über sie weiß.

    Ich weiß, manchmal hab ich so eine Krankheit da muss ich einfach Schreiben. :whistling:

    Niemand ist frei, der über sich selbst nicht Herr ist. "Matthias Claudius"

    2 Mal editiert, zuletzt von felixNew (2. März 2015 um 17:47)

  • Vielen Dank euch allen.
    Wie ich schon selber sagte, ich finde es eben auch etwas seltsam unter OMV alles als root zu erledigen und eure Beiträge bestärken mich in der Annahme.
    Die Frage ist jetzt nur, wenn ich den root Account deaktiviere, können mir daraus Probleme entstehen?
    Ich meine ich habe bisher alle Pakete die ich installiert als root installiert. Kann es sein das danach einige nicht mehr laufen?
    Und was ist mit der OMV Benutzeroberfläche? Könnten sich durch die Deaktivierung dort auch Probleme ergeben?

  • Mal spaßeshalber in den Raum gestellt: Es verbietet Dir doch niemand den SSH Zugang für root zu unterbinden und einem unpriviligierteren User den Zugang zu ermöglichen, oder?

    so sehe ich das auch. Root als user wird ja nicht entfernt, sondern nur der ssh zugang unterbunden

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Vielen Dank euch allen.
    Wie ich schon selber sagte, ich finde es eben auch etwas seltsam unter OMV alles als root zu erledigen und eure Beiträge bestärken mich in der Annahme.
    Die Frage ist jetzt nur, wenn ich den root Account deaktiviere, können mir daraus Probleme entstehen?
    Ich meine ich habe bisher alle Pakete die ich installiert als root installiert. Kann es sein das danach einige nicht mehr laufen?
    Und was ist mit der OMV Benutzeroberfläche? Könnten sich durch die Deaktivierung dort auch Probleme ergeben?

    Mehja.... Also da gibbet ja eigentlich 2 verbreitete Ansätze:

    Bsp:
    Ubuntu: da machst du alles als unprivlegierter User und für die root Geschichten musst du dann mit sudo arbeiten. Login als root geht garnicht.
    Debian: hat standardmäßig kein sudo installiert, da musst du dich entweder direkt als root einloggen oder halt mit 'su' zu root werden.

    Also das du dich als root einloggen kannst ist der "ursprünglichere" weg (dieses sudo kam erst später soweit ich weiß). Das ist nicht unbedingt schlechter. Ich persönlich wechsel lieber per 'su' permanent zu root und erledige da meine (System-)Arbeiten, dieses sudo gefrickel liegt mir garnicht. Da ich das ja jedem Befehl voran stellen muss ist es auch umständlich imho.

    Wie root2 schon richtig schreibt solltest du halt nur sicherstellen, dass kein root zugang per ssh möglich ist. Sonst seh ich da auch kein Problem.

    Dekativieren würde ich den root account (nachträglich) definitiv nicht. Das kann eigentlich nur schief gehen ;)

    with great power comes great electricity bill!

  • So bin wieder back.
    Mich hatte die Männergrippe erwischt :D würde meine Frau sagen.

    Vielen Dank für die vielen Vorschläge.
    OK die vernünftigste Lösung scheint mir das sperren des root Zugriffs über ssh.
    Gilt das dann nur für den Zugriff von außen oder ist damit dann auch kein Zugriff mehr übers LAN möglich?
    Das wiederum wäre ja dann etwas blöd.

  • Wenn der root Zugang für SSH gesperrt ist dann für alle Zugangsarten. Wäre ja auch etwas riskant, wenn sich ein Angreifer Zugang zum LAN verschaffen kann :)
    Aber Du kannst ja dennoch auch mit einem unpriveligierten Benutzer durch sudo Befehle als root ausführen.

    OpenELEC 5.0 Final (5.0.7 / 5.0.8 github) | SolidRun CuBox-i4Pro (CPU: ARM Cortex A9 | GPU: Vivante GC2000)
    Kein kodi.log => Kein Support! | Spendier' mir ein Bier!

    Einmal editiert, zuletzt von root2 (10. März 2015 um 12:07)

  • Musst du doch gar nicht mach einfach ein "sudo -s" schon gilt das ganze für die Session...


    Genau das. Oder wenn Du auch noch zur kompletten Umgebung von root wechseln möchtest dann ein sudo -i oder sudo su -.
    "Zu umständlich" ist also keine Ausrede :)

  • Hallo User,

    was hat sich OMV dabei gedacht, nur ein root Login per SSH zuzulassen?

    Installiere ich ein neues Debian 9 Stretch, kann ich mich nicht als root einloggen.
    Wenn ich jetzt die die Sourcen von OMV eintrage und OMV installiere, ist ein Login per SSHH nur als root.

    Das verstehe ich nicht, so richtig eine Antwort gabe hier im Thread nicht.

    Was hat haben die Entwickler sich dabei gedacht?

    MfG

    jenswo

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!