Archiv verlassen und diese Seite im Standarddesign anzeigen : best. Benutzergruppe: Passwort ändern verboten
Hallo zusammen,
ich suche nach einer Möglichkeit, allen Benutzern, die in der Gruppe staticpass sind, zu verbieten die Passwörter zu ändern.
danke Markus
änder die rechte für das kommando "passwd"
Original geschrieben von javafreak
änder die rechte für das kommando "passwd"
ich hab kein acl fs. ich kann nur einer gruppe die datei geben, aber nicht einer gruppe nicht!
moin moin
müßte aber gehen, wenn du alle user die *dürfen* in einer gruppe zusammenfasst und die jungs von staticpass dann zu others gehören und others entziehst du dann das x recht.
Gruß HL
Original geschrieben von HangLoose
moin moin
müßte aber gehen, wenn du alle user die *dürfen* in einer gruppe zusammenfasst und die jungs von staticpass dann zu others gehören und others entziehst du dann das x recht.
Gruß HL
ja klar geht das so, ich will das aber irgendwie so machen, dass ich ein best. Gruppe das Recht entziehe, pit pam sollte das doch gehen oder?
mach eine gruppe passwdchange wo diese typen nicht drin sind und dann erlaubst du nur passwdchange, passwd zu benutzen... ist es das was du willst???
Original geschrieben von pcdog
mach eine gruppe passwdchange wo diese typen nicht drin sind und dann erlaubst du nur passwdchange, passwd zu benutzen... ist es das was du willst???
dasselbe hat hangloose doch schon geschrieben *kopfschüttel*.
Ich will es ja eben genau so nicht machen, da sonst alle in dieser Gruppe sein müssten.
und wie willst du es dann machen ?!?
anders geht es einfach nicht!!
hör auf rumzunölen, schnapp dir den sourcecode von passwd und schreibs um ...
ansonsten hast du ja gehört was die anderen gesagt haben... und nachdem du das ja nicht machen willst, bleibt dir nix anderes über.
Original geschrieben von Bauchi
hör auf rumzunölen, schnapp dir den sourcecode von passwd und schreibs um ...
ansonsten hast du ja gehört was die anderen gesagt haben... und nachdem du das ja nicht machen willst, bleibt dir nix anderes über.
es geht anders
und das stichwort heißt pam, nur leider hab ich überhaupt keine ahnung davon, ich hab schon versucht mich da einzuarbeiten, aber das wurde nichts (schwer!)
Und selber an den sourcen rumzucoden kann ja wohl kaum eine Lösung sein!
Denk mal mit, das ist ein Produktivnetz, da kann nicht jeder einfach seine selbstgecodeten sachen reinhauen, nachher wird dann das system geupdated, und die passwd überschrieben, und niemand merkt, dass die user die passwörter wieder ändern können
Weihnachtsmann
23.06.03, 16:54
also ich glaub am passwd binarie die sache anzugreifen is völlig falsch weil dann log ich mich über ssh auf die kiste ein und hol mir mal die passwd von einer linux kiste wo ich root access hab.
momentan fällt mir leider auch nix besseres ein
Weihnachtsmann
23.06.03, 16:56
hmm jetzt is mir doch was eingefalln hab da mal was mit user authentifizierung über ldap gemacht.
da konnte man den zugriff auf bestimmte attribute beschrenken
z.b. admin darf alle passwörter ändern und die user nur ihr eigenes
damit sollte man eigentlich auch den komplett zugriff auf bestimmte attribute sperren können
Original geschrieben von Weihnachtsmann
also ich glaub am passwd binarie die sache anzugreifen is völlig falsch weil dann log ich mich über ssh auf die kiste ein und hol mir mal die passwd von einer linux kiste wo ich root access hab.
momentan fällt mir leider auch nix besseres ein
ne so einfach ist das nicht, da bei passwd das suid bit gesetzt ist (kann nur root). Das bedeutet, dass das Programm als root ausgeführt wird.
Wenn ein Benutzer allerdings eine Datei anlegt (geschieht beim kopieren) besitzt die neue datei auf gar keinem fall das suid bit.
moin moin
was mir dazu noch einfällt. wie wäre es, wenn du passwd an einen ort verschiebst, der nur im PATH von den anderen usern vorkommt. du müßtest dann nur verhindern, das die staticpass user ihren PATH ändern können.
zugegeben ist mir eben so durch den kopf gegangen und ich hab nicht allzu lange drüber nachgedacht ;)
Gruß HL
Original geschrieben von HangLoose
moin moin
was mir dazu noch einfällt. wie wäre es, wenn du passwd an einen ort verschiebst, der nur im PATH von den anderen usern vorkommt. du müßtest dann nur verhindern, das die staticpass user ihren PATH ändern können.
zugegeben ist mir eben so durch den kopf gegangen und ich hab nicht allzu lange drüber nachgedacht ;)
Gruß HL
sie könnten das passwd aber immer noch ausführen, indem sie den richtigen path mitangeben.
Aber generell gesehen ist das eine nicht alzu schlechte Methode.
derRichard
23.06.03, 19:39
Original geschrieben von msi
sie könnten das passwd aber immer noch ausführen, indem sie den richtigen path mitangeben.
Aber generell gesehen ist das eine nicht alzu schlechte Methode.
hallo markus!
akaik kann man mit rbash sowas anstellen.
//richard
ja aber dann dürfte ich denen nicht einmal man geben.
Weihnachtsmann
23.06.03, 21:40
kann man mit lids sowas net machen ?
schon mal versucht, einen alias passwd zu erzeugen, der dann heisst "passwort ändern verboten"?
die passwd kannst du dann allerdings nur noch mit den ganzen pfad ausführen
gruss
cccuuuurrrryyyyyyy
oder du verbietest allen leuten passwd auszuführen bis auf root.. und die die dürfen lässt du über sudo zu :ugly: :ugly: :ugly:
ansonsten viel spass in den sourcen von passwd oder beim hardcore pam configuren
Original geschrieben von Bauchi
oder du verbietest allen leuten passwd auszuführen bis auf root.. und die die dürfen lässt du über sudo zu :ugly: :ugly: :ugly:
ansonsten viel spass in den sourcen von passwd oder beim hardcore pam configuren
wenn ich das per sudo mach, dann wird für die passwd als root ausgeführt und die können doch auch das root passwort ändern..
oder sorgt sudo nur dafür das die euid=0 ist jedoch die uid bleibt gleich?
dann musst du halt den sudo einschränken ;)
%trustedusers ALL=passwd $USER
wenn ich mich nicht irre :-/
bin durch zufall auf was anders gestoßen:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=35697&highlight=consolehelper+userhelper
ich denke so kann man das auch machen, werde mir das bei gelegenheit mal näher anschauen und das ergebnis posten!
ansonten vielen Dank für eure Tipps! :D
Markus
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.