Zugriffsrechte für root unter home-Verzeichnissen
Hallo Liste, Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich? Danke Stefan
-----Original Message----- From: Stefan Brockhausen [mailto:stefanbrockhausen@web.de] Sent: Wednesday, February 28, 2001 3:17 PM To: SuSE-Liste Subject: Zugriffsrechte für root unter home-Verzeichnissen
Hallo Liste,
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
Sorry nicht möglich. Ruth darf alles. IHMO Immer!
Danke Stefan
Nichts zu Danken. Jens -- Jens Keith ICQ :75405730 registered Linux User #145217 mailto:jens@keith-clan.de Linux is like a Vorlon. It is incredibly powerful, gives terse, cryptic answers and has a lot of things going on in the background.
Hallo Stefan,
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
kommt drauf an. Wenn es sich dabei um ein lokales Dateisystem handelt, kannst Du root den Zugriff nicht verbieten. root ist Gott. Wenn Du damit ein Problem hast, beispielsweise weil Du mehrere Workstations hast und den Benutzern darauf nicht vertrauen kannst, kannst Du /home auf jeder dieser Kisten per NFS mounten und /home auf einem (abgesicherten) Server aufbewahren. Auf NFS-gemounteten Verzeichnisbäumen kannst Du Zugriffe von root unterbinden. root ist dann und nur dann ein Niemand. Bye Michael -- Dipl.-Inf. Michael Kaaden MID GmbH Fon +49-911-96836-62 Software Engineer R&D Eibacher Hauptstr. 141 Fax +49-911-96836-10 E-Mail m.kaaden@mid.de D-90451 Nuernberg WWW http://www.mid.de "Linux is for networking, Mac is for working, Windows is for Solitaire." -- anon.
Am Wed, 28 Feb 2001 schrieb Stefan Brockhausen:
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
Ist nicht möglich, root darf alles. Du kannst höchstens ein Tool wie PGP nehmen und die Dateien verschlüsseln, mußt dann aber den Key mitnehmen oder im Kopf haben. Bei Client-/Server-Netzen gibt es TCFS, ein NEtzwerkfilesystem, bei dem der Server-root die Shares nicht lesen kann, da der Key dazu auf den Clients liegt. Eventuell hilft Dir das weiter (such in Google oder auf freshmeat danach). -- Erhard Schwenk http://www.fto.de http://www.akkordeonjugend.de
* On Wed, Feb 28, 2001 at 03:16:46PM +0100, Stefan Brockhausen wrote:
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
ROOT ist die MACHT ;)) Nein, dass ist nicht moeglich und auch absolut Sinnlos. Du kannst files wohl so setzen das sie nichtma root loeschen kann ohne das attribut wieder vom file zu nehmen. man chown Gruß Clemens -- Clemens Wohld Fon: +49 (040) 6 72 82 90 LiHAS - Servicebuero Hamburg Fax: +49 (7 11) 5 78 06 92 Adrian Reyer & Jörg Henner GbR Mail: lihas@lihas.de Linux, Netzwerke, Consulting & Support http://lihas.de/
Clemens Wohld schrieb:
* On Wed, Feb 28, 2001 at 03:16:46PM +0100, Stefan Brockhausen wrote:
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
ROOT ist die MACHT ;))
Nein, dass ist nicht moeglich und auch absolut Sinnlos.
moeglich schon denke ich, aber nicht im user space, dazu müsste er denke ich schon ein paar kernel routinen umprogrammieren ;-) sinnvoll ist es nur dann wenn er vor root was zu verbergen hat *fg* gruss daniel
* Daniel Brachmann schrieb am 05.Mär.2001:
moeglich schon denke ich, aber nicht im user space, dazu müsste er denke ich schon ein paar kernel routinen umprogrammieren ;-)
sinnvoll ist es nur dann wenn er vor root was zu verbergen hat *fg*
Da gibt es auch einfacherere Möglichkeiten. Wenn der User das Recht zu mounten hat, so kann er einfach eine Partition umounten, seine Sachen im Mountknoten schreiben und wieder mounten. Kann zwar root auch machen, kommt normalerweise aber nie einer drauf. Und auch kein Skript kommt da je heran. Schreibe ich nur, um aufzuzeigen, daß man vorsichtig sein sollte, wenn man User das Recht zum mounten gibt. Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
Am Mon, 05 Mär 2001 schrieb Daniel Brachmann:
Clemens Wohld schrieb:
* On Wed, Feb 28, 2001 at 03:16:46PM +0100, Stefan Brockhausen wrote:
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
ROOT ist die MACHT ;))
Nein, dass ist nicht moeglich und auch absolut Sinnlos.
moeglich schon denke ich, aber nicht im user space, dazu müsste er denke ich schon ein paar kernel routinen umprogrammieren ;-)
sinnvoll ist es nur dann wenn er vor root was zu verbergen hat *fg*
was man kann, ist ein crypto-Verzeichnis, z.B. cvs aufsetzen und das Passwort geheimhalten. AFAIK kann nichtmal root ohne Passwort ran (aber das Ding natürlich entfernen ;-)) -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de
* Joerg Thuemmler schrieb am 06.Mär.2001:
was man kann, ist ein crypto-Verzeichnis, z.B. cvs aufsetzen und das Passwort geheimhalten. AFAIK kann nichtmal root ohne Passwort ran (aber das Ding natürlich entfernen ;-))
Es ist ganz Allgemein natürlich möglich, irgendwas zu verschlüsseln. Wenn root den Schlüssel nicht kennt, dann kann auch root nichts damit anfangen. Allerdings sollte der Schlüssel nicht auf dem System verwahrt werden, denn da käme root ja wieder ran. Lesen kann es root, nur nichts mit anfangen. Bernd -- Bitte die Etikette beachten: http://home.t-online.de/~f.walle/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
On Montag, 5. März 2001 17:21 Clemens Wohld wrote:
* On Wed, Feb 28, 2001 at 03:16:46PM +0100, Stefan Brockhausen wrote:
Wie kann man die Zugriffsrechte für einen Ordner im /home Verzeichnis eines Users so ändern, dass selbst root nicht mehr darauf zugreifen kann. Oder ist das gar nicht möglich?
ROOT ist die MACHT ;))
Nein, dass ist nicht moeglich und auch absolut Sinnlos.
Man könnte die Dateien via GnuPG verschlüsseln und den privaten Key auf Diskette ziehen, damit Root ihn nicht in die Finger bekommt. Allerdings darf Root auch diese Dateien (wennauch ungelesen) löschen. BTW: Kein anständiger Admin schmökert in seiner Freizeit in den Homeverzeichnissen seiner Benutzer. Unanständige Admins kenne ich nicht. ;-) Gruß, Stephan -- Stephan Hakuli | mailto: stephan@hakuli.de | * GnuPG/PGP-Key * | callto: 01 71 - 651 89 43 | available, please | surfto: http://www.hakuli.de | visit my homepage *Homepage updated: Short survey on SSH-login with 'authorized_keys'*
Stephan Hakuli schrieb:
Man könnte die Dateien via GnuPG verschlüsseln und den privaten Key auf Diskette ziehen, damit Root ihn nicht in die Finger bekommt. Allerdings darf Root auch diese Dateien (wennauch ungelesen) löschen.
BTW: Kein anständiger Admin schmökert in seiner Freizeit in den Homeverzeichnissen seiner Benutzer. Unanständige Admins kenne ich nicht. ;-)
BOFH ;-) http://bofh.ntk.net/Bastard.html druss Daniel
sorry wenn das doppelt kommt hab es erst an .de geschickt. Die Karte wird anstandslos erkannt, lief auch schon einmal mit Soundausgabe doch jetzt mag sie nicht mehr. Habe die Karte bereits getauscht. An dem liegt es also auch nicht. Was kann ich tun um den Fehler einzugrenzen? rob --------------------------------------------------- security is an illusion (bombolo)
Am Dienstag, 6. März 2001 12:10 schrieb Robert Schott:
Die Karte wird anstandslos erkannt, lief auch schon einmal mit Soundausgabe doch jetzt mag sie nicht mehr. Habe die Karte bereits getauscht. An dem liegt es also auch nicht.
Genaue Fehlermeldung? Kann das Modul nicht geladen werden? PnP OS im BIOS abgestellt? Ausgabe von lspci -v Ausgabe von lsmod Bis denn dann... Torsten
mehr. Habe die Karte bereits getauscht. An dem liegt es also auch nicht.
Genaue Fehlermeldung? Kann das Modul nicht geladen werden? PnP OS im BIOS abgestellt?
Hallo Torsten, danke für die Nachfrage. Ich habe das Problem inzwischen gelöst. Gibt es eigentlich einen tieferen Sinn für das Default Muting außer, dass die Nachbarn nicht aus dem Bett fallen sollen ?;-) rob
participants (11)
-
Bernd Brodesser -
Clemens Wohld -
Daniel Brachmann -
Erhard Schwenk -
Jens Keith -
Joerg Thuemmler -
Michael Kaaden -
Robert Schott -
Stefan Brockhausen -
Stephan Hakuli -
Torsten Hallmann