LINUX.ORG.RU

Как переименовать root'а?


0

0

Нужно, чтобы в системе не было пользователя root. Вообще не было, но естественно, администратор имелся, но под другим именем. Как это сделать наиболее корректным способом? Читал когда-то описание но забыл.


Ответ на: комментарий от m_m

С кем, с LDAP'ом? Ну, я LDAPе поднимал, поэтому не могу дать точных инструкций при его наличии, а так, думаю, всё то же. Хотя, возможно появление проблем в неготорых прогах и, особенно, в скриптах, в которых написано что-нибудь типа "chown root:root filename". В общем, переименование root'а is not recommended.

watashiwa_daredeska ★★★★
()

Смысл? Суперпользователь имеет uid==0 и gid==0. И по этим признакам однозначно вычисляется. Хоть горшком назови, но /etc/passwd доступен для чтения всем, так что grep ":0:0:" /etc/passwd и все "руты" как на ладони. Закрывать же /etc/passwd на чтение нельзя.

А способ был указан (поправить /etc/passwd и /etc/shadow). Это если нет всяких ldap или TCB (примочка имени ALT Linux).

Obidos ★★★★★
()
Ответ на: комментарий от Obidos

> TCB (примочка имени ALT Linux).

ну, давайте не передергивать факты, TCB - все-таки не "имени ALT Linux" а, скорее, Solar Designer'a, http://www.openwall.com/tcb/

ivlad ★★★★★
()
Ответ на: комментарий от Obidos

> /etc/passwd доступен для чтения всем, так что grep ":0:0:" /etc/passwd

А если в /etc/passwd будет root, а в /etc/shadow как-то по-другому? Ничего не сломается? :)

watashiwa_daredeska ★★★★
()
Ответ на: комментарий от watashiwa_daredeska

Сломается. Допустим, мы поменяли в /etc/shadow root на vasya. Что делать программе /bin/login? Откуда она должна узнать, какой у васи uid и gid? Где его домашняя дира и какой шел он юзает? Эта инфа есть в /etc/passwd. Но в /etc/passwd нет васи.

На самом деле все еще интереснее. Сначала /bin/login лезет в /etc/passwd. И если не обнаруживает там логин юзера, то пишет Login incorrect. Если обнаруживает, то смотрит в поле "пароль". Если оно пустое, значит пароля нет, и в /etc/shadow лезть незачем. Если там 'x', значит пароль в /etc/shadow. Если же "*", значит логин запрещен.

nobody ★★
()

Делюсь личным опытом ! лет 5 назад проводил такой эксперимент по переименованию рута ! Тогда потерпел неудачу .... Столкнулся с тем, что существуют не только скрипты опирающиеся на root но и были прогрммы скомпилированые и опиравшиеся на root Многие скажут можно поменять в сырцах ! Да можно, но в моем случае овчинка не стоила выделки !

sova ★★
()
17 декабря 2004 г.

А не логично ли сделать рута нелогинным, а перед этим настроить sudo на беспарольное подчинение real_administrator-у?

Преимущества:

1. Нельзя залогиниться рутом, следовательно, меньше шансов запороть систему (пока набираешь sudo, успеваешь задуматься: а не ступил ли я?)

2. У взхоббита будет больше головной боли, а значит возможно он сам ступИт, что опять же приятно.

3. Никакие зависимости не страдают.

4. Наконец, если ну совсем уж надо в рута, то sudo sh и вперед (у меня обычно sudo mc, все-таки удалять из него безопаснее, опечататься сложнее).

5. 3-4 года назад в слаке сидел рутом, 1-2 года назад под юзером и su из терминала, сейчас почти исключительно sudo -- и я не могу назвать это регрессом.

P.S. Я вообще-то не знаю, для какой конкретно цели root-а переименовывают, но если для вящей безопасности то вроде все правильно сказал.

lodin ★★★★
()
Ответ на: комментарий от lodin

Интерес был, скорее академический, точнее с заделом на будущее. Спасибо за рекомендации. Хотя, наверное, использовать все время sudo вместо su может утомить. Но где-нибудь на серваке оно правильнее.

m_m
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.