Hallo, nennt mich paranoid :-) Nachdem ich den Root Account für sshd wie Telnet gesperrt habe, möchte ich "su root" ebenfalls verweigern (nur für ssh - oder notfalls eben für den ganzen Rechner). Das deinstallieren von SU1 half nicht!? any Ideas? greetinXs, Michael Hilscher -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Michael Hilscher schrieb am Mittwoch, 21. Februar 2001 12:09:
nennt mich paranoid :-) Wenn Du drauf bestehst ;-)
Nachdem ich den Root Account für sshd wie Telnet gesperrt habe, möchte ich "su root" ebenfalls verweigern (nur für ssh - oder notfalls eben für den ganzen Rechner).
Das deinstallieren von SU1 half nicht!? rpm -qf /bin/su: sh-utils-2.0-6
Das Programm steht also in dem Paket "sh-utils" drin. Ich denke, Du kannst das Programm einfach löschen. Dann kann es aber auch dem gesamten Rechner nicht mehr benutzt werden. Wie man es _sicher_ für ssh-Logins verhindern kann, weiß ich im Moment nicht. Okay, Du kannst einen Wrapper schreiben, der su nur aufruft, wenn sich der Nutzer direkt eingeloggt hat. Aber auf jeden Fall fliegt das Binery von su (egal mit welchem Namen) irgendwo auf dem Rechner rum und kann gefunden und aufgerufen werden ... Heiner -- Heiner Lamprecht Philosophenweg 79 D - 72076 Tuebingen email: heiner@kijumfo.de http://www.kijumfo.de GnuKontor: http://agenda21.ggi.uni-tuebingen.de/heiner/gk/ KFLog: http://agenda21.ggi.uni-tuebingen.de/heiner/kflog/
* Michael Hilscher:
Hallo,
nennt mich paranoid :-) Nachdem ich den Root Account für sshd wie Telnet gesperrt habe, möchte ich "su root" ebenfalls verweigern (nur für ssh - oder notfalls eben für den ganzen Rechner).
rm `which su` sollte helfen. Thorsten -- http://www.thojens.de
Michael Hilscher schrieb am 21.02.2001:
nennt mich paranoid :-)
Hallo Paranoid, ;-)
Nachdem ich den Root Account für sshd wie Telnet gesperrt habe, möchte ich "su root" ebenfalls verweigern (nur für ssh - oder notfalls eben für den ganzen Rechner).
Warte mal...*überleg* Unter FreeBSD ist es IMHO so, daß nur Benutzer, die der Gruppe wheel angehören, mit su zu root werden können... Ich weiß allerdings nicht, wie das dort realisert worden ist. Vermutlich läßt sich da aber mit den Zugriffsrechten auf den Befehl su schon einiges anstellen: Probier doch einfach mal, nur dem Benutzer und der Gruppe root Ausführungsrechte zu geben. hth, Christian -- Made with a Macintosh... ChriSchmi@t-online.de http://home.t-online.de/home/chrischmi/
Hallo Michael, * Michael Hilscher schrieb:
Nachdem ich den Root Account für sshd wie Telnet gesperrt habe, möchte ich "su root" ebenfalls verweigern (nur für ssh - oder notfalls eben für den ganzen Rechner).
Das Securing-Debian-HOWTO gibt viele Tipps, wie man den Zugriff auf su und ssh per PAM und /etc/security/access.conf reglementieren kann. http://joker.rhwd.de/doc/Securing-Debian-HOWTO/Securing-Debian-HOWTO.html christian -- A consultant is a person who borrows your watch, tells you what time it is, pockets the watch, and sends you a bill for it.
* On Wed, Feb 21, 2001 at 12:09:59PM +0100, Michael Hilscher wrote:
nennt mich paranoid :-)
Warum?
Nachdem ich den Root Account für sshd wie Telnet gesperrt habe, möchte ich "su root" ebenfalls verweigern (nur für ssh - oder notfalls eben für den ganzen Rechner).
Das deinstallieren von SU1 half nicht!?
Da muss eigentlich nichts deinstalliert werden, machs mit pam. Damit kannst du dir die user waehlen die su benutzen duerfen usw. Gruß Clemens -- Clemens Wohld Fon: +49 (040) 6 72 82 90 LiHAS - Servicebuero Hamburg Fax: +49 (7 11) 5 78 06 92 Adrian Reyer & Jörg Henner GbR Mail: lihas@lihas.de Linux, Netzwerke, Consulting & Support http://lihas.de/
participants (6)
-
Christian Schmidt -
Christian Schult -
Clemens Wohld -
Heiner Lamprecht -
Michael Hilscher -
Thorsten Jens