PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Einem User SU verbiente?



SaDDaM123
05.11.01, 16:31
Hallo,
ich habe mal eine Frage...gibt es die möglichkeit einem User den Befehl su zu verbieten?

Es ist nämlich folgendes..ich administriere ein paar Server...so..der Besitzer will aber dass das root PW sein PW ist...das is aber son universal PW...und ein user auf der Kiste hat einen Useraccount..aber der User kennt auch das universal PW..d.h. er kann sich mit su ganz einfach root holen.
So..das will ich aber nicht..gibt es da eine möglichkeit das zu umgehen?

netzmeister
06.11.01, 11:00
Hallo,

alle Linuxe haben eine entsprechende Sicherheitsverwaltung eingebaut.

Schaue Dir hierzu mal die /etc/permissions.* an.

Sie SU-Berechtigeten gehören dann eine Gruppe an. Z.B. Trusted oder Wheel.

Viel Erfolg

Eicke

AB65
06.11.01, 20:55
Vermessene Frage wenn der user das root passwd
kennt was würde ihn hindern sich als root also ohne su einzulogen?

SaDDaM123
06.11.01, 21:20
Original geschrieben von AB65
Vermessene Frage wenn der user das root passwd
kennt was würde ihn hindern sich als root also ohne su einzulogen?



Ganz einfach..root als ssh is verboten :)

Hab ich im sshd eingestellt.

@Netzmeister

Danke..ich werd mir das mal angucken!!!

SaDDaM123
09.11.01, 13:24
So..ich habs nu :)

Bei debian gibbet die /etc/permissons anscheinent nicht....aber ich wusste dass da irgendwas ist was sich pam nennt und mit sicherheit zu tun hat ;)

Dann hab ich in /etc einfach mal geguckt..und unter /etc/pam.d/ ne datei gefunden mit dem Namen su :)

Da kann man so allerlei einstellen...unteranderem auch dass man ner bestimmten Gruppe den SU zugang sperrt...also hab ich das unkommentiert und dem entsprechenden User in die Gruppe nosu gestopft..und siehe da..es geht nicht :)

Es kommt immer PErmisson denied

Also..nochmal in kurz :)

/etc/pam.d/su editieren

#auth required pam_wheel.so deny group=nosu

Da das # weg machen

dann Gruppe nosu anlegen...

und einfach adduser benutzerderkeinsumachnsoll nosu

und schonc gehts ;)