Gehen wir davon aus, dass auf einem System zwei Passwörter vergeben sind, eines für den Nutzer, das andere für root.
Wir melden uns ja alle wenn der Rechner hochfährt, immer mit einem Nutzer-Passwort an und bekommen dann daraufhin den Desktop des Systems zu sehen.
Es ist ja faktisch so, dass von den Rechten abhängt, mit denen der Nutzer arbeitet, wieviel Schaden Malware anrichten kann.
DH für einen (hyptothetisch) Schäding der reinkommt, spielt das Nutzerpasswort im Grunde keine Rolle, weil der Nutzer ja ohnehin mit seinen ihm zur Verfügung stehenden Rechten angemeldet ist und der Schädling darüber das tun kann, was er damit eben tun kann.
Gehe ich weiter recht in der Annahme, dass das Nutzer-Passwort, mit dem wir uns nach dem Booten anmelden, lediglich eine einzige Funktion erfüllt: Nämlich physhischen Zugriff auf das System zu verhindern?!
Das bedeutet doch, man kann es sich doch im Grunde sparen, nach dem Booten ein Passwort eingeben zu müssen, um sich anzumelden und viel einfacher eine automatische Anmeldung einrichten, das hat auf die Sicherheit meines Nutzerkontos mit dem ich dann arbeite, in Bezug auf Malware keinerlei Auswirkung bzw. es macht doch vom Standpunkt der Sicherheit keinerlei Unterschied oder? (wie gesagt, wenn man zwei verschiedene Passwörter nutzt)
Und bedeutet das auch, ob es dann völlig egal ist,ob das Nutzerpasswort 3 Zeichen hat oder 20?!
Grundsätzlich, UINX® und deswegen Linux auch, sind “Mehr-Benutzer” Betriebssystemen mit, mehrere Benutzer-Gruppen.
Dank an der AT&T Bell Labs Vätern des UINX® (Ken Thompson und Dennis Ritchie) – Benutzern und Gruppen sind haben Zahlen als der Bezeichner statt Buchstaben – die Namen als Texte sind nur als ein menschliche Hilfe zu verfügen gestellt …
Also – Benutzer Identifikatoren mit ein maximale Wert von 500 sind als “System Benutzer” zu betrachten.
„Normale” (menschliche) Benützern haben, in die Regel, Identifikatoren mit ein Wert von 1000 und mehr.
Noch mal – „System” und (normale beziehungsweise menschliche) „Benutzer” sind streng getrennt.
Und, jeder Benutzer, egal ob „System” oder „Mensch”, kann nur Mist in sein zugeordnete Bereich bauen und, nirgends wo anders …
Mit eine Ausnahme – der Benutzer „root” und Systemadministratoren mit Benutzer-Identifikatoren in das „System” Bereich – die kann, machen was die wollen – überall – die sind ja, Systemadministratoren …
Erst mal danke für Deine Antwort, aber leider beantwortet Dein Posting meine Fragen nur zum Teil, geht aber nicht konkret auf die Fragen ein.
Du musst bedenken, dass es auch viele User gibt, die eben in dieser Materie nicht tief genug sind, und damit eben auch ein gewisser Background fehlt. Ich kann aus Deinem Posting die für mich wichtigen Antworten leider nicht herauslesen.
ich versuch es trotzdem mal und greife mir einen Satz von Deinem Posting heraus:
“Und, jeder Benutzer, egal ob „System” oder „Mensch”, kann nur Mist in sein zugeordnete Bereich bauen und, nirgends wo anders …” …] “Mit eine Ausnahme – der Benutzer „root” und Systemadministratore”
Also bedeutet das dann folglich wie ich schrieb, dass das Nutzerpasswort keinerlei Relevanz hat, ausser den Rechner vor physischem Zugriff zu schützen?!
Man es damit auch weglassen kann, zB eine automatische Anmeldung einrichten kann oder wenn man doch eines zur Anmeldung einrichten will, es damit auch keine Rolle spielt, ob das Nutzerpasswort 1 Zeichen oder 20 hat?!
Mir ist das deshalb so wichtig, weil es vielleicht irgendwelche zusätzlichen Faktoren oder Umstände gibt, die da doch noch mit rein spielen, die ein entsprechend eingerichtetes (zur Anmeldung) und starkes Nutzerpasswort vielleicht doch relevant machen.
Das hängt davon ab wieviel Benutzer configuriert sind. Jeder Benutzer hat einen (oder hat keinen und kann sich nicht anmelden).
Aber nach Neuinstallireung sind es meistens nur root und ein “normale” Benutzer (die weitere Benutzer die schon da sein (wenistens 30), können sich meistens nicht anmelden).
Nicht alle. Es gibt auch Leute die sich in der Console in die sogenannte CLI anmelden. Aber was du zeigst ist oft der Fall.
Meistens ist der Benutzer selbst den Malware
Wie gesagt, der einzelne Bebutzer ist das gefährlichste, Er/Sie ist es der den Malware hereinholt und auch noch mal drehen lasst.
Das Benutzer Passwort ist gegen unerlaubtes Anmelden von Vorbeispazierende Leute.
Physischen Zugriff verhindert man nur wen man keiner in der Náhe lasst um das z.B. aus dem Fenster zu werfen.
Wenn du meinst, Anmelden, dan nog immer nicht auf Systemdaten, aber nur auf die Daten dieser Benutzer.
Das Anmelden ist übrigens nich beschränkt auf die direkt am System gekuppelte Tastatur. Das geht auch von woanders.
Automatisch anmelden eimer bestimmte Benutzer ist leicht zu konfigurieren (in der Display Manager), man muß natürlich root sein, sonst könnte jeder Benutzer das wieder abändern (ich, nein ich will automatisch anmelden und nicht die Andern).
Wenn du willst kannst du das auch auf 0 Zeichen zurückbringen. Es handelt sich hier um Unix/Linux. Du bist völlig frei zu tun was du willst. Anderen, wie wir, können nich feststellen ob du ein System hast mit nur einen aktiven Benutzer, der das System nur im Hinterzimmer (mit Schloss und Riegel) abgestellt hast, und das soswieso nur Bilder von Herbstblatter darauf gelagert sind, oder das du mit Laptop durch diie Welt gehst und Daten mit höchste Geheimhaltungsstufe enthalt.
Natürlich liest man das ja immer wieder mal vereinzelt, darum geht es doch auch garnicht.
Es geht darum, dass ein Betriebssystem eine Funktionsweise und Architektur hat, Mechanismen, nach denen es arbeitet.
Ich stellte diese Fragen deshalb, weil ich wissen wollte, ob es viell. systembedingt Faktoren gibt, die ich als User nicht sehen kann, die es vielleicht aber doch sinnvoll oder vielleicht sogar notwendig machen könnten, ein starkes Nutzerpasswort einzurichten.
So ist das doch auch im Alltag. Wie oft kommt es vor, dass Menschen irgendetwas des täglichen Lebens nutzen, aber nicht wissen, wie das was sie nutzen, funktioniert bzw. u.U. nicht wissen,wie es zusammengesetzt ist. So ist es auch bei Betriebssystemen. Woher soll ich als Nutzer wissen, was openSUSE oder generell Linux/Unix systemintern unterm Strich alles an Mechanismen/ Funktionen beherbergt, die bestimmte Umstände oder Erfordernisse mit sich bringen.
Wenn das Tastatur und Bildschirm in einen sicherer Ort aufgestellt geworden sind, dann Benutzer und Passwort (oder anderer Zugangsmethoden) sind eigentlich überflüssig.
Vorausgesetzt dass, die Menschen die an den Ort auftreten darf, muss nicht differenziert die Anwendungen an das Maschine bedienen.
[INDENT=2]Wenn die Anwendungen wissen muss, ob Mensch X oder Mensch Y vor das Maschine sitzt und das Maschine bedient dann, Zugangskontrolle ist gefordert.
[/INDENT]
Beispiel – e-Mail → wenn für eine Gruppe dann, Zugangskontrolle ist überflüssig aber, wenn jeder einzeln Kommunikationstexte schreiben sollte, Zugangskontrolle ist notwendig zu wissen wer die Texte geschrieben hat.
Noch ein Beispiel – ein Not-Aus Knopf → es muss vom jeder der vor Ort ist bedienbar sein.
Wer es war, der Knopf gedruckt hat, könnte nachher identifiziert werden …
Also, zurück zur automatische Anmeldungen –
Ja, für viele Haushalte mit familiäre Verhältnisse, automatische Anmeldungen wird ausreichen sein – vorausgesetzt ein gemeinsame e-Mail Konto …
Für Büroräume, wegen Geschäftliche Einschränkungen, automatische Anmeldungen wird, in die Regel, nicht möglich sein.
Übrigens, zur die Zeiten wenn, ein Bildschirm, oder Drucker, mit eingebaute Tastatur mit einen RS-232 Kabel an der Maschine gebunden war, es war möglich mit an einen Rechnersystem bis zu 1.000 Benutzer gleichzeitig zu bedienen – typischerweise ein IBM oder anderer Großrechner oder, ein etwas größerer UNIX® Rechner oder, ein größerer „Mini-Computer” (DEC, Wang, & Co.).
Der oberer Grenze für die menge von Benutzern pro Rechner war physikalische – die menge von RS-232 Anschlüsse physikalisch möglich pro Rechnersystem.
In Grunde genommen, die wurzeln von Linux stammen aus diese Zeiten – Linux ist grundsätzlich, ein mehr-Benutzer Betriebssystem …
Jetzt schreibe vom Herzen –In Grunde genommen, automatische Anmeldung-Verfahrenen sind für viele Fälle ausreichend.
Nehmen wir ein paar Beispiele –
Familie Heinz und Jutta Meier sowie, Familie Bertrand und Hildegard Meyer sowie, Manfred und Rotraud Majer, haben alle, Systeme mit automatische Anmeldungen in ihre familiäre Wohnräume.
Pro Familie gibt es einen gemeinsamen e-Mail Konto – zum Beispiel „Familie-Meier-001@e-mail.de”.
[INDENT=2]Heinz Meier schrieb Rotraud Majer „Liebe Rotraud, treffen wir heute Abend wieder mal? Lieber Grüße Heinz” an. So lang, weder Jutta Meier noch Manfred Majer das e-Mail ließt, ist alles in Ordnung …
[/INDENT]
Das gleiche gilt für HBCI Home-Banking – so lang als das familiäre Bankkonto ein gemeinsame Konto ist, auch alles in Ordnung.
Die klein Unternehmen „Schuhmacher Meier”, „Optiker Meyer” und „Metzger Majer”, haben alle, Systeme mit automatische Anmeldungen in ihre Geschäftsräumen.
Pro Unternehmen gibt es einen gemeinsamen e-Mail Konto – zum Beispiel „Metzgerei-Majer-001@e-mail.de”.
[INDENT=2]Privaten e-Mail mittels das Firmen e-Mail Konto gibt es nicht – allen die das e-Mail Konto benutzen wird auch die privaten e-Mail Verkehr lesen …[/INDENT]
In Prinzip ist das HBCI Banken ziemlich sicher – nur die Systeme die mit das geschäftliche Bankenverfahren zu tun haben, haben die Anwendungen installiert und eingerichtet und, nur die Personen die Banktransaktionen durchführen dürften, haben die PIN in Kopf …
Das gleiche gilt für Buchführungsanwendungen …
Ob, diese Verfahren für größere Unternehmen möglich ist, ist ein strittige Punkt –
Nehmen wir die klein Unternehmerischen Banken und Buchführung Beispielen – wenn die Anmeldungen an die „große” Anwendungen per maßgeschneiderte hoch sicherer Verfahrenen implementiert worden sind, dann ist automatische Anmeldung an die Rechnersysteme auch in größere Unternehmen möglich.
In Prinzip, wenn jede kritische Anwendung, ein maßgeschneiderte hoch sicherer Anmeldeverfahren (physikalische Schlüssel – biometrische Werte – u.s.w.) hatte, ist ein System Anmeldung mit Passwort passé …
Ein Beispiel aus mein Vergangenheit –
Der Pförtner muss einloggen (VAX/VMS) – aber, er käme nicht zu recht mit mehrfache Terminal Sitzungen – Hauptanwendungen: Telefonbuch und KFZ-Kennzeichen Liste …
Ich, am Terminal-Server – automatische Anmeldung.
Chef – Schrei!!
Ich – „Schau das Glas am Pförtner Kabine an – es ist Kugelsicher … ”
Jein – automatische Anmeldungen gelten nur für lokale (physikalische) Anmeldungen.
Anmeldung mittels ein Netzwerk muss mit ein starke Zugangskontrolle gesichert werden aber, zum Beispiel, SSH kann mittels gespeicherte Schlüsseln das Anmeldung-Prozedur vereinfachen.