![](https://seccdn.libravatar.org/avatar/707f4a31f1050fe1d3433166afe44646.jpg?s=120&d=mm&r=g)
--- Axel Birndt
Von: Axel Birndt
Betreff: Re: "zweiten root" mit sudo An: "OPENSUSE_DE" Datum: Donnerstag, 9. Juli 2009, 9:39 Hallo Steffen, Ralf Arndt schrieb:
Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke: ...
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.
guck Dir mal die man sudoers an.
Du kannst folgendes machen:
Du kannst für den User die Kommandos festlegen, die er ausführen darf.
Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf, weil er dann das Kommando wieder ausführen dürfte.
Du mußt also dem User seine Rechte soweit einschränken, das er nur exakt die Kommandos ausführen darf, die er für die Arbeit braucht.
Er darf dann auch keine Scripts erstellen und ändern, die Root in der Crontab o.ä. ausführen darf! Außerdem mußt du verhindern, das der User Scripts wie z.b. apachectl ändert, weil er dort ein eben solches Statement auch einfügen könnte.
==> Komplett wirst Du es nicht verhindern können ;)
--
Gruß Axel
klingt ein bisschen nach Fass ohne Boden - vielleicht sollte ich mir das abschminken. Wichtig ist erst mal, dass er das Root-Passwort nicht kennt und das lässt sich ja mit sudo machen. Danke trotzdem für die Hilfe, Grüße, Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/ec75ef7cbea71bca17ad2fc6e2d8abe1.jpg?s=120&d=mm&r=g)
Hallo Steffen, bitte kein Fullquote! Steffen Mattern schrieb:
Du mußt also dem User seine Rechte soweit einschränken, das er nur exakt die Kommandos ausführen darf, die er für die Arbeit braucht.
Er darf dann auch keine Scripts erstellen und ändern, die Root in der Crontab o.ä. ausführen darf! Außerdem mußt du verhindern, das der User Scripts wie z.b. apachectl ändert, weil er dort ein eben solches Statement auch einfügen könnte.
==> Komplett wirst Du es nicht verhindern können ;)
klingt ein bisschen nach Fass ohne Boden - vielleicht sollte ich mir das abschminken. Wichtig ist erst mal, dass er das Root-Passwort nicht kennt und das lässt sich ja mit sudo machen.
Ist es auch, je nachdem welchen Sicherheitslevel Du haben willst. Am besten ist es dem User in der Sudoers nur die Kommandos freizugeben, die der User auch ausführen darf. (am besten mit den erlaubten Optionen!) -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Axel Birndt
-
Steffen Mattern