Archiv verlassen und diese Seite im Standarddesign anzeigen : root und andere benutzer (kleine rechtefrage)
moin meine lieben...;)
hab mal ne frage zu den root- bzw. dateirechten. wie kann ich ausschliessen, dass root in die homeverzeichnnisse reinschaut. denn wenn der sysadmin in die gehälterabrechnungen der personalstelle rumstöbern kann, wäre das katastrophal. ich hab mal die dateirechte nur auf den benutzter (in diesem fall "casimir") gesetzt, wohlgemerkt mit dem mc, und trotz alledem konnte root sie lesen, schreiben & ausführen. wenn jemand eine möglichkeit kennt, schreibt bitte...
vielen dank
Hi,
Selbst wenn du root die Rechte für das Dir wegnimmst, kann er sie wieder setzen, mir ist keine Methode bekannt, root dauerhaft auszusperren. Vielleicht ein chroot, aber das hat keinen Sinn, schliesslich soll er ja was arbeiten auch können auf der Maschine.
Ciao, Bernie
hi
wie wär's mit verschlüsselung
Gruß HangLoose
Original geschrieben von HangLoose
wie wär's mit verschlüsselung
Mit der Methode bekommst Du wohl die grösste Sicherheit.
Aber auch das ist nur lau, den root hat ja Zugriff auf Deine privaten Schlüssel.
@taylor
stimmt, ich hab mich mit dem thema auch noch nie ernsthaft beschäftigt. vielleicht gibt es ja ne möglichkeit den schlüssel auf diskette oder ähnlichem aufzubewahren.
Gruß HangLoose
Jup, das _wird_ schon so gehen. Es gibt dann zwar eine Problematik mit /tmp, aber soweit ich das weiss, haben die GnuPG Entwickler das im Griff.
aber wie machen die das in grossen firmen? da darf doch der admin auch nicht in firmensensible bereiche eindringen...?
Hi,
Ich hab mal kurz in einer Anwalts-Kanzlei gearbeitet, da musste ich einen Vertrag unterschreiben, der mir verbietet anderen etwas zu erzählen. Würde ich das verletzen würde ich ordentlich "eine auf den Deckel" bekommen. Ich nehme an, dass das jede Firma so macht. Oder die Abteilungen haben ihre eigenen Admins und Passwörter.
Ciao, Bernie
hi tocotac
hier noch ne möglichkeit => http://netzwurm.de/lm/lids_de.html
Gruß HangLoose
Original geschrieben von Tocotac
aber wie machen die das in grossen firmen? da darf doch der admin auch nicht in firmensensible bereiche eindringen...?
Du sagst es ja selbst. Er darf es nicht. Es muss ja aber immer möglich sein. Da wär ja die Hölle los, wenn die Mitarbeiter anfangen würden, irgendwelche Illegalen Sachen zu machen, und dannach niemand das nachprüfen kann. Oder ein Mitarbeiter scheidet aus, und niemand kann seinen Account löschen ;)
Wie Bernie schon sagt, man muss eine Erklärung unterschreiben, das ist "alles".
@hangloose
hast du das schon mal probiert (LIDS) ? klingt nach ner sowohl nützlichen wie vielleicht auch lustigen möglichkeit sich selbst das system unter dam a**** wegzunehmen ;)
pudding
hi
@pudding
ne ich hab mich da auch noch nicht mit beschäftigt :). hab das einfach mal bei google reingehauen und ausgespuckt hat er dann eben lids.
aber um mal bei dem beispiel von tocotac zu bleiben. so wie ich das mit lids bis jetzt verstanden habe, braucht man zum einrichten doch sicher root-rechte. das bedeutet ja dann, wenn *buchhalter-casimir* den sysadmin davon abhalten will, in die gehaltslisten zu sehen, braucht er das root-password, um lids einzurichten. das dürfte er wohl kaum besitzen. gibt jetzt 2 möglichkeiten => password-cracker oder die nächste betriebsfeier nutzen *grins*
sinnvoll ist das ganze wohl nur, um einem möglichem eindringling, der root-rechte erlangt hat, das leben schwer zu machen.
Gruß HangLoose
@hangloose
oder "root" (=sysadmin) richtet es für buchhalter-casimir ein, und ums ganz "sicher" zu machen nimmt er sich zum schluss selbst die rechte an LIBS weg.......
*grins*
das meinte ich mit unter dem a**** wegziehen
pudding
Irgendwo kommen die Sprüche ja her:
/root is watching you
Ich bin root, ich darf das
root darf alles
...
:p
moin moin
hier noch zwei links zum thema verschlüsseln von verzeichnissen
http://www.pl-forum.de/t_system/loop-aes.html
http://www.lug-waldkraiburg.org/help/h_encrypting.htm
Gruß HangLoose
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.