Hallo !

Folgendes Problem :

Wir haben hier einen nfs Server, der die Homeverzeichnisse freigibt, und ein LDAP-Server, der die Userverwaltung übernimmt.
Die Homeverzeichnisse der Benutzer liegen unter /export/home (was mit nfs freigegeben ist).
Der Client mountet /export/home und kann auf seine Datein zugreifen - auf die Daten anderer natürlich nicht (da sie bestimmten Usern gehören)

Das Problem : Wenn man auf dem Client root ist, und ein su - <user1> macht, kann man auf die Daten von <user1> auf dem Server zugreifen.

Gibt es eine Möglichkeit, dies Serverseitig zu verbieten ? Ich wüsste jetzt nicht wie das gehen sollte, da aus Serversicht jemand mit der <USERID> kommt und den lässt er natürlich zu. Aber wenn ihr ne Lösung habt, wäre schön.
Wenn ihr meint, es geht nicht, wäre das auch eine Hilfe, da ich mir dann eine andere Lösung suchen muss (alternative zu NFS- wenn ihr vorschläge habt ...)

Die Homeverzeichnisse einzeln freigeben möchten wir nicht.

Danke schonmal.

Ich glaube nicht, daß es da eine Lösung gibt -- wenn du root bist, darfst du auf dem System nunmal alles. Auch /home durchsuchen, wie du willst. Dazu mußt du eigentlich nichtmal mittels "su - user" die UID wechseln. Und das liegt nichtmal an NFS, das wäre mit CIFS z. B. genauso.

Aber wie machen es andere Firmen ? Es muss doch irgendeine "sichere" Lösung geben - es kann doch nicht sein, dass wenn jemand "nur" weil er lokal auf seinem Client root ist auf die Daten vom Chef zugreifen kann.

Das hatte uns bisher nicht so interessiert, da alle Windows benutzen und die Zugriffe über Sambe geregelt wurden - aber langsam bekommen einige ein Notebook (mit Linux drauf), dass sie auch zum Kunden oder nach Hause mitnehmen müssen. Da kann/ will man denen auch nicht die root-rechte wegnehmen.

Ich glaube nicht, daß es da eine Lösung gibt -- wenn du root bist, darfst du auf dem System nunmal alles. Auch /home durchsuchen, wie du willst.

Nicht bei NFS, da kann man den User Root Serverseitig aussperren. Leider kann sich aber Root nunmal mit Hilfe von su anders Zugriff verschaffen.

In einem Unternehmen darf nun mal kein User Administrator oder Root sein, da darf man auch keine Ausnahmen machen. Vielleicht solltest du dir mal AFS anschauen.

no_root_sqash in der /etc/exports ist ohnehin eine gute Idee. Wenn der User auf dem client aber mit den UIDs spielen darf, wie er will hilft das auch nicht wirklich. Hat drcux ja schon gesagt.

Abe warum brauchen die User auf den Linux-NBs Rootrechte?


Kreol

Für die die es interessiert :

root-rechte wegnehmen ist nicht gut, da sie auch z.B. beim Kunden sachen installieren konfigurieren etc. müssen.

Habe das jetzt so gemacht, daß nfs nicht freigegeben ist (freigegeben nur für bestimmte server) - auf die shares müssen sie dann per samba zugreifen (ist jetzt die schnellste Lösung).

Irgendwann werde ich mir mal die sache mit kerberos und nfs angucken - wenn mal zeit ist.

Danke für die Antworten