# root account sperren wie bei ubuntu?

## Christian99

Hallo,

ich möchte meinen root-account wie bei ubuntu sperren und alles über sudo machen.

Funktioniert auch ganz gut mit passwd -l root. Aber wenn ich dann einen neuen benutzer anlegen möchte, kommt:

```
Ihr Konto ist abgelaufen. Wenden Sie sich an den Systemadministrator

adduser: PAM-Authentifizierung fehlgeschlagen

```

ich muss dann erst wieder unlocken (passwd -u root), und dann gehts wieder. Ist das ein Fehler, oder gibts ne andere Methode einen Account zu sperren?

Danke schonmal.

Christian

----------

## manuels

Sorry, keine Hilfe, aber: wieso willst du das machen?

EDIT: Weil, einen Sicherheitsgewinn seh ich nicht.

----------

## Christian99

naja, ich hatte vorher ubuntu, und da hab ich mir angewöhnt sudo zu verwenden.

Und es schadet ja auch nicht, wenn man einen account, den man nicht verwendet deaktiviert.

----------

## manuels

Naja, du kannst auch einfach für root ein ungültiges Passwort in die /etc/shadow einbauen:

 *man 5 shadow wrote:*   

>        If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not
> 
>        be able to use a unix password to log in, subject to pam(7).
> 
> 

 

----------

## Christian99

passwd -l root

macht ja nicht viel anderes. Es fügt dem passwort ein "!" vorne dazu. Aber dann hab ich dass problem, dass ich (mit sudo) keine bennutzer mehr anlegen/löschen kann.

EDIT: offensichtlich passiert dabei noch mehr. Wenn ich das "!" per hand in /etc/shadow schreibe, dann geht alles.

Dank für die Mühe

Christian

----------

## ChrisJumper

Hallo Christian,

also du könntest deinen User in sudoers hinzufügen, und wenn du nicht willst das er via

```

$ su

```

zum root wechselt. Dann nimmst du ihn einfach aus der Gruppe wheel raus.

Und ja es ist kein großer Sicherheitsgewinn wenn der root-User ein anderes Passwort hat. Aber mich z.B. stört es wenn der Benutzer wie bei Ubuntu per default in den sudoers steht. Grade bei Mehrbenutzer-Systemen möchte man doch nicht das sich jeder via sudo zu rootrechten mit seinem Passwort bekommen kann.

Du kannst so übrigens auch mit dem Befehl

```

$ sudo su

```

zum root wechseln.

Grüße

Chris

----------

## Christian99

Danke Chris für die Antwort. Aber soweit ist das alles klar und eingerichtet und läuft.

Das Problem hat angefangen, als ich meinen root-Account mit "passwd -l root" deaktiviert habe.

Ab dann konnte ich useradd/del nicht mehr verwenden (siehe obige Fehlermeldung) während alles anderen sudo sachen gingen.

Inzwischen hab ich gesehen, das "passwd -l" nicht nur ein "!" vor dem Passwort in der /etc/shadow einfügt, sondern im letzten Feld der /etc/shadow auch eine 1 schreibt. Wenn man die 1 wieder rausmacht oder das "!" per Hand einfügt, dann ist alles ok: root kann nicht einloggen und useradd/del geht auch.

Bin mir nicht sicher, ob das von passwd so beabsichtigt ist, oder ob das ein Fehler ist.

Gute Nacht

Christian

----------

