claim.gif
Linux Magazin Linux User Easy Linux Ubuntu User International Linux Community
Erschienen in EasyLinux 05/2004   »   Ausgabe bestellen

Gefahren der Arbeit mit Administrator-Rechten

Hier bin ich Root -- hier darf ich rein

von Inga Rapp


Wer den Root-Account hat, hat alle Rechte. Er ist der Herrscher über das System. Einschränkungen gibt es für ihn nicht, er hat die Macht. Doch gerade darin liegt die Gefahr. Wer auch im Alltag mit Administratorrechten arbeitet, geht das Risiko ein, diese Macht zu missbrauchen -- und sei es nur versehentlich.

Private Rechner werden häufig nur von einer einzelnen Person benutzt -- der ist dann Administrator und User des Systems in Personalunion. Der Gedanke liegt nahe, in einem solchen Fall nur einen einzigen Benutzer-Account einzurichten und diesem der Einfachheit halber gleich auch Root-Rechte zu verleihen.

"Root" ist eigentlich nichts anderes als ein privilegierter Nutzer des Systems. Seine Freiheiten sind mit denen vergleichbar, die der Administrator-Account unter Windows NT, 2000 und XP hat. Die Aufgabe von root ist die Systemverwaltung. Dazu gehört die Integration neuer Hardware ins System ebenso wie das Einspielen von Software-Updates oder die Neuinstallation eines kompletten Betriebssystems. Auch ein Teil der Konfiguration fällt in sein Ressort, beispielsweise die Einrichtung des Internet-Zugangs.

Alle für eines

Linux ist als Mehrbenutzersystem konzipiert. Wenn mehrere Benutzer vollen Zugriff auf alle Einstellmöglichkeiten hätten, würde das schnell ins Chaos führen -- Aufgaben wie die Systemverwaltung gehören nicht zum Alltäglichen, daher bleiben sie einem bestimmten Nutzer vorbehalten -- eben root.

Diese Aufteilung ist auch von Windows bekannt. Linux geht allerdings noch einen Schritt weiter: In den meisten Fällen ist es gar nicht nötig, sich direkt als root anzumelden. Die Funktionen, die nur dem privilegierten Nutzer zur Verfügung stehen, lassen sich auch von "normalen" Anwendern starten, dazu muss dann allerdings das Root-Passwort eingegeben werden.

Der Vorteil: Diese Vorgehensweise verschafft dem Benutzer die umfassenden Zugriffsrechte nur dann, wenn er sie wirklich braucht, also nur für begrenzte Zeit. Auf diese Weise wird die Gefahr verringert, aus Versehen "zerstörerische" Befehle einzugeben.

Ich darf das!

Wer hat nicht schon einmal versehentlich wichtige Daten gelöscht? Ein Vertipper, eine Verwechslung beim Aufbau einer Befehlssyntax, ein Klick auf den falschen Button... So ärgerlich es ist -- es passiert und gehört zum Alltag jedes Computer-Benutzers. Handelt es sich um systemrelevante Daten, ist der Ärger richtig groß. Genau vor diesen Fällen soll die ausgefeilte Rechteverteilung von Linux-Systemen schützen.

Die Rechteverteilung schützt aber nicht nur vor eigenen Fehlern, sondern auch vor denen fremder Anwender -- abgesehen von eventuell böswilligen Absichten. Im Alltag gibt es viele typische Situationen, in denen der eigene Rechner in Gegenwart anderer für wenige Minuten unbeaufsichtigt bleibt: im Büro während der Kaffepause, zu Hause, weil ein Kind nach Ihnen gerufen hat, oder in der Bibliothek, weil Sie schnell ein Buch aus dem Regal ziehen wollen. Die Liste lässt sich beliebig lang fortsetzen.

Diese kurzen Pausen von wenigen Minuten reichen allerdings im Zweifelsfall aus, um Ihr System unbrauchbar zu machen. Dabei muss nicht einmal zwingend böse Absicht im Spiel sein -- die von Kinderhand zusammengewürfelten Tastatureingaben ergeben vielleicht rein zufällig rm -rf /. Dieser Befehl löscht das komplette Wurzelverzeichnis und alles, was darunter liegt -- im Prinzip also das ganze System.

Bitte draußen bleiben

Für die Linux-Welt gibt es derzeit glücklicherweise noch keine ernst zu nehmenden Computer-Viren. Doch bei Licht besehen ist es nur eine Frage der Zeit, bis uns auch hier ähnliche Szenarien erwarten, wie sie in der Windows-Welt bereits alltäglich sind. Falls ein User nun ständig mit Root-Rechten arbeitet, findet sich auch heute schon genug Software, die Schaden anrichten kann, wie zum Beispiel in Newsgroups kursierende Skripte.

Wenn Sie temporär Administratorrechte benötigen, gesteht Ihnen ein Linux-System diese vorbehaltlos zu -- natürlich unter der Voraussetzung, dass Sie das Passwort parat haben. Arbeiten Sie unter der grafischen Oberfläche, also mit KDE oder GNOME, fragen die systemeigenen Helferlein wie YaST oder RpmDrake Sie an passender Stelle danach.

Je bunter, desto gefährlicher!

Gerade auf einer grafischen Oberfläche wie KDE oder GNOME sollten Sie sich nie direkt als root einloggen. Beim Start der Oberfläche werden vielfältige unterschiedlichste Prozesse gestartet, und nicht immer ist klar ersichtlich, welcher Prozess welche Wirkung hat: Die Abläufe sind noch schwerer zu kontrollieren als im Textmodus. Daher liegen in der Arbeit mit grafischen Oberflächen Risiken.

Auf der Shell können Sie mit su zum Administrator werden. Allerdings können sie so keine grafischen Programme starten -- dafür bietet KDE den Befehl kdesu. In der Shell geben Sie die Administratorrechte durch Eingabe von exit wieder ab; ein privilegiertes Programmfenster, das Sie über kdesu geöffnet haben, schließen Sie einfach.

Eines ist unter Linux im Gegensatz zu Windows sehr auffallend: Die bekannten Abfragen in der Machart von "Sind Sie sicher?" fallen weitgehend weg, vor allem in der Shell. Linux-Systeme setzen sehr viel Vertrauen in die Anwender. Die meisten Programme gehen davon aus, dass Sie wissen, was Sie tun und keine zusätzlichen Sicherheitsabfragen oder Assistenten benötigen.

Möge die Macht mit Dir sein!

Herrscher über das eigene System zu werden, ist also kein Problem. Mit den Privilegien sind allerdings auch Pflichten (vor allem die zur Vorsicht) verbunden. Dank der ausgereiften Rechteverwaltung ist es allerdings recht problemlos möglich, sich als würdiger Herrscher über das System zu präsentieren und die eigenen Rechte nicht unnötig auszunutzen. Möge die Macht mit Ihnen sein! (hge)

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.

Druckerfreundliche Version | Feedback zu dieser Seite | Datenschutz | © 2017 COMPUTEC MEDIA GmbH | Last modified: 2007-01-25 17:12

Nutzungsbasierte Onlinewerbung

[Linux-Magazin] [LinuxUser] [Linux-Community] [Admin-Magazin] [Ubuntu User] [Smart Developer] [Linux Events] [Linux Magazine] [Ubuntu User] [Admin Magazine] [Smart Developer] [Linux Magazine Poland] [Linux Community Poland] [Linux Magazine Brasil] [Linux Magazine Spain] [Linux Technical Review]