Tip voor Linux Mint 18.2: stel het rootwachtwoord in

[Pjotr]

Tip: verbeter de veiligheid in Linux Mint 18.2, en stel het rootwachtwoord in:
https://sites.google.com/site/computertip/veiligheid#TOC-Stel-een-wachtwoord-in-voor-root
(punt 1.3, linkerkolom)

Doe er je voordeel mee! 

[testcees]

Opmerkelijke tip, voor Ubuntu wordt het juist afgeraden een rootwachtwoord in te stellen maar sudo te gebruiken. Volgens mij is dat voor Mint 18.2 niet anders of zie ik dat verkeerd?

Als er geen rootwachtwoord is ingesteld, kan er niet worden aangemeld met root, ook niet Alt-F1, via internet of het lokale netwerk. Wel zo veilig.

Als er fysieke toegang is kan er altijd worden “ingebroken” ongeacht of er een rootwachtwoord is ingesteld.

Hoe dan?
1.   Start de computer en houd de Shift-toets ingedrukt
2.   Druk op e
3.   Ga (met de pijltjes toetsen) naar de regel waarmee wordt opgestart. Deze regel begint met “Linux      /boot/vmlinuz-enz.”
4.   Verander de letters ro in rw en voeg aan het einde van de regel init=/bin/bash toe
5.   Druk Ctrl+x om op te starten
6.   De computer start nu op zonder wachtwoord en er komt een root opdrachtregel. Hiermee kunnen wachtwoorden worden gewijzigd met de opdracht passwd [gebruikersnaam].

Getest in Linux Mint 18.2:


Zie onze Ubuntu-nl wiki: http://wiki.ubuntu-nl.org/community/WachtwoordVergeten#Alternatief

De waarschuwing/advies om de gebruiker root in Ubuntu niet te activeren: https://wiki.ubuntu-nl.org/community/Sudo#Gebruiker_root (Engelstalig wiki)

[Pjotr]

Opmerkelijke tip, voor Ubuntu wordt het juist afgeraden een rootwachtwoord in te stellen maar sudo te gebruiken. Volgens mij is dat voor Mint 18.2 niet anders of zie ik dat verkeerd?

Je ziet het verkeerd en haalt dingen door elkaar. Overeenkomstig het spreekwoord: je hebt de klok horen luiden, maar je weet niet waar de klepel hangt.

Het is een ontwerpbesluit geweest van de ontwikkelaars van Mint, om in Linux Mint 18.2 op dit punt juist méér in de pas te gaan lopen met Ubuntu. Zie de toelichting van hoofdontwikkelaar Clément Lefebvre:
https://forums.linuxmint.com/viewtopic.php?f=60&t=248161&start=20#p1334281

Kerncitaten:

In 18.2 we decided to stop doing that and to revert to what Ubuntu is doing, i.e. not to set a root password at all.

- The way Mint 18.2 works in relation to root accounts is EXACTLY the same as in Ubuntu 16.04 (i.e. a locked root account)

Mijn nieuwe tip geldt dus net zo goed voor de *buntu's. Maar ik wil 'm eerst zelf uitgeprobeerd hebben in een nieuw geïnstalleerde *buntu, voordat ik 'm ook voor de *buntu's aanraad.

Uiteraard zijn er ook andere methoden voorhanden om, bij fysieke toegang, met rootrecht te kl*ten met andermans computer. Waar het om gaat, is dat je doorgaans niet wilt dat die methoden te laagdrempelig zijn. Mijn tip blokkeert een laagdrempelige methode.

[testcees]

Mijn nieuwe tip geldt dus net zo goed voor de *buntu's.

Nee, ik heb de reactie van Clément Lefebvre gelezen en lees dat Mint heeft besloten GEEN wachtwoord meer in te stellen voor root, net zoals Ubuntu.

Jouw “tip” draait deze beslissing terug door wel een wachtwoord in te stellen.

Zelfs geen ander wachtwoord maar het normale gebruikerswachtwoord. Vanuit security oogpunt kan je daar ook vraagtekens bij stellen (zie ook de reactie van clem).

Zoals clem stelt in zijn reactie is het bij fysieke toegang ook eenvoudig om de computer te starten met een live-usb/cd. Alleen versleutelen van bestanden beschermt tegen fysieke toegang.  Het is niet zinvol de herstel mode te beveiligen door de risico’s van een actief root account te nemen.

Ik ben het eens met de redenatie van de Mint hoofdontwikkelaar om in Mint 18.2 (net als in *buntu) het root account NIET te activeren.

Mijn tip blokkeert een laagdrempelige methode.

Schijnveiligheid, een kwaadwillende die het apparaat fysiek heeft laat zich niet tegenhouden door een root wachtwoord in de recovery mode (zie mijn eerdere reactie hoe het grubmenu aan te passen). Bovendien introduceert jouw tip nieuwe risico doordat een kwaadwillende nu via root kan proberen "in te breken".

Specifiek in kiosk situaties, waar onbekende al fysieke toegang hebben, kan je ongeautoriseerde toegang tot de recovery mode wellicht beter beperken door gebruik te maken van een grub wachtwoord en/of bios beveiliging om starten vanaf usb tegen te gaan.

[Pjotr]

Schijnveiligheid, een kwaadwillende die het apparaat fysiek heeft laat zich niet tegenhouden door een root wachtwoord in de recovery mode (zie mijn eerdere reactie hoe het grubmenu aan te passen).

Bekend, maar aanzienlijk minder laagdrempelig.

Bovendien introduceert jouw tip nieuwe risico doordat een kwaadwillende nu via root kan proberen "in te breken".

Theoretisch denkbaar, maar onwaarschijnlijk.

Specifiek in kiosk situaties, waar onbekende al fysieke toegang hebben, kan je ongeautoriseerde toegang tot de recovery mode wellicht beter beperken door gebruik te maken van een grub wachtwoord en/of bios beveiliging om starten vanaf usb tegen te gaan.

Mogelijk, maar een stuk bewerkelijker.

Waar het op neerkomt, is het scheiden van hoofd- en bijzaken. Met het oog op de praktijk. Theorie is leuk en aardig, maar het gaat erom wat het meest van belang is in de praktijk van alledag.

[vanadium]

Ik moet zeggen dat ik hier net als Testcees even verbaasd naar zit te kijken. Traditioneel werkten linux distributies met gebruikersaccounts en een aparte root account. Recent werken de meeste distributies niet meer met een aparte root account maar met sudo, waarbij één of meerdere gewone gebruikers vanuit hun eigen account root permissies kunnen verwerven. Bij deze aanpak is de root account niet geactiveerd - je kan helemaal niet inloggen als root. Nu ga je dit omdraaien en terug de root account activeren? Hoe verhoogt dit de veiligheid? Waren de ontwikkelaars van vele linux distributies de voorbije jaren misschien verkeerd?

Voor zover ik (en blijkbaar ook Testcees) het begrijpen, gaat je advies juist in tegen de recente koerswijziging van Mint. Voorheen werd in Mint het paswoord van de gebruiker met sudo privileges blijkbaar ook automatisch ingesteld als paswoord van  de root account. Ubuntu heeft zoiets nooit gedaan. Daar bleef de root account op niet actief (je kan er standaard dus niet op inloggen). Wat Mint in 18.02 nu gaat doen, is terugkeren naar wat Ubuntu al steeds heeft gedaan, d.w.z., de root account inactief laten.

Opnieuw, waar de verhoogde veiligheid zit om, in afwijking van wat Ubuntu en nu ook Mint doen, de root account toch te activeren, ontgaat mij volledig.

[Pjotr]

Voor zover ik (en blijkbaar ook Testcees) het begrijpen, gaat je advies juist in tegen de recente koerswijziging van Mint. Voorheen werd in Mint het paswoord van de gebruiker met sudo privileges blijkbaar ook automatisch ingesteld als paswoord van  de root account. Ubuntu heeft zoiets nooit gedaan. Daar bleef de root account op niet actief (je kan er standaard dus niet op inloggen). Wat Mint in 18.02 nu gaat doen, is terugkeren naar wat Ubuntu al steeds heeft gedaan, d.w.z., de root account inactief laten.

Precies. Zoals Caesar zou zeggen: rem acu tetigisti. 

Opnieuw, waar de verhoogde veiligheid zit om, in afwijking van wat Ubuntu en nu ook Mint doen, de root account toch te activeren, ontgaat mij volledig.

- Start je computer op in de herstelmodus;
- Kies in het menu: root    Terugvallen op terminal met rootbevoegdheid ;
- Bingo. Het besturingssysteem is volledig van jou, zonder dat er om enig wachtwoord is gevraagd.

Na het toepassen van mijn tip, ben je niet meteen root: daarvoor moet je dan eerst het rootwachtwoord inkloppen.

Mijn tip blokkeert dus een makkelijk toepasbare methode waarmee iemand anders op jouw computer root kan worden (en hij dus bijvoorbeeld uit vandalisme zelfs jouw wachtwoord kan veranderen).

Nogmaals, voor de goede orde: een slechterik met fysieke toegang tot jouw computer, heeft ook andere middelen ter beschikking om rootbevoegdheid te verkrijgen op je computer. Dus mijn tip maakt je computer beslist niet volledig veilig: fysieke toegang blijft sowieso linke soep.

Maar wat mijn tip wel doet, is het blokkeren van een al te makkelijke manier om rootbevoegdheid te krijgen. Puur praktisch gezien, verbetert dat de veiligheid enigszins.

[vanadium]

Dat maakt het duidelijk. Dat heeft enige zin als booten van andere apparaten wordt afgezet, en als er een paswoord op de bios zit. De gebruiker die écht veilig wil zijn, zal echter ook zijn harde schijf moeten encrypteren, en een goede backup strategie moeten hebben op externe media, die op hun beurt beveiligd zijn. Bij voorkeur worden die backup media in een brandkast bewaard: dan kan encryptie van de backup media vermeden worden.

Ik vind deze tip op zich van minder belang. Deze tip op zich verhoogt de veiligheid niet fundamenteel. Als modale computergebruiker val ik dan liever gewoon terug op de standaard overwegingen van de distrobouwer. De drempel om met een extern medium te gaan booten, is voor de "vilain" die dit wil niet zoveel hoger dan het vinden van de recovery prompt.

Vrijheid, blijheid, natuurlijk, en baat het niet, het schaadt ook niet. A lock only keeps honest people out.

[Pjotr]

Dat maakt het duidelijk. Dat heeft enige zin als booten van andere apparaten wordt afgezet, en als er een paswoord op de bios zit. De gebruiker die écht veilig wil zijn, zal echter ook zijn harde schijf moeten encrypteren, en een goede backup strategie moeten hebben op externe media, die op hun beurt beveiligd zijn. Bij voorkeur worden die backup media in een brandkast bewaard: dan kan encryptie van de backup media vermeden worden.

Ik vind deze tip op zich van minder belang. Deze tip op zich verhoogt de veiligheid niet fundamenteel. Als modale computergebruiker val ik dan liever gewoon terug op de standaard overwegingen van de distrobouwer. De drempel om met een extern medium te gaan booten, is voor de "vilain" die dit wil niet zoveel hoger dan het vinden van de recovery prompt.

Vrijheid, blijheid, natuurlijk, en baat het niet, het schaadt ook niet. A lock only keeps honest people out.

Het is inderdaad slechts een beperkte verhoging van de praktische veiligheid.... Bedoeld voor mensen die geen zin hebben om het effectievere "zware geschut" uit de kast te halen. Snel en simpel toe te passen, geen gedoe....

[testcees]

- Start je computer op in de herstelmodus;

Als je het risico van de herstelmodus niet wil zijn er meer wegen naar Rome en kan je ook de herstelmodus uitschakelen in grub2.

Code: [Selecteer]

sudo nano /etc/default/grub
Zoek naar de volgende tekst en haal het hekje (#) weg voor de regel GRUB_DISABLE_RECOVERY=”true”

Code: [Selecteer]

# Uncomment to disable generation of recovery mode menu entries
GRUB_DISABLE_RECOVERY="true"

Na sudo update-grub is de herstelmodus verdwenen. 
Nadeel: als je om een reden de herstelmodus echt nodig heb zal je eerst de herstelmodus in grub moeten herstellen (dat is voor sommigen lastig) maar zo neem je geen risico door het root wachtwoord in te stellen.

Ook een grub wachtwoord is niet zo moeilijk.
Voeg de volgende 2 regels toe (met een eigen naam en password) aan bestand /etc/grub/40_custom

Code: [Selecteer]

set superusers="pjotr"
password pjotr p@ssw0rd
Dan is het (na sudo update-grub) ook niet meer mogelijk grub tijdens het opstarten zonder wachtwoord te wijzigen, dus nog veiliger dan het instellen van een root wachtwoord. 

Alleen weet ik zo niet hoe je grub2 in Mint 18.2 kan instellen zodat alleen bepaalde menukeuzes (bijvoorbeeld alleen recovery) met het wachtwoord worden beveiligd (--users) en andere (standaard) keuzes zonder wachtwoord (--unrestricted).
Misschien weet iemand anders op dit (of een Mint-) forum daar het (eenvoudige) antwoord op?

Deze tip op zich verhoogt de veiligheid niet fundamenteel. Als modale computergebruiker val ik dan liever gewoon terug op de standaard overwegingen van de distrobouwer.

Als je de “tip” hebt uitgevoerd en “spijt” hebt kan je het herstellen met de opdracht:

Code: [Selecteer]

sudo passwd -dl root
toelichting: de -d optie wist het ingestelde rootwachtwoord en -l schakelt het rootaccount weer uit.

[partyrabbit]

Prima tip dit.

Root wachtwoord is de core beveiliging van Linux wat het zo onaantastbaar maakt.
Het is een windows tekortkoming die onterecht op linux gespiegeld wordt.

https://www.linux.com/learn/myth-busting-linux-immune-viruses
(let even op. informatie van de LINUX organisatie zelf.   Betere info bestaat er niet.)

If, however, you receive an email with a .rpm attachment, and you're using an RPM-based system, what happens? It will ask you for either your root or your sudo password (depending on your security model).

What would be the proper reaction to this? To not proceed. The difference between this model and the traditional Windows model is that when you double click on that attachment in Windows, the installation can proceed without your intervention.

Rootkits daarentegen kunnen wel een serieuze bedreiging voor de veiligheid zijn.

Got Root?

Root kits are the real danger. A root kit is a system of malicious software designed to obfuscate itself such that the user has no idea it was installed and is running. I have been a victim of a root kit (long ago) and strongly suggest the addition of the rkhunter tool. In fact, when installing a new Linux system, rkhunter is one of the first tools I add. And as soon as it is added, it is used.

Root kits are those nasty pieces of software that once installed are really difficult (if not impossible) to remove. And some root kits are so bad they compromise your system such that you can not recover.

Dus root wachtwoord? Ja! Zeker niet uitschakelen!

[Nero]

Activeren van het root account door het instellen van een root wachtwoord heeft enkel zin als je ook de sudo rechten verwijdert.

Iemand die op gelijk welke wijze je login wachtwoord vastkrijgt heeft meteen ook root bevoegdheid als sudo beschikbaar is. Heeft je gewoon account geen sudo bevoegdheid dan moet een intruder 2 wachtwoorden kennen om root te worden.

Ikzelf werk op Debian dan ook met een root account, zonder sudo mogelijkheid. En ja, het is iets lastiger omdat je veelvuldiger je root wachtwoord moet opgeven. Voor meerdere (terminal) opdrachten gebruik je dan su - met een exit (ctrl-d) om root te verlaten; voor een enkele opdracht wordt het su -c "<hier komt het commando>".

[vanadium]

Activeren van het root account door het instellen van een root wachtwoord heeft enkel zin als je ook de sudo rechten verwijdert.

De reden waarom het hier aangeraden wordt, is dat je niet meer zonder paswoord via de recovery prompt rootbevoegdheden kunt krijgen, extra bescherming dus voor het geval iemand fysisch je computer in handen krijgt. Het heeft dus op zich wel zin.

Je hebt gelijk dat, als je dan toch je root paswoord instelt, je de veiligheid verhoogt door meteen sudo uit te schakelen. Zo keer je terug naar het klassieke model van beveiliging in unix.

[Nero]

De reden waarom het hier aangeraden wordt, is dat je niet meer zonder paswoord via de recovery prompt rootbevoegdheden kunt krijgen, extra bescherming dus voor het geval iemand fysisch je computer in handen krijgt. Het heeft dus op zich wel zin.

Niet echt ( of moet het zijn: echt niet?). Wat testcees aanhaalt in zijn reactie #1 is correct en haalt deze stelling onderuit. Opstarten met een extra init parameter geeft sowieso volledige root bevoegdheid zonder het wachtwoord te kennen.

Als je fysieke toegang hebt tot een computer is enkel een volledige versleuteling een extra veiligheidsniveau.

[vanadium]

Zeker akkoord: er blijven genoeg wegen om toch binnen te komen, maar de drempel wordt net iets hoger. Om echt te beveiligen moet je een geheel aan maatregelen nemen. Het beste advies is: vergeet deze tip, volg hierin gewoon de makers van de distributie en gebruik je computer verder verstandig. Als je een nood hebt aan sterke beveiliging, dan klaar je het toch niet met deze tip alleen. Alleen staatshoofden hebben er nood aan rond te rijden in een gepantserde wagen.

[partyrabbit]

Als je fysieke toegang hebt tot een computer is enkel een volledige versleuteling een extra veiligheidsniveau.

Als je fysieke toegang hebt tot een computer of welke datadrager dan ook is de kans zeer groot dat je er in komt. Veel mensen hebben hun data niet gecodeerd dus een hdd inpluggen als slave in een andere pc geeft meestal al volledige toegang. En zelfs gecodeerd kan het nog mee vallen om ze open te breken.

Fysieke toegang is ook niet de reële dreiging van besmettingen. We moeten dan ook wel to the point blijven en ons niet bang gaan maken met irreële risico's.
Fysieke toegang vind ik dan ook een non-argument in deze hele discussie. Te simpel om 'de discussie te winnen' en zo angst te verspreiden.

[vanadium]

Fysieke toegang vind ik dan ook een non-argument in deze hele discussie. Te simpel om 'de discussie te winnen' en zo angst te verspreiden.

Zo blijven we discussiëren. De tip is net bedoeld om ingeval van fysieke toegang een iets hogere drempel in te stellen. Maar zoals aangegeven, ook ik vind deze tip op zich weinig zinvol.

Het beste advies is: vergeet deze tip, volg hierin gewoon de makers van de distributie en gebruik je computer verder verstandig. Als je een nood hebt aan sterke beveiliging, dan klaar je het toch niet met deze tip alleen. Alleen staatshoofden hebben er nood aan rond te rijden in een gepantserde wagen.

[partyrabbit]

Fysieke toegang vind ik dan ook een non-argument in deze hele discussie. Te simpel om 'de discussie te winnen' en zo angst te verspreiden.

Zo blijven we discussiëren.

Inderdaad. Precies mijn punt.
Het wordt onderhand eens tijd dat sommigen stoppen de discussie elke keer weer proberen te willen winnen met dit soort non-argumenten (en daarmee linux onterecht als erg onveilig bestempelen).

Ja, als je je voor en achterdeur inclusief je poort open zet kan de inbreker in je huis. Duhuhhhh. 

[jan11000]

Vind ik altijd leuk dat men vind dat de standaard installatie niet voldoet, en dat men dan alles moet gaan wijzigen.

Zeker tav veiligheid, ik denk dat de makers van de distro weten wat ze doen, dus blijf van deze dingen af.
Als je het wel wilt, zoek dan precies uit, of hier nadelen aan zitten, en natuurlijk uit diverse bronnen info zoeken.