Hallo Steffen, Ralf Arndt schrieb:

Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke: ...

...

dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.

Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.

guck Dir mal die man sudoers an. Du kannst folgendes machen: Du kannst für den User die Kommandos festlegen, die er ausführen darf. Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf, weil er dann das Kommando wieder ausführen dürfte. Du mußt also dem User seine Rechte soweit einschränken, das er nur exakt die Kommandos ausführen darf, die er für die Arbeit braucht. Er darf dann auch keine Scripts erstellen und ändern, die Root in der Crontab o.ä. ausführen darf! Außerdem mußt du verhindern, das der User Scripts wie z.b. apachectl ändert, weil er dort ein eben solches Statement auch einfügen könnte. ==> Komplett wirst Du es nicht verhindern können ;) -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo Ralf, Ralf Arndt schrieb:

Am Donnerstag, 9. Juli 2009 09:39 schrieb Axel Birndt:

...

Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf,...

Dazu müsste er aber wieder das root Passwort kennen, was eben nicht der Fall sein soll. Oder gibt es Fälle (sudo?), in denen für "su -" nicht das root Passwort eingegeben werden muss?

sudo su - meinte ich. Wenn der User mit sudo alles ausführen darf, dann auch sudo su - und schwups hab ich ne uneingeschränkte root-Shell! -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Donnerstag 09 Juli 2009 09:26:41 schrieb Ralf Arndt:

Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke:

Hallo zusammen,

...

benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit

ssh root@host

dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.

Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.

Dazu muss man nicht root sein :-( Ich wuerde die passwd und die shadow gut wegsichern. Fuer den Fall einer ([un]beabsichtigten) Aenderung werden diese wieder eingespielt, der oben genannte ssh-Key geloescht und ein neues root-Passowrd angelegt. Bei Aenderungen an der passwd und/oder shadow wuerde ich mich automatisch per eMail benachrichtigen lassen. MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Werner Franke schrieb:

Hi,

benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit

ssh root@host

dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.

dann kann er aber auch das Passwort selber ändern...

Gruss Werner

On Thu July 9 2009 Steffen Mattern wrote:

...

"Administrieren" meint in meinem Fall tatsächlich "alles außer root-Passwort ändern". Der user soll also Schreibzugriff haben um z.B. Software zu installieren und Zugriff auf alle möglichen Konfigurationsfiles haben (CUPS, Netzwerk, Benutzer anlegen/ löschen ect.). Das ganze möchte ich in einem Poolraum von 10 Rechnern realisieren, sollte also ohne Riesenaufwand passieren. Man kann mit sudo doch auch einzelne Befehle erlauben, da dachte ich, man kann vielleicht auch einzelne Befehle ausschließen.

erlauben ja ..ausschliessen kommt in diesem Plan nicht vor - wozu auch... sudo macht zusätzliche ausgewählöte Rechte...

Warum soll der das root-Passwort nicht wissen dürfen ??? tsss .. na ja .. vielleicht sollte es dann mehrererere (Root Passwörter) in der Firma geben (?) und du solltest dir einen auth_key hinterlegen, um trotz geändertem Passwd ranzukommen (ohne hinzutappeln)... Letztlich .. eh "Wurscht" ... ComputerBild kaufen (oder irgendwas in der Art mit Linux-Live-System oder so) ... Linux-Live booten - Pladde mounten...(root)Passwort löschen .... fertich! als Root ohne password einloggen und gut is...(zumindest auf lokal bootenden Maschinen)... Ja gut... bissel muss man dazu auch noch wissen (geht übrigens ..mit paar Zusatztools bei Win ähnlich -> neues Admin-PW setzen..) Fred

[..]

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org