moin meine lieben...;)
hab mal ne frage zu den root- bzw. dateirechten. wie kann ich ausschliessen, dass root in die homeverzeichnnisse reinschaut. denn wenn der sysadmin in die gehälterabrechnungen der personalstelle rumstöbern kann, wäre das katastrophal. ich hab mal die dateirechte nur auf den benutzter (in diesem fall "casimir") gesetzt, wohlgemerkt mit dem mc, und trotz alledem konnte root sie lesen, schreiben & ausführen. wenn jemand eine möglichkeit kennt, schreibt bitte...

vielen dank

Hi,

Selbst wenn du root die Rechte für das Dir wegnimmst, kann er sie wieder setzen, mir ist keine Methode bekannt, root dauerhaft auszusperren. Vielleicht ein chroot, aber das hat keinen Sinn, schliesslich soll er ja was arbeiten auch können auf der Maschine.

Ciao, Bernie

hi

wie wär's mit verschlüsselung


Gruß HangLoose

Original geschrieben von HangLoose

wie wär's mit verschlüsselung

Mit der Methode bekommst Du wohl die grösste Sicherheit.
Aber auch das ist nur lau, den root hat ja Zugriff auf Deine privaten Schlüssel.

@taylor


stimmt, ich hab mich mit dem thema auch noch nie ernsthaft beschäftigt. vielleicht gibt es ja ne möglichkeit den schlüssel auf diskette oder ähnlichem aufzubewahren.


Gruß HangLoose

Jup, das _wird_ schon so gehen. Es gibt dann zwar eine Problematik mit /tmp, aber soweit ich das weiss, haben die GnuPG Entwickler das im Griff.

aber wie machen die das in grossen firmen? da darf doch der admin auch nicht in firmensensible bereiche eindringen...?

Hi,

Ich hab mal kurz in einer Anwalts-Kanzlei gearbeitet, da musste ich einen Vertrag unterschreiben, der mir verbietet anderen etwas zu erzählen. Würde ich das verletzen würde ich ordentlich "eine auf den Deckel" bekommen. Ich nehme an, dass das jede Firma so macht. Oder die Abteilungen haben ihre eigenen Admins und Passwörter.

Ciao, Bernie

hi tocotac

hier noch ne möglichkeit => http://netzwurm.de/lm/lids_de.html


Gruß HangLoose

Original geschrieben von Tocotac
aber wie machen die das in grossen firmen? da darf doch der admin auch nicht in firmensensible bereiche eindringen...?
Du sagst es ja selbst. Er darf es nicht. Es muss ja aber immer möglich sein. Da wär ja die Hölle los, wenn die Mitarbeiter anfangen würden, irgendwelche Illegalen Sachen zu machen, und dannach niemand das nachprüfen kann. Oder ein Mitarbeiter scheidet aus, und niemand kann seinen Account löschen ;)

Wie Bernie schon sagt, man muss eine Erklärung unterschreiben, das ist "alles".

@hangloose

hast du das schon mal probiert (LIDS) ? klingt nach ner sowohl nützlichen wie vielleicht auch lustigen möglichkeit sich selbst das system unter dam a**** wegzunehmen ;)

pudding

hi

@pudding

ne ich hab mich da auch noch nicht mit beschäftigt :). hab das einfach mal bei google reingehauen und ausgespuckt hat er dann eben lids.

aber um mal bei dem beispiel von tocotac zu bleiben. so wie ich das mit lids bis jetzt verstanden habe, braucht man zum einrichten doch sicher root-rechte. das bedeutet ja dann, wenn *buchhalter-casimir* den sysadmin davon abhalten will, in die gehaltslisten zu sehen, braucht er das root-password, um lids einzurichten. das dürfte er wohl kaum besitzen. gibt jetzt 2 möglichkeiten => password-cracker oder die nächste betriebsfeier nutzen *grins*

sinnvoll ist das ganze wohl nur, um einem möglichem eindringling, der root-rechte erlangt hat, das leben schwer zu machen.


Gruß HangLoose

@hangloose

oder "root" (=sysadmin) richtet es für buchhalter-casimir ein, und ums ganz "sicher" zu machen nimmt er sich zum schluss selbst die rechte an LIBS weg.......

*grins*


das meinte ich mit unter dem a**** wegziehen


pudding

Irgendwo kommen die Sprüche ja her:


/root is watching you
Ich bin root, ich darf das
root darf alles
...

:p

moin moin

hier noch zwei links zum thema verschlüsseln von verzeichnissen

http://www.pl-forum.de/t_system/loop-aes.html
http://www.lug-waldkraiburg.org/help/h_encrypting.htm


Gruß HangLoose