PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : best. Benutzergruppe: Passwort ändern verboten



msi
22.06.03, 15:00
Hallo zusammen,

ich suche nach einer Möglichkeit, allen Benutzern, die in der Gruppe staticpass sind, zu verbieten die Passwörter zu ändern.

danke Markus

javafreak
22.06.03, 17:29
änder die rechte für das kommando "passwd"

msi
22.06.03, 17:35
Original geschrieben von javafreak
änder die rechte für das kommando "passwd"

ich hab kein acl fs. ich kann nur einer gruppe die datei geben, aber nicht einer gruppe nicht!

HangLoose
22.06.03, 17:44
moin moin

müßte aber gehen, wenn du alle user die *dürfen* in einer gruppe zusammenfasst und die jungs von staticpass dann zu others gehören und others entziehst du dann das x recht.


Gruß HL

msi
22.06.03, 18:23
Original geschrieben von HangLoose
moin moin

müßte aber gehen, wenn du alle user die *dürfen* in einer gruppe zusammenfasst und die jungs von staticpass dann zu others gehören und others entziehst du dann das x recht.


Gruß HL

ja klar geht das so, ich will das aber irgendwie so machen, dass ich ein best. Gruppe das Recht entziehe, pit pam sollte das doch gehen oder?

pcdog
22.06.03, 18:46
mach eine gruppe passwdchange wo diese typen nicht drin sind und dann erlaubst du nur passwdchange, passwd zu benutzen... ist es das was du willst???

msi
22.06.03, 19:09
Original geschrieben von pcdog
mach eine gruppe passwdchange wo diese typen nicht drin sind und dann erlaubst du nur passwdchange, passwd zu benutzen... ist es das was du willst???

dasselbe hat hangloose doch schon geschrieben *kopfschüttel*.

Ich will es ja eben genau so nicht machen, da sonst alle in dieser Gruppe sein müssten.

javafreak
23.06.03, 00:35
und wie willst du es dann machen ?!?

pcdog
23.06.03, 08:05
anders geht es einfach nicht!!

Bauchi
23.06.03, 09:35
hör auf rumzunölen, schnapp dir den sourcecode von passwd und schreibs um ...
ansonsten hast du ja gehört was die anderen gesagt haben... und nachdem du das ja nicht machen willst, bleibt dir nix anderes über.

msi
23.06.03, 16:40
Original geschrieben von Bauchi
hör auf rumzunölen, schnapp dir den sourcecode von passwd und schreibs um ...
ansonsten hast du ja gehört was die anderen gesagt haben... und nachdem du das ja nicht machen willst, bleibt dir nix anderes über.

es geht anders
und das stichwort heißt pam, nur leider hab ich überhaupt keine ahnung davon, ich hab schon versucht mich da einzuarbeiten, aber das wurde nichts (schwer!)

Und selber an den sourcen rumzucoden kann ja wohl kaum eine Lösung sein!
Denk mal mit, das ist ein Produktivnetz, da kann nicht jeder einfach seine selbstgecodeten sachen reinhauen, nachher wird dann das system geupdated, und die passwd überschrieben, und niemand merkt, dass die user die passwörter wieder ändern können

Weihnachtsmann
23.06.03, 16:54
also ich glaub am passwd binarie die sache anzugreifen is völlig falsch weil dann log ich mich über ssh auf die kiste ein und hol mir mal die passwd von einer linux kiste wo ich root access hab.

momentan fällt mir leider auch nix besseres ein

Weihnachtsmann
23.06.03, 16:56
hmm jetzt is mir doch was eingefalln hab da mal was mit user authentifizierung über ldap gemacht.

da konnte man den zugriff auf bestimmte attribute beschrenken

z.b. admin darf alle passwörter ändern und die user nur ihr eigenes

damit sollte man eigentlich auch den komplett zugriff auf bestimmte attribute sperren können

msi
23.06.03, 18:09
Original geschrieben von Weihnachtsmann
also ich glaub am passwd binarie die sache anzugreifen is völlig falsch weil dann log ich mich über ssh auf die kiste ein und hol mir mal die passwd von einer linux kiste wo ich root access hab.

momentan fällt mir leider auch nix besseres ein

ne so einfach ist das nicht, da bei passwd das suid bit gesetzt ist (kann nur root). Das bedeutet, dass das Programm als root ausgeführt wird.
Wenn ein Benutzer allerdings eine Datei anlegt (geschieht beim kopieren) besitzt die neue datei auf gar keinem fall das suid bit.

HangLoose
23.06.03, 18:33
moin moin

was mir dazu noch einfällt. wie wäre es, wenn du passwd an einen ort verschiebst, der nur im PATH von den anderen usern vorkommt. du müßtest dann nur verhindern, das die staticpass user ihren PATH ändern können.


zugegeben ist mir eben so durch den kopf gegangen und ich hab nicht allzu lange drüber nachgedacht ;)



Gruß HL

msi
23.06.03, 19:27
Original geschrieben von HangLoose
moin moin

was mir dazu noch einfällt. wie wäre es, wenn du passwd an einen ort verschiebst, der nur im PATH von den anderen usern vorkommt. du müßtest dann nur verhindern, das die staticpass user ihren PATH ändern können.


zugegeben ist mir eben so durch den kopf gegangen und ich hab nicht allzu lange drüber nachgedacht ;)



Gruß HL


sie könnten das passwd aber immer noch ausführen, indem sie den richtigen path mitangeben.
Aber generell gesehen ist das eine nicht alzu schlechte Methode.

derRichard
23.06.03, 19:39
Original geschrieben von msi
sie könnten das passwd aber immer noch ausführen, indem sie den richtigen path mitangeben.
Aber generell gesehen ist das eine nicht alzu schlechte Methode.
hallo markus!

akaik kann man mit rbash sowas anstellen.

//richard

msi
23.06.03, 21:18
ja aber dann dürfte ich denen nicht einmal man geben.

Weihnachtsmann
23.06.03, 21:40
kann man mit lids sowas net machen ?

curryfan
24.06.03, 22:32
schon mal versucht, einen alias passwd zu erzeugen, der dann heisst "passwort ändern verboten"?

die passwd kannst du dann allerdings nur noch mit den ganzen pfad ausführen

gruss
cccuuuurrrryyyyyyy

Bauchi
24.06.03, 23:40
oder du verbietest allen leuten passwd auszuführen bis auf root.. und die die dürfen lässt du über sudo zu :ugly: :ugly: :ugly:

ansonsten viel spass in den sourcen von passwd oder beim hardcore pam configuren

msi
25.06.03, 15:10
Original geschrieben von Bauchi
oder du verbietest allen leuten passwd auszuführen bis auf root.. und die die dürfen lässt du über sudo zu :ugly: :ugly: :ugly:

ansonsten viel spass in den sourcen von passwd oder beim hardcore pam configuren

wenn ich das per sudo mach, dann wird für die passwd als root ausgeführt und die können doch auch das root passwort ändern..
oder sorgt sudo nur dafür das die euid=0 ist jedoch die uid bleibt gleich?

Bauchi
25.06.03, 20:32
dann musst du halt den sudo einschränken ;)

%trustedusers ALL=passwd $USER

wenn ich mich nicht irre :-/

msi
25.06.03, 22:13
bin durch zufall auf was anders gestoßen:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=35697&highlight=consolehelper+userhelper

ich denke so kann man das auch machen, werde mir das bei gelegenheit mal näher anschauen und das ergebnis posten!

ansonten vielen Dank für eure Tipps! :D
Markus