root:n salasanan vaihtaminen

[mro59]

Noinkin yksinkertaisen asian kanssa on ongelmia

Käsitin näin:rootin salasana vaihdetaan "sudo passwd root".

Komento meni läpi aivan ok. Salasana pysyi kuitenkin entisenä!

Mikä mättää viisaat? Kertokaa se hänelle.

[Squirrel]

Millä tavalla testasit, että se vaihtui? Sudohan kysyy sun omaa salasanaa, ei rootin.

Rootin salasanaa voit kokeilla komennolla su - taikka kun KDE / Gnome kysyy tunnusta, paina CTRL + ALT + F1 ja kirjaudu roottina.

Jos rootin salis ei todellakaan vaihtunut, kokeile:

Koodia: [Valitse]

sudo su -
passwd


[Kelmi]

Hmmm.. Eikös rootin oikeuksia pääse käyttämään omalla salasanalla kun taas varsinaiselle root-käyttäjälle on oma salasanansa joka vaihtuu tuolla 'sudo passwd root' -komennolla?

Elikkäs elikkäs. Vaihdoit rootin salasanan etkä omaasi. Oman salasanasi voit vaihtaa paikasta Järjestelmä | Ylläpito | Käyttäjät ja ryhmät


Eikös se jotakuinkin noin mene?

olli@muumimaailma:~$ sudo passwd root
Password:        # Oma salasanani
Enter new UNIX password:            # Uusi rootin salasana
Retype new UNIX password:          # Uusi rootin salasana uudelleen
passwd: salasanan päivitys onnistui
olli@muumimaailma:~$ su
Password:                                     # Rootin salasana
root@muumimaailma:/home/olli# exit
exit
olli@muumimaailma:~$ sudo su
root@muumimaailma:/home/olli# exit
exit
olli@muumimaailma:~$ sudo apt-get update
Password:                                     # Oma salasanan
Noudettiin 4782t ajassa 4s (1191t/s)
Luetaan pakettiluetteloita... Valmis
olli@muumimaailma:~$

[Squirrel]

Hmmm.. Eikös rootin oikeuksia pääse käyttämään omalla salasanalla kun taas varsinaiselle root-käyttäjälle on oma salasanansa joka vaihtuu tuolla 'sudo passwd root' -komennolla?

Elikkäs elikkäs. Vaihdoit rootin salasanan etkä omaasi. Oman salasanasi voit vaihtaa paikasta Järjestelmä | Ylläpito | Käyttäjät ja ryhmät


Eikös se jotakuinkin noin mene?

Juu, noinhan se menee. Tosin oma salasana vaihtuu myös pelkällä passwd komennolla.

[mro59]

Noinhan se on. Vaihdoin siis rootin salasanan, enkä omaani.

Olen luullut koko ajan Ubuntua käyttäessäni, ettei varsinaista rootin salasanaa ole olemassakaan, vaan ns. pääkäyttäjän oikeuksin  varustettu, saa rootin oikeudet laittaessaan sudo- komennon jälkeen oman salasanansa uudelleen. Näin ei siis olekaan.
Luulo (tieto) perustuu ubuntu- tuen antamaan ja sivustoilta saamaani tietoon. Ilmeisesti olen kuunnellut ja lukenut huonosti. Muistelen, että Ubuntun paremmuutta perusteltiin juuri em. ominaisuudella: siis että root- oikeudet ovat vain "tilapäisesti" käytössä, jolloin ei tule tehtyä sitä virhettä, että operoi vaikka koko viikon täysillä oikeuksilla.

Onko siis "varsinaisella" rootilla enemmän oikeuksia kuin tällä "tilapäisrootilla" (vai mikä se sitten onkaan)?

Toivottavasti kukaan ei provosoidu vuodatuksestani. Olen käyttänyt Ubuntua nyt kai puoli vuotta ja varsin  tyytyväinen olen. Tosin tarvitse säännöllisesti maksullista tukea, laiska kun olen. Sikäli linuxin "ilmaisuus" on osittain harhaa.

No, nyt tippui juna pahasti raiteiltaan.

[Squirrel]

Olen luullut koko ajan Ubuntua käyttäessäni, ettei varsinaista rootin salasanaa ole olemassakaan, vaan ns. pääkäyttäjän oikeuksin  varustettu, saa rootin oikeudet laittaessaan sudo- komennon jälkeen oman salasanansa uudelleen. Näin ei siis olekaan.

Rootilla ei ole salasanaa, kun (K)Ubuntu asennetaan, se täytyy luoda jälkikäteen, jos sitä tarvitsee, juuri tuolla tavalla, minkä esimerkin itsekkin annoit.

Rootille ei ole välttämätöntä tehdä salasanaa ollenkaan, mutta ei siitä haittaakaan ole. Nyt kun kuitenkin rootilla on salasana, niin kannattaa estää rootin loggautuminen ssh:lla, Debianissa se on /etc/ssh/sshd_config tiedostos (permitrootlogin yes --> no), mutta Ubuntusta sitä en ole vielä löytänyt, tosin en ole sitä etsinytkään.

Luulo (tieto) perustuu ubuntu- tuen antamaan ja sivustoilta saamaani tietoon. Ilmeisesti olen kuunnellut ja lukenut huonosti. Muistelen, että Ubuntun paremmuutta perusteltiin juuri em. ominaisuudella: siis että root- oikeudet ovat vain "tilapäisesti" käytössä, jolloin ei tule tehtyä sitä virhettä, että operoi vaikka koko viikon täysillä oikeuksilla.

Jos em. mainittua ominaisuudella perustellaan Ubuntun paremmuutta, perustelija on tuuliajolla kuin airoton soutuvene myrskyssä. Koska sama ominaisuus on jokaisessa distrossa, pääkäyttäjän oikeudet saa sudolla, jos se on asennettu. Sudo on ohjelma, vähän sama kuin KDE jne.

Onko siis "varsinaisella" rootilla enemmän oikeuksia kuin tällä "tilapäisrootilla" (vai mikä se sitten onkaan)?

Ei, tosin varsinaisen rootin kotihakemisto on /root, kun sudolla käyttäessäsi se on sun omasi.

Toivottavasti kukaan ei provosoidu vuodatuksestani. Olen käyttänyt Ubuntua nyt kai puoli vuotta ja varsin  tyytyväinen olen. Tosin tarvitse säännöllisesti maksullista tukea, laiska kun olen. Sikäli linuxin "ilmaisuus" on osittain harhaa.

Ei ole tyhmiä kysymyksiä, on vain tyhmiä vastauksia.

[ilkkak]

Olen luullut koko ajan Ubuntua käyttäessäni, ettei varsinaista rootin salasanaa ole olemassakaan, vaan ns. pääkäyttäjän oikeuksin  varustettu, saa rootin oikeudet laittaessaan sudo- komennon jälkeen oman salasanansa uudelleen. Näin ei siis olekaan.

Olin ällikällä lyöty kun huomansin, ettei rootilla ole oletuksena laisinkaan salasanaa. Recovery-moodissa kuka vaan pääsee pääkäyttäjäksi.Onistuuko roottina kirjautuminen verkonkin yli, jos sattuu laittamaan ssh-palvelun päälle (onko kukaan kokeillut)?. Onnistuuko konsolille kirjautuminen?

Siis ehdottomasti ensitöikseen
sudo passwd root

Alla chage-komennon tuloste rootille.Aika mielenkiintoinen

sudo chage root
Muutetaan käyttäjän root vanhenemistietoja
Syötä uusi arvo tai paina ENTER jättääksesi oletuksen

        Salasanan ikä vähintään

• :

        Salasanan ikä korkeintaan [99999]:
        Viimeisin salasanan vaihto (VVVV-KK-PP) [2006-11-13]:
        Salasanan vanhenemisvaroitus [7]:
        Salasana pois käytöstä [-1]:
        Tunnuksen vanhenemispäiväys (VVVV-KK-PP) [1969-12-31]:

[Squirrel]

Olin ällikällä lyöty kun huomansin, ettei rootilla ole oletuksena laisinkaan salasanaa. Recovery-moodissa kuka vaan pääsee pääkäyttäjäksi.Onistuuko roottina kirjautuminen verkonkin yli, jos sattuu laittamaan ssh-palvelun päälle (onko kukaan kokeillut)?. Onnistuuko konsolille kirjautuminen?

Ei taida päästä, en ainakaan päässyt työpaikan koneelle ssh:lla rootiksi.

[raimo]

Siis ehdottomasti ensitöikseen
sudo passwd root

Niin, siis juurikin niin että juurikaan EI tuota ensitöikseen, koska jos tuon teet niin
silloin root pääsee kirjautumaan.

Eli kerrataanpa nyt vielä tämä.
Ubuntussa root EI pääse kirjautumaan koska rooti:lla ei ole salasanaa jolla hän kirjautuisi.
Ja mitään tarvetta sille että root pääsisi kirjautumaan ei oikeasti ole olemassa.

Root kirjautuminen on estetty juuri siksi että on TURVALLISEMPAA kun root ei pääse kirjautumaan.
Josta voi maalaisjärjellä päätellä että on TURVATTOMAMAPAA jos root pääsee kirjautumaan.
Ja root pääsee kirjautumaan jos root:lle annetaan salasana jotta root voi kirjautua.

Simppeliä, hä?

Mutta sekoittakaa vain rauhassa omat koneenne, aloittelijoiden on kuitenkin hyvä pysyä Ubuntun
TURVALLISESSA oletusmallissa, jossa root-käyttäjä ei siis pääse ollenkaan kirjautumaan.

Mitä Recovery-mode:n tulee, niin siihen löytyy hyvä Jannen tekemä Howto tuolta howto-alueelta,
edit: http://forum.ubuntu-fi.org/index.php?topic=134.0

Aloittelija = Ubuntu aloittelija, tuntuu että pitäisi vaihtaa tuo alueen otsikko jopa?

[mro59]

Mutta sekoittakaa vain rauhassa omat koneenne, aloittelijoiden on kuitenkin hyvä pysyä Ubuntun
TURVALLISESSA oletusmallissa, jossa root-käyttäjä ei siis pääse ollenkaan kirjautumaan.

No kerro sitten seuraavaksi, miten poistan tuon "vahingossa" tekemäni (turhan ja vaarallisen) rootin salasanan?

[Squirrel]

Kannattaa ainakin ensimäiseksi estää rootin kirjautuminen ssh:lla:

Koodia: [Valitse]

sudo su -
joe / pico / nano /etc/ssh/sshd_config
{vaihda PermitRootLogin yes:stä no:ksi}
/etc/init.d/sshd reload


[raimo]

No kerro sitten seuraavaksi, miten poistan tuon "vahingossa" tekemäni (turhan ja vaarallisen) rootin salasanan?

Koodia: [Valitse]

sudo passwd --lock root

kts. man passwd

[janne]

No kerro sitten seuraavaksi, miten poistan tuon "vahingossa" tekemäni (turhan ja vaarallisen) rootin salasanan?

Koodia: [Valitse]

sudo passwd --lock root

kts. man passwd

--delete taitaa toimia ihan yhtä lailla --lock:n sijaan. itse asiassa tuo --delete taitaa vastata tuota alkuperäistä tilaa, joskaan käyttäjän kannalta tuolla ei pitäisi olla mitään väliä.

[janne]

Mutta sekoittakaa vain rauhassa omat koneenne, aloittelijoiden on kuitenkin hyvä pysyä Ubuntun
TURVALLISESSA oletusmallissa, jossa root-käyttäjä ei siis pääse ollenkaan kirjautumaan.

minä olen oikeastaan sitä mieltä, että ei edistyneemmilläkään käyttäjillä pitäisi olla mitään syytä asettaa rootin salasanaa. ubuntu on valinnut tavakseen toimia pelkän sudon voimin ja se riittääkin (miltei? ei tule mitän mieleen mihin ei riittäisi) kaikkeen.

tämä tarkoittaa sitä, että koneelle ei pääse kirjautumaan roottina, mutta käynnistäessä konetta ja valitessaan single user moden (mikä lie recovery mode se onkaan siinä boottivalikossa), käyttäjä pääsee suoraan rootin shelliin (komentotulkkiin)*. kyseisen toimenpiteen voi estää asettamalla grubiin salasanan joka vaaditaan single user modeen bootatessa. muistaakseni kirjoittelin tuosta joskus ohjeenkin tuonne HOWTO-puolelle.

(* tuostapa tulikin mieleeni, että jos rootille asettaa kryptatun merkkijonon jota vastaavaa salasanaa ei voi olla olemassa (--lock), niin onko single user modeen enää mahdollista bootata?)

ja sitten iskee paranoia...

toki tuokin on turha toimenpide jos koneella istuu ihmisiä joihine ei luota. siinä tapauksessa pitää myös estää cd:ltä boottaminen biosista (jotta käyttäjä aja live-levyä ja chroottaa omaan asennukseen) ja asettaa biosiin salasana sekä tietysti varmistaa, ettei käyttäjä pääse käsiksi koneen sisuksiin ja resetoi biosia.

paikalliselta käyttäjältä suojautuminen olisi ehkä helpointa asentamalla ubuntu saman tien kryptatulle levylle, jotta kukaan kryptauksen purkamiseen vaadittua salasanaa tietämätön ei voisi käynnistää konetta tai mountata osioita muista käyttöjärjestelmistä.

paitsi jos paikallinen käyttäjä varastaa kiintolevyn ja tällä on käytössään tarpeeksi resursseja kryptauksen murtamiseksi...

[raimo]

(* tuostapa tulikin mieleeni, että jos rootille asettaa kryptatun merkkijonon jota vastaavaa salasanaa ei voi olla olemassa (--lock), niin onko single user modeen enää mahdollista bootata?)

Pääsee kyllä Recovery mode:n (single user) vaikka olisikin --lock asetettu, kokeilin jopa varmuudeksi.
Mutta ilman muuta tuo --delete on parempi, koska se tosiaan lienee se oletustilanne.

Eli root:n kirjautumismahdollisuus poistetaan näin:

Koodia: [Valitse]

sudo passwd --delete root

Itse en tosiaan ole tarvinut Ubuntussa vielä root -kirjautumista, enkä usko että tulen tarvitsemaankaan.
Jotenkin vain aina välillä joutuu tästä asiasta vääntämään lähes hiki päässä, mutta ei se mitään.

[ilkkak]

tämä tarkoittaa sitä, että koneelle ei pääse kirjautumaan roottina, mutta käynnistäessä konetta ja valitessaan single user moden (mikä lie recovery mode se onkaan siinä boottivalikossa), käyttäjä pääsee suoraan rootin shelliin (komentotulkkiin)*. kyseisen toimenpiteen voi estää asettamalla grubiin salasanan joka vaaditaan single user modeen bootatessa. muistaakseni kirjoittelin tuosta joskus ohjeenkin tuonne HOWTO-puolelle.
s paikallinen käyttäjä varastaa kiintolevyn ja tällä on käytössään tarpeeksi resursseja kryptauksen murtamiseksi...

Totta. Siis yleisessä käytössä oleva kone tulee suojata (koulut yms.). Grub-salasanasuojaus on kuullun perusteella siis se oikea tapa, jolla estää single-user moden tipahtamisen suoraan root-tilaan (Muistaakseni multiboot valikko kuitenkin onnistuu).  Root jääköön rauhaan. Bios salasana sekä bootti-esto muualta kuin kovalevyltä tietysti myös.

Asiasta kolmanteen (menee vähän ohi - sorry). Kyllä tämä ubuntu sietäisi vielä uudistuksia. Se on mielestäni tehty yhden käyttäjän järjestelmäksi, jossa sama käyttäjä sudo:lla hoitelee admin-hommia. Muille käyttäjille pitää antaa erikseen oikeudet cd-polttoon, ääniin, cd-lukemiseen. jne.... . Onko edgy eft -versio tuonut tähän parannusta? Itsellä vielä dapper.

[janne]

Asiasta kolmanteen (menee vähän ohi - sorry). Kyllä tämä ubuntu sietäisi vielä uudistuksia. Se on mielestäni tehty yhden käyttäjän järjestelmäksi, jossa sama käyttäjä sudo:lla hoitelee admin-hommia. Muille käyttäjille pitää antaa erikseen oikeudet cd-polttoon, ääniin, cd-lukemiseen. jne.... . Onko edgy eft -versio tuonut tähän parannusta? Itsellä vielä dapper.

siis tuohan on nimenomaan siitä syystä, että ubuntu (linuxit yleensä) on tarkoitettu usean käyttäjän käyttöjärjestelmiksi. oikeuksienhallinta on juuri sitä varten, että käyttäjien oikeuksia toimia järjestelmässä voisi rajoittaa järkevästi. etäkäyyäjille on toki erilaiset oikeudet kuin paikallisille ja paikallisistakin kaikkien ei tarvitse tehdä kaikkea. jos taas jotain tarvitaan, niin käyttäjä lisätään asianmukaiseen ryhmään ja homma toimii automaattisesti.

mikä tässä on varsinaisesti se ongelma?

[mro59]

Kylläpäs tuli neuvoja ja muuta. Kiitos niistä. Näköjään epätietoisuutta ao. asiasta on muillakin. Ts. on aina helpottavaa huomata, ettei ole ainoa tietämätön (tyhmä).

Rootin salasana on nyt sitten poistettu (lukittu?) ohjeen mukaan: "sudo passwd --lock root". Toivottavasti tuosta ei tule jälkeenpäin jotain harmia.

[juyli]

käyttäjillä pitäisi olla mitään syytä asettaa rootin salasanaa. ubuntu on valinnut tavakseen toimia pelkän sudon voimin ja se riittääkin

Jeps. Sudo riittää kaikkeen ylläpitoon. Olen kuitenkin joskus aiemmin törmännyt tilanteeseen, jossa
muuten mainiosti toiminut sudo ei toiminut. Liittyi koneen ajan muuttamiseen ntpdate -ohjelmalla.
Sudo tallentaa aikaleiman, josta tarkistetaan ainakin se, tarvitaanko salasanaa uudelle sudo-komennolle.
Jos kelloaika menee sopivasti sekaisin, saattaa sudo kiukutella (=lue ei toimi).

Jos sudo ei toimi, toimii aina su.

En kuitenkaan enää käytä root-tunnusta, vaan pitäydyn Ubuntun oletusasetuksissa, koska
man sudo kertoo:
       -K  The -K (sure kill) option is like -k except that it removes the
           user’s timestamp entirely.  Like -k, this option does not require a
           password.
       -k  The -k (kill) option to sudo invalidates the user’s timestamp by
           setting the time on it to the epoch.  The next time sudo is run a
           password will be required.  This option does not require a password
           and was added to allow a user to revoke sudo permissions from a
           .logout file.

[raimo]

Jeps. Sudo riittää kaikkeen ylläpitoon. Olen kuitenkin joskus aiemmin törmännyt tilanteeseen, jossa
muuten mainiosti toiminut sudo ei toiminut. Liittyi koneen ajan muuttamiseen ntpdate -ohjelmalla.
Sudo tallentaa aikaleiman, josta tarkistetaan ainakin se, tarvitaanko salasanaa uudelle sudo-komennolle.
Jos kelloaika menee sopivasti sekaisin, saattaa sudo kiukutella (=lue ei toimi).

Tuohon itsellänikin joskus ilmenneeseen sudo:n aikaleimaongelmaan pikku vinkki,
joka varmistaa sen että ongelman pääsee helposti korjaamaan jos se ilmenee.
Tosin Recovery mode -buuttauksella pääsee aina korjaamaan, mutta näin toimien sitä ei tarvita.

Avaa 1. terminaaliin root-istunto (sudo su) jo ennen kuin muutat aikaa, ja jätä se avoimeksi.
Älä siis muuta aikaa tässä 1. terminaalissa,

vaan aseta aika 2. terminaalissa.

Testaa sudo:n toiminta muuttamisen jälkeen vaikkapa 3. terminaalissa (tai 2. terminaalissa).
Jos sudo ei sitten toimi, pääset korjaamaan tilanteen 1. terminaalissa
valmiiksi avoinna olevan root-istunnon kautta.

Joten tämänkään (bugin tms.) takia ei tarvitse root-kirjautumista sallia.

Ja tosiaan sudo -K saattaa sekin auttaa sopivasti syötettynä.