AW: Suse nach HowTo von RL5 abgesichert, nun wird root Passwort nicht mehr angenommen
shubak schrieb:
Hallo RM,
vielen lieben Dank für Deine Mühen. Langsam bekomme ich ja schon ein schlechtes Gewissen.
Aber wie sagt schon ein Kinderlied "...wer nicht fragt bleibt dumm..."
So lange der Lernerfolg gegeben ist, ist Fragen ja auch das Richtige, dann schauen wir doch mal, wie es jetzt ist
.
Naja jedenfalls, AVG habe ich nicht installiert. Ich suche aber immernoch die Oberfläche vom installierten Antivir.
Wer's braucht, aber das ist erstmal
irrelevant für Dein Problem. (Aber nur am Rande: Google weiss 100%ig mit den Begriffen "Antivir Linux GUI" was anzufangen).
Ausserdem ist ein sicheres System auch meist eines, welches WENIGE Tools (Stichwort "Codebasis", je mehr Dienste laufen, desto komplexer wird das System --> Weniger ist da oft MEHR!) enthält, soviel ich weiß, kann man Antivir auch mit einem Kernelmodul (Dazuko) betreiben, was nur weiteren Code ins System schleust und mit Sicherheit Deine Kiste eher langsamer macht.
Wenn es denn unbedingt ein Virenscanner sein MUSS, dann lieber OHNE Kernelmodul und je weniger er -ungefragt- ins System eingreift, desto besser.
"On-Acess"-Scanning ist zwar etwas Nettes, aber es bremst nur die Kiste aus, da halte ich "Brain 1.0" doch für etwas effektiver (Du weisst schon, denken, bevor man klickt). Eine verdächtige Datei kann man entweder von Hand scannen, bevor man sie öffnet (dann reicht ein "einfacher" Virenscanner ..="on Demand") .. oder auch einfach NICHT öffnen und löschen.. (dann reicht "Brain 1.0" als "Scanner").
Ich glaube ich hatte das wirklich auf Paranoid gestellt.
Kann ja keiner Ahnen, das Suse dann das root Passwort nicht mehr akzeptiert, zumal in der Beschreibung für diese Funktion auch was anderes drinteht....es sei denn ich habe diese falsch interpretiert.
Ansonsten hallte ich alles was geht still.
OK, dann kanns losgehen.
Aber "Strafe muss sein", das Ganze ist 100% Shell-basiert
.
Aber trotzdem ist es sehr einfach, wenn man sich des Prinzips im Klaren wird, was ich versuche als "Zugabe" auch noch zu erklären.
OK.. Wir machen folgendes.
1. Booten eines minimalen Linuxsystems, bei dem wir einfach zu root werden können.
2. Einbinden der Root-Partition ( "/" ) Deiner SuSE im Minimalsystem als root dieses Systems.
3. Sogenanntes "Changeroot", d.h. wir sagen dem laufenden System als root dieses Systems (clever, oder?) es solle ab sofort eine andere Partition als Root-Partition verwenden.
4. Nun sind wir root auf unserer SuSE und können Yast aufrufen und das Missgeschick von eben beseitigen.
5. Nach dem Schliessen von Yast machen wir wieder ein Changeroot auf unser Minimalsystem und hängen brav die Root-Partition von SuSE aus, damit alles seine Richtigkeit hat.
6. Reboot und es müsste alles wieder so laufen wie zuvor (wenn Du alle Einstellungen wieder zurück gesetzt hast, dann MUSS das eigentlich auch so sein).
So, Prinzip verstanden?
Bevor es los geht noch 3 Dinge.
1. Finde heraus, welche Hardwareadresse Deine Root-Partiton hat, es geht um
/dev/irgendwas, die brauchst Du UNBEDINGT ...
.. und notiere Dir die entsprechende Adresse.
Beispiel (meine Kiste, SuSE 10.0 läuft hier gerade):
Code:
cat /etc/fstab
/dev/hda5 / reiserfs acl,user_xattr 1 1
/dev/hda6 /home reiserfs defaults 1 2
..........
Wie man sieht, ist die Root-Partition meiner 10.0 /dev/hda5.
2. Drucke Dir das hier bei Bedarf aus, oder stelle Deinen Anderen Rechner mit diesem "HowTo" hier auf dem Schirm neben die Kiste, die eigentlich "verarztet" werden soll.
3. Sag "Danke Tron", der mir heute beim Mittagessen noch ein paar Tipps gegeben hat, wie man das hier jetzt macht.
Ich hatte das Prozedere nur Dunkel in Erinnerung WIE es geht, aber er hat mir gleich noch die passenden Befehle gesagt.
Anmerkung: Ich habe das im Anschluß probiert, ob ich Yast so zum Laufen bekomme und es ging.
Mit anderen Worten: alles, was jetzt noch schief geht liegt mit großer Wahrscheinlichkeit an DIR.
OK, dann kann es losgehen. (Vorarbeiten sind erledigt, vor allem 3 ist wichtig *g*).
1. Rechner mit der Installations-CD/DVD von SuSE Booten (es muss nichtmal die der 10.1 sein, sogar KNOPPIX würde funktionieren, das aber nur mal am Rande).
2. Bei der Auswahl nimmst Du das Rescue-System oder Rettungssystem:
http://sbox.bgweiz.at/stefan.reisinger/web/index.php/lazy?file=SuSE10-1/02-cd-bootloader.png
und bootest die Kiste.
3. Am Rescue-Login tippst du als Nutzerkennung root ein, es wird kein Passwort verlangt.
4. Nun hast Du ein Minimalsystem, welches aber a) "nur" die wichtigsten shell-Tools hat (das ist allerdings ne ganze Menge, nur mal so am Rande) und b) (und das ist der eigentliche Punkt) nur in Deinem RAM bzw. von CD/DVD läuft und Dir deshalb zunächst keinen Zugriff auf die Festplatte bietet. Das ändern wir jetzt, indem wir Deine Root-Partition mounten. Wenn Du
eingibst, dann wirst Du sehen, daß ein Ordner /mnt vorhanden ist, diesen verwenden wir jetzt als Mountpunkt.
Anmerkung: Du wirst sehr wahrscheinlich eine amerikanische Tastaturbelegung haben, / liegt auf der "-" Taste, während y und z vertauscht sind.
Code:
mount /dev/[i]HardwareadresseDeinerRootpartition[/i] /mnt
Nun sollte Deine Root-Partition unter /mnt gemountet worden sein, am besten Du schaust nach:
Es müsste nun der Inhalt Deiner Root-Partiton zu sehen sein. (/bin /boot /usr usw.)
Noch ist das aber nur eine Datenpartition und theoretisch könnte man nun mit einem Texteditor in den config-Files rumfummeln, aber das wird sehr wahrscheinlich schief gehen, deshalb machen wir jetzt den wichtigsten Schritt.
5. Changeroot zu /mnt.
Ab sofort sieht unser Minimalsystem /mnt als Root-Partition an und wir können die dort vorhandenen Tools verwenden, wie z.B. auch Yast.
Da allerdings beim Start in das Rescue-System nur ein Minimalkernel läuft, sollte man sich auf ein reines Arbeiten in der shell beschränken. Im Gegensatz zum allseits beliebten "Mausschubser-OS", dessen Name ich hier mal nicht nennen will, geht das auch und zwar SEHR komfortabel.
Es könnte sein, daß Du ab sofort eine deutsche Tastaturbelegung hast, also aufgepasst.
Die bash ist ein mächtiges Tool, command.com ist ein Krüppel, der seit Jahren vor sich hin vegetiert und eigentlich schon aus humanitären Gründen (*öhm* OK, bei nem Programm ist das vielleicht unpassend, nennen wir es lieber Mitleid) schon längst den Gnadenschuss verdient hätte (So genug Bashing für heute *g*).
Anmerkung: Nun versteht der geneigte Leser vielleicht auch, warum ich geschrieben habe, daß das prinzipiell auch mit Knoppix oder einer anderen Live-CD geht, es müsste sogar möglich sein, durch ein Changeroot in einem laufenden Linux-System auf ein anderes, installiertes Linux-System "umzuschalten".
6. Aufrufen des "Kommandozeilen-Yast"
Dieser Yast funktioniert GENAUSO wie der graphische "yast2", nur ist man eben auf Pfeil- Tab- und Leertaste angewiesen, da es keine Mausunterstützung gibt. Du wirst trotzdem zurecht kommen.
7. Nun bist Du auf Dich/Dein Gedächtnis gestellt. Was immer Du auch verändert hast, mache es rückgängig. Hierzu vielleicht das HowTo von RL5 zur Hilfe nehmen, damit Du weisst, was Du geändert hast. Nach Änderung der Konfiguration Yast beenden und nachsehen, ob er "SuSEconfig" ausführt, wenn du Dir nicht sicher bist, dann selbst ausführen:
8. Chroot zurück auf das Minimalsystem.
9. Aushängen der Root-Partition.
Code:
umount /dev/[i]HardwareadresseDeinerRootpartition[/i]
Anmerkung:
- Hier könnte ein umount /mnt sogar funktionieren, aber da bin ich mir nicht sicher, über die Hardwareadresse WIRD es funktionieren.
- Um Dir noch einmal kurz die "Power" der shell zu zeigen: Ich habe das ja ausprobiert und ich habe den Befehl oben NICHT vollständig abgetippt, sondern bin mit der "Pfeil nach Oben"-Taste in der sogenannten "Bash-History" so weit zurück gegangen, bis ich den Mount-Befehl aus Punkt 4 hatte und dann mit der Taste "Pos1" bzw. der "Pfeil nach links"-Taste an den Anfang und einfach das "u" davor gesetzt.
10. Runterfahren/Neustart des Systems.
-h steht für "halt" --> Runterfahren.
oder
-r steht für Reboot, das "now" steht übrigens für unverzüglich (Surprise, Surprise) und kann durch einen anderen Wert in Sekunden ersetzt werden, dann .. rate mal, was dann wohl passiert
.
Auch ein
oder ein
würden funktionieren (ich denke ich muss Dir NICHT erklären, was die beiden Befehle machen, oder?).
So, nun sollte es wieder gehen, wenn Du alles wieder so eingestellt hast wie zuvor.
Schaue dir vor allem die Sicherheitseinstellungen bezüglich "Lebensdauer" der Passwörter usw. GENAU an, bevor Du zu Punkt 8 übergehst. Sollte es immer noch nicht gehen, dann musst Du das Ganze wiederholen und andere Einstellungen ausprobieren, ich würde zunächst die Standardeinstellungen für Workstation/Einzelplatzrechner oder wie das genau heisst, nehmen.
Wenn Du den Rechner später vernetzen willst, dann macht es meiner Meinung nach MEHR Sinn, die Einstellungen dann einzeln vorzunehmen.
Erstens weiss man bis dahin vielleicht genauer, was man ändern will und zweitens passieren dann solche "Missgeschicke" vielleicht nicht so schnell.
So, nun viel Spaß beim Nachfrickeln.
Greetz,
RM
