Anzeige:
Ergebnis 1 bis 8 von 8

Thema: Urlaubsvertretung - Rechte vergabe ?!

  1. #1
    Registrierter Benutzer
    Registriert seit
    Oct 2003
    Beiträge
    202

    Urlaubsvertretung - Rechte vergabe ?!

    Urlaubsvertretung - Rechte vergabe ?!


    Hi @all,

    ich wärde dem nächst in meinen wohl verdienten urlaub fahren Jetzt muss ein Kollege für mich urlaubsvertretung machen.
    Es soll nur in einem Notfall eingreifen, er soll aber nicht die vollen root - Rechte bekommen !
    Jetzt habe ich mir überlegt, diesem User alle Rechte zu geben außer enigen rechten, die Ihm zum root werden lassen können (sudo), wie zum Beispiel:

    - ändern vom Rootpasswort
    - root löschen
    - user mit der uid 0 anlegen
    - editiren der /etc/passwd u. /etc/shadow


    Was haltet ihr davon ? Wie sieht es aus dem Security Stand aus ? Gibt es da vielleicht ein bessere lösung ?
    Ich hab unten noch die Einträge aufgelistet die ich in der Sudoers eintragen werde. Villeicht habt ihr noch ein paar ergänzungen.

    Code:
    # HOST Alias
    # ----------
    Host_Alias SERVER = linux
    
    
    # User alias specification
    # ----------------------------
    #
    User_Alias ROOT2 = wurzel
    
    
    # Cmnd alias specification
    # ----------------------------
    #
    Cmnd_Alias ROOT2_BEFEHLE = !/usr/bin/passwd, \
                               !/usr/bin/passwd root, \
                               /usr/bin/passwd [A-z]*, \
                               !/usr/sbin/userdel
    
    
    # User privilege specification
    # ----------------------------
    #
    ROOT2   ALL=ROOT2_BEFEHLE

    Danke schon mal im voraus...

    geist_der_foren

  2. #2
    Premium Mitglied Avatar von Stormbringer
    Registriert seit
    Sep 2002
    Ort
    Hattingen/Ruhr
    Beiträge
    2.512
    Zitat Zitat von geist_der_foren
    Urlaubsvertretung - Rechte vergabe ?!
    - ändern vom Rootpasswort
    - root löschen
    - user mit der uid 0 anlegen
    Das wird ein interessantes Ergebnis geben!
    In Zweifelsfall solltest Du umbuchen ...

    Gruß
    Continuum Hierarchy Supervisor:
    You have already been assimilated.
    Save our cows - eat Vegetarians!
    (Rechtschreibreformverweigerer)

  3. #3
    Registrierter Benutzer
    Registriert seit
    Jan 2003
    Ort
    Pforzheim
    Beiträge
    8
    Er bekommt von dir zwar keinen direkten, aber einen indirekten rootzugriff.

    Wo ist da bitte der Unterschied?

    Ganz wichtig.

    Kein Zugriff auf root/uid 0.
    Kein Password von root ändern lassen.

    Alles protokollieren.

    Eventuell denkbar wären diverse Administrative Aufgaben welcher per SUID Programm welches prüft ob der auszuführende wirklich der Benutzer ist wo mehrrechte Besitzt.

    Dort könntest du diverse Sachen wie Server rebooten usw hinterlegen.

    Alternativ ein Sauber eingestelltes Webmin.

    Dort kannst du dem Benutzer diverse Module zuweissen, welche er benötigt.

    Wieder nicht vergessen.
    Alles protokollieren lassen und darauf hinweissen das Protokolliert wird.

    p2k

  4. #4
    root !*****istrator Avatar von mbo
    Registriert seit
    Oct 2000
    Ort
    Karlsruhe
    Beiträge
    1.717
    Zitat Zitat von p2k
    Er bekommt von dir zwar keinen direkten, aber einen indirekten rootzugriff.
    Wo ist da bitte der Unterschied?

    Eventuell denkbar wären diverse Administrative Aufgaben welcher per SUID Programm

    Alternativ ein Sauber eingestelltes Webmin.

    p2k
    Ist ja auch widersprüchlich, oder? Ich vertraue eher sudo als Webmin und suid.

    Es hat sich bei uns sehr bewährt und war/ist zuverlässig:
    Für unpriv Benutzer in der sudoers entsprechende Rechte setzen.
    Es ist natürlich Fleißarbeit, bei uns hat es sich aber soweit durchgesetzt, daß es schon eine Trennung gibt:
    - System (allmächtiger root)
    - Systembetrieb (sudo für Betriebssystemnahe Arbeiten wie Partitionen erweitern, Runlevel wechseln, Hardwarekonfigurationen zb Netzwerk Kernelparameter für Lastbetrieb etc)
    - Anwendungsbetrieb (sudo für Anwendungsnahe Arbeiten wie Dienste starten/stoppen, Dienstekonfigurationen anpassen etc)

    Und die die suders ist net so schwer ...

    cu/2 iae
    42

  5. #5
    Registrierter Benutzer
    Registriert seit
    Jan 2003
    Ort
    Pforzheim
    Beiträge
    8
    Das sudoers die elegantere und sichere Lösung ist, stimme ich mbo zu.

    Darum dann noch ein kleines perl / tcl/tk script basteln und der Anwender hat es recht einfach.

    p2k

  6. #6
    Premium Mitglied Avatar von Stormbringer
    Registriert seit
    Sep 2002
    Ort
    Hattingen/Ruhr
    Beiträge
    2.512
    Nun habe ich doch mal eine kleine Frage:
    wie soll das System über einen Zeitraum größer 24 Stunden sauber laufen (besonders nächtliche Systemjobs), wenn kein root (sondern root2 mit UID 0) da ist?
    Zumindest im Büro brachten solche Ideen in der Vergangenheit immer recht interessante Ergebnisse ...

    Wir haben eigentlich immer nur:
    - Passwort für root geändert
    - ein zusätzliches Mitglied der Gruppe root erstellt (etwa ixadmin)
    - edliche Befehle für den Benutzer gesperrt
    - das Logging erweitert

    Gruß
    Continuum Hierarchy Supervisor:
    You have already been assimilated.
    Save our cows - eat Vegetarians!
    (Rechtschreibreformverweigerer)

  7. #7
    root !*****istrator Avatar von mbo
    Registriert seit
    Oct 2000
    Ort
    Karlsruhe
    Beiträge
    1.717
    Zitat Zitat von Stormbringer
    Nun habe ich doch mal eine kleine Frage:
    wie soll das System über einen Zeitraum größer 24 Stunden sauber laufen (besonders nächtliche Systemjobs), wenn kein root (sondern root2 mit UID 0) da ist?
    Zumindest im Büro brachten solche Ideen in der Vergangenheit immer recht interessante Ergebnisse ...

    Wir haben eigentlich immer nur:
    - Passwort für root geändert
    - ein zusätzliches Mitglied der Gruppe root erstellt (etwa ixadmin)
    - edliche Befehle für den Benutzer gesperrt
    - das Logging erweitert

    Gruß
    Indem Du die UID 0 unverändert läßt und stattdessen sudo nimmst.
    Andererseits: Bei mir läuft kein Dienst, der nach root sucht, die suchen immer nur nach UID 0

    cu/2 iae
    42

  8. #8
    Premium Mitglied Avatar von Stormbringer
    Registriert seit
    Sep 2002
    Ort
    Hattingen/Ruhr
    Beiträge
    2.512
    Ah ... ok.
    Bei edlichen im Büro eingesetzten Diensten/Jobs werden bspw. commands in der Form "chown NAME:GRUPPE ..." ausgeführt - und ohne root (=UID 0) klappt dann halt einiges nicht (wenn root benötigt wird).
    Ich ging nun einfach mal (ganz selbstbewußt ) davon aus, daß andere eine ähnliche Verfahrensweise haben ...

    Gruß
    Continuum Hierarchy Supervisor:
    You have already been assimilated.
    Save our cows - eat Vegetarians!
    (Rechtschreibreformverweigerer)

Ähnliche Themen

  1. Samba+ACL, Rechte clean, aber werden nicht forciert
    Von Thomas Engelke im Forum Linux in heterogenen Netzen
    Antworten: 1
    Letzter Beitrag: 28.01.04, 09:28
  2. Linux änderet Rechte
    Von Dr.Online im Forum Linux Allgemein
    Antworten: 1
    Letzter Beitrag: 15.04.03, 09:11
  3. Samba und Windows2000 Rechte
    Von Linux-Snoopy im Forum Linux in heterogenen Netzen
    Antworten: 3
    Letzter Beitrag: 12.02.03, 07:48
  4. rechte von dateien ändern
    Von adminroot im Forum System installieren und konfigurieren
    Antworten: 0
    Letzter Beitrag: 09.10.01, 10:50
  5. Rechte für NTFS Laufwerk
    Von im Forum Linux in heterogenen Netzen
    Antworten: 2
    Letzter Beitrag: 11.10.00, 22:53

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •