Über root, spot und fido
Posted: Fri 02 Aug 2013, 17:44
Verbesserungsvorschläge sind willkommeneine Übersetzung wrote:Über root, spot und fido
Dies ist eine kurze Erklärung, warum Benutzer Puppy Linux als Administrator (root) laufen lassen, und/oder die Nicht-root-Benutzer spot und fido verwenden.
root, spot, fido
Kurz gesagt gibt die Anmeldung als root totalen Zugriff auf alles, wohingegen eine Anmeldung als Nicht-root beschränkten Zugriff ergibt (das durch den Administrator für jeden Benutzer konfigurierbar).
Puppy ist kein Mehrbenutzer-System wie die meisten anderen Linux-Distributionen, in denen es eine Anmeldung als root gibt und zusätzlich beliebig viele als Nicht-root.
Puppy andererseits hat root, plus nur zwei Nicht-root-Benutzer, namens spot und fido.
root
Es gibt zwei Haupteinwände zum Laufen als root: erstens, dass man versehentlich etwas Dummes anstellen könnte, wie wichtige Dateien löschen, zweitens, dass falls jemand Zugriff auf den Computer erhält, entweder entfernt über Internet/Netzwerk oder lokal, dieser auf root-level ist und damit weit mehr Schaden anrichten kann als wenn er nur als Nicht-root-Benutzer Zugriff hätte.
Etwas Dummes tun
Im Fall der versehentlichen Löschung wichtiger Dateien: welche Dateien sind für Dich wichtig? Deine eigenen persönlichen Dateien und Daten natürlich, wobei aber, egal ob Du als root oder Nicht-root-Benutzer angemeldet bist, Du genauso anfällig bist, dieselbe Dummheit anzustellen.
Das heißt, Deine persönlichen Daten, Einstellungen, Anwendungen gehören alle dem Nicht-root-Benutzer, und können genauso leicht vom Nicht-root-Benutzer gelöscht werden wie sie vom Administrator gelöscht werden können.
In anderen Worten: dieses Argument gegen Laufen als root ist selbst dumm. Wenigstens hinsichtlich der Sicherheit Deiner eigenen Dateien.
Wo das "Etwas Dummes tun"-Argument gültig ist, ist in einem Mehrbenutzer-System, wo der Administrator Dateien anderer Benutzer versehentlich löschen oder anderweitig kompromittieren könnte. Jedoch: Puppy ist kein Mehrbenutzer-System.
Hinsichtlich System-Dateien: diese können leicht wiederhergestellt werden, Puppy macht dies einfach, da das ganze System in einer Squashfs-Datei ist.
Entfernter Zugang als root
Wovor hast Du Angst? Jemand bekommt Deine persönlichen Dateien und Daten, speziell Daten zur Identifizierung und Anmeldungs-Passwort-Daten. Viel davon ist auf Deinem Computer, und wenn Du eine Distro verwendest, in der Du als a Nicht-root-Benutzer angemeldet bist, ist es in Dateien, die Deinem Nicht-root-Konto gehören, was bedeutet, dass sie für Einbrecher als Nicht-root-Benutzer oder als root gleichermaßen zugänglich sind.
Es gibt jedoch zwei Szenarien, in denen das Laufen als root ein Sicherheitsrisiko ist, nur eines davon gilt für Puppy.
Erstens, if you login non-root, you could bump up to root-level to perform certain operations such as keep a file of usernames and passwords. There are some applications also that use secret files owned by root, that non-root users are not supposed to read. Thus, anyone gaining access as root, can read all of those files.
Eine Randbemerkung zu obigem Absatz: Große Distros wie Ubuntu erlauben dem ersten Benutzer, sich zu root aufzublasen, ganz einfach durch Voranstellen von "sudo" oder "su" zum Kommando, ohne das root-Passwort zu verlangen, was den ganzen Schutzmechanismus zum Witz macht. Bedenkt man, dass die meisten Ubuntu-Benutzer diesen ersten Anmeldenamen regulär immer wiederbenutzen.
Zweitens, in einer Mehrbenutzer-Umgebungt kann der Feind ein anderer Benutzer sein. In diesem Szenario würden sich Benutzer nie als root anmelden. Aber, ich wiederhole, Puppy ist kein Mehrbenutzer-System.
Hinweis: Puppy erlaubt mehrfache Sitzungs-Speicherungsdateien, was gewöhnlich von einem Benutzer für verschiedene Nutzungs-Profile gemanagt wird. Jedoch kann dies auch für verschiedene Benutzer sorgen, sogar mit optionalem Passwort-Schutz auf einer Sitzungs-Speicherungsdatei, es ist jedoch beabsichtigt, dies nur in einer "freundlichen" lokalen Umgebung zu nutzen. Es ist eine sehr leichtgewichtige Alternative zu einem Mehrbenutzer-System.
Puppy unterstellt eine "freundliche" lokale Umgebung, und die Hauptbedrohung kommt von jemand, der via Netzwerk-Ports Zugriff auf Deinen Computer erhält, während Du online bist.
Was in Puppy höchst unwahrscheinlich ist, durch die Firewall, minimale Dämonen (mit abgeschalteten Netzwerk-Fähigkeiten). Aber, die Sorge ist immer noch da...
spot
Das bringt uns zu 'spot', was ein klassischer Name für einen Hund ist. Aber spot ist kein normaler Benutzer, man meldet sich nicht als Benutzer spot an. Stattdessen bootet man normal als Benutzer root, aber man kann wählen, einige Internet-Anwendungen als beschränkter Benutzer spot laufen zu lassen.
Das bedeutet, man hat unbehinderten Zugriff auf sein lokales System, alle Vorteile von root, keine Auseinandersetzungen mit Datei-/Verzeichnis-Eigentümerschaft und -Berechtigungen, keine Beschränkung im Zugriff auf alle Hardware.
Aber man kann zum Beispiel SeaMonkey (Browser, Composer, Mail&news, IRC-chat suite), als spot laufen lassen. Das Home-Verzeichnis für spot ist /root/spot, und SeaMonkey wird (normalerweise) nur in der Lage sein, Dateien innerhalb von /root/spot zu bearbeiten/erzeugen/schreiben.
Mit spot hat man das Beste beider Welten. Freiheit im lokalen System, einen beschränkten Benutzer für Internet-Zugriff.
Hinweis: Zur Zeit bietet Puppy nur 'Didiwiki persönlicher blog' als spot laufend und Seamonkey optional als spot laufend -- man kann seine Gefährdungsstufe für web-browsing via Login- und Security-Manager im Menü > System einstellen.
Ein Zweig von Puppy, FatDog64, bringt alle Internet-Anwendungen als spot.
fido
Fido ist ein anderer Hundename und ein voller Nicht-root-Benutzer, wie man ihn in anderen Linux-Distributionen erhält. Mit einer Besonderheit: sein Home-Verzeichnis ist /root (was Dir in der Tat sehr sonderbar erscheinen mag, aber es gibt einen Grund dafür!). Wie bei anderen Distros wird man 'su' oder 'sudo' benutzen, um Administrator-Aktivitäten auszuführen.
Fido erfordert immer ein Passwort zur Ausführung von Administrator-Operationen.
fido wird beim ersten Herunterfahren von Puppy als Option angeboten, wenn man die Speicherungsdatei für die Sitzung erzeugt. Bei Optierung für fido wird man beim nächsten Neustart automatisch als fido angemeldet. Dennoch der Hinweis, dass fido nicht ganz ausgereift ist, also noch nicht zur Benutzung empfohlen wird.
Schluß-Hinweis
Puppy ist für Leute, die wissen, was sie tun und was sie wollen, und sie wollen es mit der geringsten Mühe tun. Sie wollen auch exklusive Nutzung ihres Computers, oder werden ihn vielleicht mit einer vertrauten Person teilen. Wenn Du ein kleines Kind vor Deinen Computer setzen und es keinen veheerenden Schaden anrichten soll, wird Puppy nicht empfohlen, aber dann kann es unabhängig vom Betriebssystem Schaden anrichten.
Mit Puppy kann man wenigstens einen alten PC wiederbeleben, Puppy installieren, und ihn/sie was auch immer tun lassen. Es ist für jeden Benutzer erschwinglich, seine eigene Hardware zu haben.
Links
FatDog64, ein Zweig von Puppy kreiert von "kirk" und "jamesbond", läßt seit seiner Einführung alle Netzwerk-Anwendungen als Benutzer spot laufen. Diese Burschen haben eine exzellente Webseite kreiert, die erklärt, warum Laufen als root sicher ist (oder nicht weniger sicher als Laufen als Nicht-root):
http://distro.ibiblio.org/fatdog/web/faqs/login.html
Einige relevantere Links:
http://igurublog.wordpress.com/2010/01/ ... -not-root/
http://web.archive.org/web/200806040340 ... age_id=243
Regards,
Barry Kauler
(c) Copyright Barry Kauler 2013
Übersetzt aus dem englischen Original