Hallo liebe Community,

also mein Problem ist folgendes wir arbeiten momentan an einem grösseren Projekt im Team und da mein Freund schon erheblich mehr über unix / server weiss als ich möchte ich ihm auch einen Root account auf dem Server einrichten.

Jetzt habe ich da aber bedenken, ich bin teilweise vielleicht ein zu paranoider Mensch aber aufjedenfall habe ich angst er könnte evtl eine backdoor oder Sachen dort machen die ich nicht möchte, wie zb zusätzliche Services installieren oder einfach mal meine Sqldb klauen oder ähnliches.

Nun die Frage:
Wie kann ich dagegen vorgehen? Am besten wäre so etwas wie die .bash_history die mir jeden cmd den er ausführt protokolliert, allerdings kann er die ja leicht modifizieren oder löschen da er ja eben auch root user ist.

Eine andere Frage wäre ob ich den account irgendwie ganz explizit stück für stück nur einzelne Sachen erlauben darf

Sinnvoll wäre sicher soetwas wie von allen dateien eine Database mit jeweiligem md5 hash anzulegen, nur weiss ich leider nicht wie ich sowas realisieren könnte...

Ich hoffe mal ihr habt noch gute ansätze was man in so einer Situation tuen kann...

lg
tom

Willkommen im Forum.


2. Root account
Völliger Blödsinn... Lies mal http://www.linuxforen.de/forums/showthread.php?t=244420
Setzte ein Schriftstück auf, wo drin steht was er darf und was nicht und lass es unterschreiben!

Eine andere Frage wäre ob ich den account irgendwie ganz explizit stück für stück nur einzelne Sachen erlauben darf
Allerdings frage ich mich, warum ein normaler Benutzeraccount nicht für diese Person reicht?!
Mit sudo kannst Du dem Benutzer Stück für Stück erlauben was er machen darf und was nicht.

Auf Grund der Fragestellung hier noch ein Verweis http://www.root-und-kein-plan.ath.cx


Greeez Oli

Hallo,

Ich weiss ja dass der Root nur "ganz oder gar nicht" sein darf deswegen wende ich mich ja auch an euch ihr habt schon mehr Erfahrung und wisst sicherlich den ein oder anderen "workaround"

Über Sudo werde ich mich mal einlesen. Ich habe gestern testweise eine chroot umgebung installiert und bin auch sehr zufrieden damit, der ssh user kann dank chrlogin nur genau diese binarys ausführen die ich ihm in sein chroot reinkopiere und das ist momentan nur ls cat usw.
Wie könnte ich da nun weiter vorgehen um wenigstens teilweise administrative Aufgaben jemand anderem zugänglich zu machen? Ich denke da so an zugriff auf die ganzen config files zb apache mein ircd usw.

Nur ich würde eben gern ganz genau wissen wollen was er da macht und was er verändert hat deshalb ja die Idee mit md5 überprüfen und bash.history an einen 2. ort kopieren oder so etwas...Ich hoffe dazu kann noch mal einer was sagen


lg

Die einfachste Lösung ist und bleibt sudo.

Klar kannst Du alles notwendige in eine chroot-Umgebung packen aber elegant ist das auch nicht - und auch nicht sicher und auch nicht mehr Standard, du müsstest also komplett die Vorgaben der Distribution verlassen...

Wenn du ihm nicht vertraust (was du ja gesagt hast), dann gib ihm keine root-Rechte!

root zu sein hat vor allem was mit Vertrauen zu tun. Denn wie schon gesagt, root darf alles und kann alles!

--> Ergo, leg fest, was er zu machen hat und gib ihm die Rechte, die er dazu braucht. Oder such dir nen Mannaged Server, da kann weder er noch du viel falsch machen.

sudo. Keine Frage. Am besten im Zusammenspiel hiermit (http://en.wikipedia.org/wiki/Sudo#Shell_logging).

'cuda

sudo kann ich auch empfehlen. du hast damit die möglichkeit sehr genau zu definieren welcher user mit welchen rechten was machen darf. das ist absolut zu empfehlen.

... und lustigerweise wird auch noch jede Aktion geloggt...