Urlaubsvertretung - Rechte vergabe ?!


Hi @all,

ich wärde dem nächst in meinen wohl verdienten urlaub fahren :) Jetzt muss ein Kollege für mich urlaubsvertretung machen.
Es soll nur in einem Notfall eingreifen, er soll aber nicht die vollen root - Rechte bekommen !
Jetzt habe ich mir überlegt, diesem User alle Rechte zu geben außer enigen rechten, die Ihm zum root werden lassen können (sudo), wie zum Beispiel:

- ändern vom Rootpasswort
- root löschen
- user mit der uid 0 anlegen
- editiren der /etc/passwd u. /etc/shadow


Was haltet ihr davon ? Wie sieht es aus dem Security Stand aus ? Gibt es da vielleicht ein bessere lösung ?
Ich hab unten noch die Einträge aufgelistet die ich in der Sudoers eintragen werde. Villeicht habt ihr noch ein paar ergänzungen.


# HOST Alias
# ----------
Host_Alias SERVER = linux


# User alias specification
# ----------------------------
#
User_Alias ROOT2 = wurzel


# Cmnd alias specification
# ----------------------------
#
Cmnd_Alias ROOT2_BEFEHLE = !/usr/bin/passwd, \
!/usr/bin/passwd root, \
/usr/bin/passwd [A-z]*, \
!/usr/sbin/userdel


# User privilege specification
# ----------------------------
#
ROOT2 ALL=ROOT2_BEFEHLE


Danke schon mal im voraus...

geist_der_foren

Urlaubsvertretung - Rechte vergabe ?!
- ändern vom Rootpasswort
- root löschen
- user mit der uid 0 anlegen

Das wird ein interessantes Ergebnis geben!
In Zweifelsfall solltest Du umbuchen ... ;)

Gruß

Er bekommt von dir zwar keinen direkten, aber einen indirekten rootzugriff.

Wo ist da bitte der Unterschied?

Ganz wichtig.

Kein Zugriff auf root/uid 0.
Kein Password von root ändern lassen.

Alles protokollieren.

Eventuell denkbar wären diverse Administrative Aufgaben welcher per SUID Programm welches prüft ob der auszuführende wirklich der Benutzer ist wo mehrrechte Besitzt.

Dort könntest du diverse Sachen wie Server rebooten usw hinterlegen.

Alternativ ein Sauber eingestelltes Webmin.

Dort kannst du dem Benutzer diverse Module zuweissen, welche er benötigt.

Wieder nicht vergessen.
Alles protokollieren lassen und darauf hinweissen das Protokolliert wird.

p2k

Er bekommt von dir zwar keinen direkten, aber einen indirekten rootzugriff.
Wo ist da bitte der Unterschied?

Eventuell denkbar wären diverse Administrative Aufgaben welcher per SUID Programm

Alternativ ein Sauber eingestelltes Webmin.

p2k

Ist ja auch widersprüchlich, oder? Ich vertraue eher sudo als Webmin und suid.

Es hat sich bei uns sehr bewährt und war/ist zuverlässig:
Für unpriv Benutzer in der sudoers entsprechende Rechte setzen.
Es ist natürlich Fleißarbeit, bei uns hat es sich aber soweit durchgesetzt, daß es schon eine Trennung gibt:
- System (allmächtiger root)
- Systembetrieb (sudo für Betriebssystemnahe Arbeiten wie Partitionen erweitern, Runlevel wechseln, Hardwarekonfigurationen zb Netzwerk Kernelparameter für Lastbetrieb etc)
- Anwendungsbetrieb (sudo für Anwendungsnahe Arbeiten wie Dienste starten/stoppen, Dienstekonfigurationen anpassen etc)

Und die die suders ist net so schwer ...

cu/2 iae

Das sudoers die elegantere und sichere Lösung ist, stimme ich mbo zu.

Darum dann noch ein kleines perl / tcl/tk script basteln und der Anwender hat es recht einfach.

p2k

Nun habe ich doch mal eine kleine Frage:
wie soll das System über einen Zeitraum größer 24 Stunden sauber laufen (besonders nächtliche Systemjobs), wenn kein root (sondern root2 mit UID 0) da ist?
Zumindest im Büro brachten solche Ideen in der Vergangenheit immer recht interessante Ergebnisse ...

Wir haben eigentlich immer nur:
- Passwort für root geändert
- ein zusätzliches Mitglied der Gruppe root erstellt (etwa ixadmin)
- edliche Befehle für den Benutzer gesperrt
- das Logging erweitert ;)

Gruß

Nun habe ich doch mal eine kleine Frage:
wie soll das System über einen Zeitraum größer 24 Stunden sauber laufen (besonders nächtliche Systemjobs), wenn kein root (sondern root2 mit UID 0) da ist?
Zumindest im Büro brachten solche Ideen in der Vergangenheit immer recht interessante Ergebnisse ...

Wir haben eigentlich immer nur:
- Passwort für root geändert
- ein zusätzliches Mitglied der Gruppe root erstellt (etwa ixadmin)
- edliche Befehle für den Benutzer gesperrt
- das Logging erweitert ;)

Gruß
Indem Du die UID 0 unverändert läßt und stattdessen sudo nimmst.
Andererseits: Bei mir läuft kein Dienst, der nach root sucht, die suchen immer nur nach UID 0

cu/2 iae

Ah ... ok.
Bei edlichen im Büro eingesetzten Diensten/Jobs werden bspw. commands in der Form "chown NAME:GRUPPE ..." ausgeführt - und ohne root (=UID 0) klappt dann halt einiges nicht (wenn root benötigt wird).
Ich ging nun einfach mal (ganz selbstbewußt ;) ) davon aus, daß andere eine ähnliche Verfahrensweise haben ...

Gruß