Kein Root-Login unter Fedora 10 möglich

Eine gut versteckte Neuerung von Fedora 10 ist die Tatsache, das es standardmÀÿig nicht möglich ist, sich im GDM als lokaler root anzumelden – Ubuntu lÀsst grÌÿen.

WÌrde Fedora Ìber ein grafisches Konfigurationswerkzeug fÌr GDM verfÌgen, wÀre das nicht wirklich tragisch. Da abere eben dieses Werkzeug seit Fedora 9 fehlt, ist der einzig möglicher Workaround ein manuelles Editieren der gdm-Konfigurationsdatei unter /etc/pam.d/ um den root-Login wieder zu aktivieren.

Dazu muss in dem Skript die Zeile

auth required pam_succeed_if.so user != root quiet

gesucht und in

auth required pam_succeed_if.so user quiet

geÀndert werden.

ACHTUNG: Das befolgen dieser Anleitung erfolgt auf eigene Gefahr!

13 Antworten auf „Kein Root-Login unter Fedora 10 möglich“

  1. Oh ? Wie merkwÌrdig … ich hab mir die Gnome Live-CD hier lokal installiert, etwas erweitert und habe Ìberhaupt kein Problem mit nem „su -“ oder einem direkten Root-Login auf der Kosole.

    [WORDPRESS HASHCASH] The poster sent us ‚0 which is not a hashcash value.

  2. Also die ÿnderung find ich ganz massiven Blödsinn. Grad bei der erstmaligen Einrichtung aller Dienste, Konfigurationen und Einstellungen gehe ich immer als root rein. Wenn dann alles fertig ist fÌr lange Zeit nicht mehr. Danke fÌr den Hinweis und die Anleitung, das wird dann wohl demnÀchst nach der Installation der erste Schritt sein mÌssen.

    [WORDPRESS HASHCASH] The poster sent us ‚0 which is not a hashcash value.

  3. Ubuntu lÀsst grÌÿen.

    Was hat das mit Ubuntu zu tun? Es gibt zig andere Distributionen, bei denen das ebenfalls nicht möglich ist. Lassen die auch alle grÌÿen?

    WÌrde Fedora Ìber ein grafisches Konfigurationswerkzeug fÌr GDM verfÌgen, wÀre das nicht wirklich tragisch.

    Und wieder frage ich mich: Was hat das damit zu tun? Auch mit gdm-setup kann man /etc/pam.d/gdm nicht bearbeiten.

    Da abere eben dieses Werkzeug seit Fedora 9 fehlt, ist der einzig möglicher Workaround ein manuelles Editieren des gdm-Skriptes unter /etc/pam.d/ um den root-Login wieder zu aktivieren.

    Die Lösung ist, sich mal mit dem Thema Sicherheit auseinanderzusetzen und su zu benutzen, und zwar nur fÌr die Dinge, wo man wirklich root-Rechte braucht. Abgesehen davon ist /etc/pam.d/gdm kein Skript, sondern eine Konfigurationsdatei. 😉

  4. @Christoph:
    1. Mag sein, das auch andere Distros so nen Murks machen. Mir war bislang nur Debian Ubuntu bekannt. Trotzdem danke fÌr die Info 😉

    2. Solche Sachen konfiguriere ich lieber eine GUI, weil ansonsten schnell mal das System lahmgelegt ist, wenn man sich beim hÀndischen Àndern Konfigurationsdateien vertippt.

    3. FÌr bestimmte Aufagen, wie z.B. das kopieren eines Benutzerverzeichnisses von einem Rechner auf einen anderen, ist hilfreich, wenn man dazu als root angemeldet ist.

  5. Der Murks ist, sich grafisch als Root anmelden zu wollen!
    Und was fÌr eine GUI soll das sein, mit der man die Dateien in /etc/pam.d bearbeiten kann?
    Grafische Anmeldung und Anmeldung als root sind 2 paar Schuhe. Wieso soll eine grafische Anmeldung hilfreich sein, kopierst du das Benutzerverzeichnis etwa per Drag&Drop in Nautilus? Sorry, das ist alles andere als durchdacht: Mal ganz abgesehen davon, dass eher was schief gehen kann, weil Nautilus eher was falsch macht als cp, mit Nautilus nimmst Du Dir zahlreiche Möglichkeiten: Rechte und Zeitstempel bewahren, SELinux Kontext etc. All das kannst Du an der Konsole je nach Bedarf machen, grafisch nicht. Also eher hinderlich als hilfreich.

  6. 1. Also wenn ich mich nicht völlig tÀusche, konnte man im alten system-config-gdm die entsprechende Option (de)aktivieren.

    2. Wenn ich mein eigenes Profil von meinem alten Notebook auf mein neues kopiere, dann ist das ganze sinnfrei, wenn ich das mache, wÀhrend ich auf meinem neuen Notebook als ich angemeldet bin. Das eigentliche kopieren und relabeln mache ich als root mit der konsole. Aber eben, wenn ich auch tatsÀchlich als root angemeldet bin und nicht nur eine Shell als root gestartet habe.

    In dem Punkt halte ich es gerne mit dem guten alten Beamtendreisatz (Haben wir schon immer so gemacht, haben wir noch nie so gemacht, könnte ja jeder kommen).

  7. 1. Es hat nie ein system-config-gdm gegeben, das Programm hieÿ immer gdm-setup. Mit dem konnte man in der Tat Benutzern das Einloggen erlauben und verweigern, aber das wurde nicht Ìber pam realisiert, sondern Ìber eine Liste von gdm. Wenn also eine zusÀtzliche Sperre mittels pam eingerichtet ist, kannst Du die auch damit nicht umgehen.
    2. Und warum meldest Du Dich nicht als root an der Konsole auf STRG+ALT+F2 an? Niemand sagt, dass du einen kompletten Gnome-Desktop laufen lassen musst, nur um ein cp ausfÌhren zu können.
    Der Beamtendreisatz ist natÌrlich ein unschlagbares Argument 😉 aber ich fÌrchte, dass Du mit dieser BeamtenmentalitÀt nicht nur bei Fedora, sondern bei so ziemlich jedem Linux grundsÀtzlich falsch bist. Wenn die Entwickler genauso denken wÌrden wie Du, dann hÀtten wir kein Fedora 10, wahrscheinlich hÀtten wir gar keins. 🙁

  8. Um das ganze mal ein wenig abzukÌrzen:
    Mit der Deaktivierung der Möglichkeit, sich im GDM als root am System anzumelden haben sich die Entwickler sicherlich etwas gedacht, wovon sie meinten, das es sinnvoll wÀre.

    Ich stelle auch nicht ihre Absicht an sich in Frage. Nur hat die Sache fÌr mich den faden Beigeschmack der Bevormundung, wenn ich keine Möglichkeit habe, diese Konfiguration – aus welchen GrÌnden auch immer – schnell und relativ einfach rÌckgÀngig zu machen.

    Just my 5 Cent

  9. Ich denke das ist ne Einstellungsache. FÌr Desktopuser ist es vielleicht Sinnvoll ohne SE-Linux, GDM-root-beschrÀnkung zu Arbeiten, auf einem Server der evtl. Unternehmenskritische Bereiche ausfÌllt sieht man das ganze unter umstÀnden anders.

    Allerdings muss ich sagen das wir bei uns auch als root uns anmelden um z. B. im Yast etwas zu Àndern (SLES10). Insofern ist es wohl eher eine Einstellungsfrage als eine Frage von Sinn.

  10. Ich bin der Meinung, jeder sollte selbst entscheiden, wie sicher er sein möchte.

    ZunÀchst herzlichen Dank dafÌr, dass ich Ìber eine Stunde rumsuche und versuche einen Systemfehler zu finden der offenbar nicht existiert.

    Ich jedenfalls bin sehr dankbar fÌr den Hinweis, denn ich möchte nicht zur guten
    alten MS-DOS Zeit zurÌck.

    Letztendlich lÀuft das ganze auf eine EntmÌndigung hinaus, denn wenn man komplexe Systemarbeiten durchfÌhren möchte dann muss man wieder auf den Editor vi zurÌckgreifen.

    Bei umfangreichen Kopierabeiten oder ÿndern der Zugriffsberechtigungen fÌr Dateien wird das rumfuhrwerken auf Kommandozeilenebene echt Àtzend.

    Einen hundertprozentigen Schutz gibt es sowieso nicht.

  11. Hat jemand schon mal die Gasterweiterungen von VirtualBox für Fedora (11) installiert ? Das geht bei mir gar nicht, so lange ich als user im GDM eingeloggt bin. Und per Kommandozeile kann ich die Tools gar nicht starten.

    Bei Fedora 8 ging das noch, wenn man sich als root per GDM (nicht allein auf der Konsole) einloggt. Das Problem ist für mich nun, dass ich diese Erweiterung garnicht installiert bekomme.

    Any Comments ?

Kommentare sind geschlossen.