PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ist dieses Rechteszenario mit Bordmitteln unter RHEL abbildbar?



SamirAbi
28.10.14, 17:49
Hallo zusammen,

Szenario: es gibt einen RHEL Server, auf dem ein User auf das ganze System lesenden Zugriff haben soll.

Das System ist schon eine Weile im Betrieb (soll heißen es sind schon einige Gruppen und User angelegt worden) und die Admins behaupten, dass es nicht ohne sehr viel Aufwand möglich wäre dieses Szenario zu realisieren.

Meine Frage: stimmt das? Ich hätte gedacht, dass sich die meisten Szenarien die wenig "Ausnahmen haben" leicht realisieren lassen. Auf das obige Szenario übertragen soll das heißen, dass dort eben festgelegt wird ein User hat Leserechte überall ohne Ausnahmen.

Danke vorab.

marce
28.10.14, 18:52
was heißt denn konkret Leserecht in Deinen Augen?

... das zu erreichen gibt es verschiedene Möglichkeiten - je nach dem, was der User sonst noch können soll / können darf - oder eben nicht können soll.

Dazu kommt dann noch wie die Userverwaltung auf dem System aussieht.

Das alles zusammen gibt dann Lösungen von "geht nicht" bis zu "völlig problemlos".

SamirAbi
29.10.14, 08:52
Hm, also Leserecht heißt eben bspw., dass alle Textdateien mit einem Editor geöffnet werden können, und zwar wirklich alle, auch die an die ich jetzt garnicht denke. Im kompletten System also.

Der User braucht sonst keine besonderen Berechtigungen (außer sich einzuloggen etc., falls das eine besondere Berechtigung ist). Aber auf das Filesystem bezogen, er soll alles lesen können.

Was meinst du mit wie die Userverwaltung auf dem System aussieht?

Thorashh
29.10.14, 13:40
Moin

Stw.: acl (Access Control Lists)

Wenn die Dateisysteme ACL unterstützen, lässt sich das einrichten.
Aber damit ist es ja nicht getan. Eure gesamten EDV-Systeme müssen dann auch damit umgehen können und das kann man nicht mal so eben machen.

Die korrekte Antwort ist vermutlich: Technisch möglich aber Organisatorisch nicht vorgesehen, zu teuer, ...

Thorashh

marce
29.10.14, 14:10
Ggf. könnte man auch versuchen, über abstrahierende Systeme und Zwischenschichten das gewünschte zu erreichen (bind-monts, lokale nfs-exporte) - besser wird's damit aber nicht (geschweige denn, daß man erst mal testen müsste, ob das überhaupt funktioniert)

Was ist denn überhaupt der Zweck der Übung?

davidbaumann
29.10.14, 14:11
Eventuell ist es auch ausreichend, ihm Zugriff auf das Backup dieses PCs zu verschaffen?
Vorausgesetzt, der Stand "letzte Nacht" ist ausreichend.

Wenn dein Admin kein Sturkopf ist und du nett fragst, erklärt er vielleicht auch, warum das so kompliziert ist.

MfG.

SamirAbi
29.10.14, 14:52
Konkret geht es darum, dass es ein Produktivsystem gibt auf dem Anwendungen laufen (Tomcat). Nun soll ein Mensch Zugriff zu diesem System haben um die dort laufende Anwendung zu entstören. In der Regel reicht auch der Zugriff der explizit für diesen User gesetzt wurde, nämlich das Lesen der Konfiguration und Logs des Tomcats.

Nun ist es so, dass der User manchmal auch andere Konfigurationen zwecks Entstörung auslesen muss, banales Beispiel irgendwelche Mounts oder Netzwerkeinstellungen etc.

Da er keinen lesenden Zugriff auf diese hat, müssen Sie jedes Mal langwierig gewährt werden (dann bleiben sie auch bestehen, aber eben nur für diese Konfiguration).

Um diese Problematik zu umgehen war also die Idee eines Laien in Sachen Rechteverwaltung unter Linux: gebe doch diesem User lesenden Zugriff auf alles. Also eine Art root Rechte, aber nur lesend.

Anbindungen an andere Systeme müssen nicht berücksichtigt werden, da der user sich immer per SSH direkt mit dem Server verbindet und dann direkt auf der Maschine gerne "alles" lesen können soll.

Die Unix-Admins die das System betreuen haben schon gesagt, dass die "Idee" (also ein User der alles lesen können soll) sich nicht umsetzen lässt, zumindest nicht mit vertretbarem Aufwand. Und durch die Frage hier wollte ich prüfen ob das wirklich so stimmt, die erwähnten Unix-Admins haben in der Vergangenheit auch nicht mit Wissen geglänzt.

Nach kleineren Diskussionen mit Kollegen denke ich aktuell:
Das lässt sich nicht machen, da jede Datei ja die Berechtigung für Owner, Gruppe und Andere hat. Damit also dieser eine User lesenden Zugriff hat auf alle Dateien die es gibt, müsste er logischerweise sehr vielen Gruppen angehören und hier kommt der Punkt wo das nicht mit vertretbarem Aufwand umsetzbar ist und der Unix-Admin hatte Recht. Stimmts?

Danke soweit.