Hallo Steffen, Ralf Arndt schrieb:
Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke: ...
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.
guck Dir mal die man sudoers an. Du kannst folgendes machen: Du kannst für den User die Kommandos festlegen, die er ausführen darf. Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf, weil er dann das Kommando wieder ausführen dürfte. Du mußt also dem User seine Rechte soweit einschränken, das er nur exakt die Kommandos ausführen darf, die er für die Arbeit braucht. Er darf dann auch keine Scripts erstellen und ändern, die Root in der Crontab o.ä. ausführen darf! Außerdem mußt du verhindern, das der User Scripts wie z.b. apachectl ändert, weil er dort ein eben solches Statement auch einfügen könnte. ==> Komplett wirst Du es nicht verhindern können ;) -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org