Installation "KEINE Installation v. ioB als root User!"

Homoran

@lächelnundwinken und?

crunchip

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

Und man kann nicht sagen das kein "root mehr direkt" verwendet wird

Na ja, der "eigentliche root" wird deaktiviert, somit auch keine Möglichkeit per root z. B ne ssh Verbindung aufzubauen.

Mit dem weglassen des root Passwortes wird der darauffolgende angelegte Benutzer durch mittels sudo mit den nötigen Rechten ausgestattet.
So steht es auch im Debian Installer

ignis-draco

@Thomas-Braun "Das Password für den Superuser root sollte nicht leer sein" bedeutet also das es der Standard ist ?

@crunchip also root wird deaktiviert wie denn?

Also die Login shell ist schon mal normal:

und auch in der Shadow Datei ist root noch aktive ( nur kein PW ist gesetzt)

und usermode -L macht auch nichts anderes als das es das Password mittel eines ! ausschaltet.

Und zu der Sache mit ssh. Ein Blick in die sshd_config Manpage sagt.

PermitRootLogin
    Specifies whether root can log in using ssh(1). The argument must be yes, prohibit-password, forced-commands-only, or no. The default is prohibit-password.

Also du kannst ja mal testen. Erzeuge eine ssh-key packe den in die .ssh/authorized_keys Datei deines deaktivierten root benutzt und verbinde dich mit ssh (natürlich mit key) und staune.

P.S. : sorry für meinen Sarkastischen Unterton.

Homoran

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

"Das Password für den Superuser root sollte nicht leer sein" bedeutet also das es der Standard ist ?

Das ist ja das irreführende.

Der Satz bedeutet nur, dass man den root nicht ohne Passwort betreiben könnte und müsste heissen

Das Password für den Superuser root sollte nicht leer sein, wenn root für irgendeinen ganz besonderen Zweck verwendet weden muss/soll

Und ja, Standard ist leer, damit der erste User via sudo due Rootrechte bekommt.

Der Rest passt ja.

ignis-draco

@Homoran

Wie wäre es mit einer Quelle ?

Debian Wiki

Thomas Braun

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

"Das Password für den Superuser root sollte nicht leer sein" bedeutet also das es der Standard ist ?

Ich sage ja, der Text im Installer ist unglücklich/missverständlich.
Wird wohl auf die üblichen 'Grabenkämpfe' bei Debian zurückzuführen sein.
Jedenfalls ist der volle root-account ein Ding aus der Vergangenheit und wird nur aus historischen Gründen da erwähnt, aktuell soll es ohne aktiviertem root installiert werden.
Dazu passen auch die Einstellungen in /etc/passwd und /etc/shadow.
In meiner shadow steht der account auch mit * und nicht mit ! drin.

Log in per ssh ist im default für den root auch nicht möglich.
Man kann es natürlich alles umkrempeln. Sollte der unbedarfte user aber aus bekannten Gründen eben nicht tun.

https://wiki.debian.org/sudo/

ignis-draco

@thomas-braun sagte in Installation "KEINE Installation v. ioB als root User!":

Jedenfalls ist der volle root-account ein Ding aus der Vergangenheit und wird nur aus historischen Gründen da erwähnt, aktuell soll es ohne aktiviertem root installiert werden.
Dazu passen auch die Einstellungen in /etc/passwd und /etc/shadow.
In meiner shadow steht der account auch mit * und nicht mit ! drin.

dann hast du da was geändert.

Log in per ssh ist im default für den root auch nicht möglich.
Man kann es natürlich alles umkrempeln. Sollte der unbedarfte user aber aus bekannten Gründen eben nicht tun.

Ich habe das gerade auf einem ganz frischen "debian-12.1.0-amd64-netinst" ausprobiert (die Bilder kommen auch daher).

Homoran

@ignis-draco selbst das ist missverständlich!
selbstverständlich wird dir per default die Möglichkeit geboten einen login für den root zu erzeugen.

im weiteren steht ja, dass du dazu ein starkes Passwort erzeugen musst.

Wenn dann mit dem defaultmäßig leeren Feld weitergearbeitet wird, gibt es eben keinen root login

Thomas Braun

@ignis-draco

Joh...
The way to go ist aber dennoch der modernere Ansatz per sudo zu arbeiten und den root im Hintergrund schlummern zu lassen.

ignis-draco

Nur das, dass jetzt nicht falsch verstanden wird.
Ich bin selber Pro sudo und verwende es auch auf allen System.
Jedoch ist es faktisch so das es im Debian nicht der Default ist. Auch wenn er es seine sollte (wie bei Ubuntu).
( Werder im Installer noch im Wiki steht was anderes )

Das was ihr meint ist nicht Default sondern best practice.

Was aber nicht stimmt, ist das root "Deaktiviert" ist, dass ist totaler Quatsch denn nur das Password ist nicht gesetzt mehr nicht ein sudo -i root geht und auch kommt man mit ssh-key per ssh als root auf das System.
Im gegen Satz zu z.b. User "daemon" der ist deaktiviert.

Und nur als Beispiel, warum ein root pw gut ist. Wenn es beim Booten zu einem Problem kommt (z.b. Festplatte defekt)
und man in die rescushell muss, kann man sich da nur als root Anmelden. Oder wenn man z.b. /home auf einer anderen Festplatte hat. Auch dort kann es sein das man nicht in den User Account kommt und das System "nur"* über root retten kann. (* Ja es gibt immer einen anderen weg aber häufig ist der aufwendiger, weil Hardware ausgebaut werden muss)

Thomas Braun

@ignis-draco sagte in Installation "KEINE Installation v. ioB als root User!":

Was aber nicht stimmt, ist das root "Deaktiviert" ist

Hat auch niemand behauptet. Der ist natürlich im Hintergrund aktiv, irgendwo muss der Aufruf per 'sudo watweißich' ja auch an den root übergeben werden. Denn

sudo whoami

liefert?

Kurz: Allgemein üblich ist ein 'deaktiver' root, auch auf einem Debian. Der Installer lässt dir halt die Wahl (anders als bei Schnubbibuntu).
Wähle weise, wähle 'sudo'.

ignis-draco

@thomas-braun sagte in Installation "KEINE Installation v. ioB als root User!":

Hat auch niemand behauptet.

ähm ....

@crunchip sagte in Installation "KEINE Installation v. ioB als root User!":

Na ja, der "eigentliche root" wird deaktiviert, somit auch keine Möglichkeit per root z. B ne ssh Verbindung aufzubauen.

Thomas Braun

@ignis-draco

Insofern 'deaktiviert' als das du da so ohneweiteres keine login shell mehr für bekommst.

Aus ganz ähnlichen Gründen drängt Raspberry OS ja auch dazu einen Standarduser anzulegen, der NICHT 'pi' lautet.
Auch wenn es natürlich geht.

ignis-draco

@thomas-braun sagte in Installation "KEINE Installation v. ioB als root User!":

Insofern 'deaktiviert' als das du da so ohneweiteres keine login shell mehr für bekommst.

Okay ich versuche jetzt echt dich zu verstehen. Aber es ist nicht leicht wenn du begriffe falsch verwendest.
Die login shell ist bei root auch /bin/bash. Es ist nicht /usr/sbin/nologin oder /bin/false
und der Grund warum Raspberry OS eine user != pi haben möchte hat damit zu tun weil die ein Standard Passwort haben/hatten.

Technisch gesehen wird der Hash vom root Passwort in einem Zustand gebracht, der mit keiner Eingabe übereinstimmen kann (das "!" macht das). Wenn man jetzt z.b. Login per PAM ein richtet oder kerberos so das die /etc/shadow nicht verwende wird kann man sich auch in der tty per root Anmelden. [sieht man daran, das mit ssh-key es geht].

@thomas-braun sagte in Installation "KEINE Installation v. ioB als root User!":

Wähle weise, wähle 'sudo'.

Ich wünsche dir dann das du soetwas nie sehen wirst:

Mit root Password hätte man da nämlich eine busybox um das System zu fixen.

Thomas Braun

@ignis-draco

Wir haben hier aber nicht mit kerberos zu tun.

der Grund warum Raspberry OS eine user != pi haben möchte hat damit zu tun weil die ein Standard Passwort haben/hatten.

Der andere Grund ist, das 'pi' zu gängig war und das bei stumpfen Einlogversuchen weit oben auf der Liste der Versuche steht.