| Autor |
Nachricht |
computertrolls
Unregistrierter
|
computertrolls Unregistrierter
14:44:31 13.01.2018 Titel: |
Idioten in der IT Community - Einen habe ich gefunden, man staune: (Stichwort: libreelec) |
Zitieren |
Heute habe ich mal libreelec, eine KODI Distribution für den Raspberry Pi ausprobiert.
Dazu habe ich gleich mal sshd gestartet um dann gleich mein root Passwort zu ändern.
Aber seht selbst:
| Code: | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23 | xxx@comp:~$ # ssh root@libreelec
root@libreelec's password:
##############################################
# LibreELEC #
# https://libreelec.tv #
##############################################
LibreELEC (official): 8.2.2 (RPi2.arm)
libreelec:~ # passwd
There is no working 'passwd'.
The 'passwd' command changes passwords for user accounts.
With LibreELEC it is not possible to change the system password
SSH is included only as a last support resort. SSH is off by default.
Most users never need SSH and need help using it so we need a default
password. If you need to keep SSH always on then this is unsupported
but can be secured with certificates.
TIP: disable password authentication in ssh and use public key authentication.
libreelec:~ # | |
WTF? 
Alle Welt versucht die Rechnersysteme sicherer zu machen und dann sieht man so etwas und fragt sich, was für Idioten es doch auf dieser Welt gibt.
Da wird doch tatsächlich explizit versucht zu verhindern, dass der Benutzer sein root Passwort ändern kann.
So etwas völlig bescheuertes habe ich noch nie gesehen.
Ich meine, man kann ja ein default Passwort festlegen, bis die Computer Laien das brauchen, werden sie es eh nie geändert haben
und diejenigen, die es verändert und vergessen haben, sind selber schuld.
Aber das man verhindert, dass es diejenigen ändern können, die sich das merken können, das bescheinigt den dafür Verantwortlichen doch wirklich die Deppeneigenschaft.
Zumal es den Laien auch nichts nützt wenn Botnetze und Hacker deren Libreelec Installation übernehmen und dann das root Passwort einfach selber, über Umwege, ändern, dann kommen die Laien auch nicht mehr rein. |
|
|
|
|
computertrolls
Unregistrierter
|
|
computertrolls Unregistrierter
14:53:08 13.01.2018 Titel: |
|
Zitieren |
|
|
SeppJ
Global Moderator
Benutzerprofil
Anmeldungsdatum: 10.06.2008
Beiträge: 28583
|
|
SeppJ Global Moderator
15:18:14 13.01.2018 Titel: |
|
Zitieren |
| Zitat: | | TIP: disable password authentication in ssh and use public key authentication. |
|
_________________
Korrekte Rechtschreibung und Grammatik sind das sprachliche Äquivalent zu einer Dusche und gepflegter Kleidung.
|
|
|
computertrolls
Unregistrierter
|
|
computertrolls Unregistrierter
17:34:08 13.01.2018 Titel: |
|
Zitieren |
| SeppJ schrieb: | | Zitat: | | TIP: disable password authentication in ssh and use public key authentication. |
|
Steht ja oben, ändert aber nichts daran, dass kein root PW gesetzt wird.
Es gibt schließlich noch andere Angriffszenarien. |
|
|
|
|
SeppJ
Global Moderator
Benutzerprofil
Anmeldungsdatum: 10.06.2008
Beiträge: 28583
|
|
SeppJ Global Moderator
17:53:19 13.01.2018 Titel: |
|
Zitieren |
| computertrolls schrieb: | | SeppJ schrieb: | | Zitat: | | TIP: disable password authentication in ssh and use public key authentication. |
|
Steht ja oben, |
Ich habe es nur zitiert, weil dein ganzer Rant diese Empfehlung ignoriert, bowohl es die perfekte Lösung ist und von der Software selber vorgeschlagen wird, in genau dem Text, über den du dich so künstlich aufregst. Du ignorierst es bloß.| Zitat: | ändert aber nichts daran, dass kein root PW gesetzt wird.
Es gibt schließlich noch andere Angriffszenarien. |
Welche denn? Wenn das PW abgeschaltet ist, dann ist es dicht und das ist sowieso eine gute Empfehlung ganz allgemein, denn Key ist viel sicherer als Passwort. Fast schon gut, den Nutzer dazu zu zwingen. |
_________________
Korrekte Rechtschreibung und Grammatik sind das sprachliche Äquivalent zu einer Dusche und gepflegter Kleidung.
Zuletzt bearbeitet von SeppJ am 17:55:04 13.01.2018, insgesamt 1-mal bearbeitet |
|
|
Reg mich über alles auf
Unregistrierter
|
|
Reg mich über alles auf Unregistrierter
20:57:37 13.01.2018 Titel: |
|
Zitieren |
Passwörter in ssh zu nutzen ist schon fast sträflich. Mache ich schon seit > 15 Jahren nicht mehr. Ganz offensichtlich muss man in der heutigen Zeit einigen Leuten noch erklären dass es mit Keys nicht nur möglich, sondern auch wesentlich sicherer ist. Von der einmaligen Einrichtung abgesehen ist es sogar noch bequemer. |
|
|
|
|
computertrolls
Unregistrierter
|
|
computertrolls Unregistrierter
23:17:48 13.01.2018 Titel: |
|
Zitieren |
| Reg mich über alles auf schrieb: | | Passwörter in ssh zu nutzen ist schon fast sträflich. Mache ich schon seit > 15 Jahren nicht mehr. Ganz offensichtlich muss man in der heutigen Zeit einigen Leuten noch erklären dass es mit Keys nicht nur möglich, sondern auch wesentlich sicherer ist. Von der einmaligen Einrichtung abgesehen ist es sogar noch bequemer. |
Dann log dich mal von verschiedenen Rechnern ein.
Darauf habe ich echt keine Lust, für jeden Rechner den Key auszutauschen, so dass man von jedem Rechner jeden erreichen kann.
PW sind bei ausreichender Keylänge immer noch gut genug im Heimbereich und wer seinen Rechner gegen BruteForce Angriffe absichern muss, der kann und sollte die IPs nach dem n-ten Loginversuch sperren. |
|
|
|
|
computertrolls
Unregistrierter
|
|
computertrolls Unregistrierter
23:19:41 13.01.2018 Titel: |
|
Zitieren |
[quote="SeppJ"]| computertrolls schrieb: | | SeppJ schrieb: | | Zitat: | | TIP: disable password authentication in ssh and use public key authentication. |
|
Steht ja oben, |
Ich habe es nur zitiert, weil dein ganzer Rant diese Empfehlung ignoriert, bowohl es die perfekte Lösung ist und von der Software selber vorgeschlagen wird, in genau dem Text, über den du dich so künstlich aufregst. Du ignorierst es bloß.| Zitat: | ändert aber nichts daran, dass kein root PW gesetzt wird.
|
Nein, es geht um zwei verschiedene Dinge.
Das eine ist ein Umweg, das andere das Problem das es überhaupt verhindert wird, dass man ein root PW setzen kann.
| Zitat: |
Welche denn? Wenn das PW abgeschaltet ist, dann ist es dicht und das ist sowieso eine gute Empfehlung ganz allgemein, denn Key ist viel sicherer als Passwort. Fast schon gut, den Nutzer dazu zu zwingen. |
Z.B. Mehrbenutzeraccounts.
Admin sollte nur einer sein. |
|
|
|
|
SeppJ
Global Moderator
Benutzerprofil
Anmeldungsdatum: 10.06.2008
Beiträge: 28583
|
|
SeppJ Global Moderator
00:28:50 14.01.2018 Titel: |
|
Zitieren |
Du machst dir Probleme wo keine sind, weil du Probleme haben möchtest. Dann hab' halt Probleme, wenn du unbedingt willst! Aber erwarte keine Hilfe. |
_________________
Korrekte Rechtschreibung und Grammatik sind das sprachliche Äquivalent zu einer Dusche und gepflegter Kleidung.
Zuletzt bearbeitet von SeppJ am 00:29:48 14.01.2018, insgesamt 1-mal bearbeitet |
|
|
hustbaer
Mitglied
Benutzerprofil
Anmeldungsdatum: 27.10.2006
Beiträge: 24114
|
|
hustbaer Mitglied
01:09:21 14.01.2018 Titel: |
|
Zitieren |
Mal ne blöde Frage: können KODI Plugins nicht beliebigen Code ausführen? Falls das stimmt, und das root passwort bekannt ist, heisst das nicht dass Plugins dann auch root Zugriff auf das Gerät haben? |
_________________
Until every person can enjoy all their human rights, we will not stop. I support Amnesty International. Will you?
https://www.amnesty.org / https://www.amnesty.de / https://www.amnesty.at
|
|
|
Twitter
Facebook