[gelöst] SUSE10.3 KDE YAST Sicherheitsproblem

[Tino2]

Hallo!

Ich weiss nicht ob es schon jemanden aufgefallen ist, das es under Open suse 10.3 mit KDE ein Sicherheitsproblem gibt! (will mich aber eines besseren belehren lassen)

Folgendes:
Wenn ich als Benutzer YAST im Menue anklicke erscheint ja ein Fenster wo ich das root Passwort eingebe. Danach öffnet sich YAST und kann Benutzer anlegen, löschen u.s.w..
Nach dem ich Änderungen durchgeführt habe beende ich YAST.
Ein Kollege sah mir dabei zu. Bei der Eingabe des Passwortes war er nicht anwesend.
Nun ging ich nach draussen und mein Kollege bediente sich am Rechner. Startete YAST unter meinem angemeldeten Benutzer und gab als Passwort irgent welche Zeichen ein.
Darauf startete YAST und er konnte meinen Benutzer löschen und das root Passwort verändern.

So, ist jetzt alles nur erfunden, aber funktioniert wirklich. Probiert es aus!
Ob's mit Gnome funktioniert weiss ich nicht!

MfG.:

 

[admine]

Also wenn ich bei der Passwort-Abfage irgendetwas eingebe, bekomme ich die Fehlermeldung "Passwort falsch"

 

[Tino2]

Welches SUSE, welche Oberfläche?

Als User angemeldet?

 

[Anonymous]

Also wenn ich bei der Passwort-Abfage irgendetwas eingebe, bekomme ich die Fehlermeldung "Passwort falsch"

Jein.

Das hängt davon ab, wie kdesu eingestellt ist.

Wenn man "sudo" als Backend und die default-Einstellungen verwendet, so kann dieses Verhalten möglicherweise wirklich auftauchen, da der Timeout, bevor bei einem erneuten "sudo"-Aufruf nach dem Passwort gefragt wird, 5 Minuten beträgt.

Man könnte also dann sogar nur auf weiter oder ignorieren klicken, es müsste dann wirklich gehen wie oben beschrieben.

Ist also eine Frage der Einstellungen:

Defaults timestamp_timeout = 0

in der /etc/sudoers mit "visudo" als root eingetragen und der Spuk sollte vorbei sein.

Allerdings ist dann eben bei jeder sudo-Eingabe das (root)-PW fällig, also der übliche Gegensatz von Bequemlichkeit zu Sicherheit.

Kein "Fehlverhalten" an sich und zumindest leicht abzusichern.

 

[Tino2]

Also, ich hab's noch mal auf einen anderen Rechner probiert und konnte mich nach dem zweiten Aufrufen von YAST mit zufälligen Zeichen einloggen.

Ich will mal sehen über welchen Zeitraum das funktioniert!

 

[admine]

:shock: :shock:
in dieser Art hatte ich es noch nie versucht ... ich bin erstaunt.

Defaults timestamp_timeout = 0

war dann die Lösung.

Thx für den Hinweis und die Lösung.

 

[Anonymous]

Wenn es das ist, was ich vermute, dann lass die "zufälligen Zeichen" mal weg.

Das mit den 5 Minuten ist aus der Erinnerung und mit der oben genannten Einstellung ist zuverlässig "Schicht im Schacht".

 

[Tino2]

Danke für die Antworten.

Ich glaube in den Früheren Versionen von SUSE konnte man noch ein Kreuzchen setzen. "Root Passwort für die aktuelle Sitzung merken"
Sollte man wieder einführen.

 

[Tino2]

Das mit den 5 min könnte hinhauen, da ich mich nun nicht mehr ohne richtigen Passwort anmelden konnte.

( Wie makiert man eigenlich das Problem als gelöst?


MfG:

 

[admine]

=> ersten Beitrag editieren und im Titel [gelöst] ergänzen.