Re: "zweiten root" mit sudo
"Administrieren" meint in meinem Fall tatsächlich "alles außer root-Passwort ändern". Der user soll also Schreibzugriff haben um z.B. Software zu installieren und Zugriff auf alle möglichen Konfigurationsfiles haben (CUPS, Netzwerk, Benutzer anlegen/ löschen ect.).
Das ganze möchte ich in einem Poolraum von 10 Rechnern realisieren, sollte also ohne Riesenaufwand passieren.
Man kann mit sudo doch auch einzelne Befehle erlauben, da dachte ich, man kann vielleicht auch einzelne Befehle ausschließen.
Gruß,
Steffen
--- Fred Ockert
Von: Fred Ockert
Betreff: Re: "zweiten root" mit sudo An: "Suse Liste Neu" Datum: Donnerstag, 9. Juli 2009, 8:44 Steffen Mattern schrieb: Hallo allerseits,
ich würde gerne einem user alle nötigen Rechte geben, die er braucht um einen Rechner zu administrieren. Er sollte jedoch nicht das root-Passwort kennen und selbiges auch nicht ändern können. Das müsste doch mit sudo zu machen sein, oder? Hat jemand einen Konfigurationsvorschlag?
wohl eher nicht ...
sudo gibt dir Root Rechte und das schliesst das passwd Kommando mit ein
die Hintergrundfrage ..was meint administrieren ?
Vielen Dank für die Hilfe, Steffen Mattern
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi, benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit ssh root@host dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so. Gruss Werner On Thu July 9 2009 Steffen Mattern wrote:
"Administrieren" meint in meinem Fall tatsächlich "alles außer root-Passwort ändern". Der user soll also Schreibzugriff haben um z.B. Software zu installieren und Zugriff auf alle möglichen Konfigurationsfiles haben (CUPS, Netzwerk, Benutzer anlegen/ löschen ect.). Das ganze möchte ich in einem Poolraum von 10 Rechnern realisieren, sollte also ohne Riesenaufwand passieren. Man kann mit sudo doch auch einzelne Befehle erlauben, da dachte ich, man kann vielleicht auch einzelne Befehle ausschließen.
[..] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke:
Hi,
benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit
ssh root@host
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein. Grüße Ralf -- Antworten bitte nur in die Mailingliste! PMs bitte an: listpm (@) arndt-de (.) eu -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Steffen, Ralf Arndt schrieb:
Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke: ...
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.
guck Dir mal die man sudoers an. Du kannst folgendes machen: Du kannst für den User die Kommandos festlegen, die er ausführen darf. Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf, weil er dann das Kommando wieder ausführen dürfte. Du mußt also dem User seine Rechte soweit einschränken, das er nur exakt die Kommandos ausführen darf, die er für die Arbeit braucht. Er darf dann auch keine Scripts erstellen und ändern, die Root in der Crontab o.ä. ausführen darf! Außerdem mußt du verhindern, das der User Scripts wie z.b. apachectl ändert, weil er dort ein eben solches Statement auch einfügen könnte. ==> Komplett wirst Du es nicht verhindern können ;) -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 9. Juli 2009 09:39 schrieb Axel Birndt:
Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf,...
Dazu müsste er aber wieder das root Passwort kennen, was eben nicht der Fall sein soll. Oder gibt es Fälle (sudo?), in denen für "su -" nicht das root Passwort eingegeben werden muss? Grüße Ralf -- Antworten bitte nur in die Mailingliste! PMs bitte an: listpm (@) arndt-de (.) eu -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Ralf, Ralf Arndt schrieb:
Am Donnerstag, 9. Juli 2009 09:39 schrieb Axel Birndt:
Wenn er aber das passwd nicht ausführen darf, dann mußt du auch verhindern, das der User su - machen darf,...
Dazu müsste er aber wieder das root Passwort kennen, was eben nicht der Fall sein soll. Oder gibt es Fälle (sudo?), in denen für "su -" nicht das root Passwort eingegeben werden muss?
sudo su - meinte ich. Wenn der User mit sudo alles ausführen darf, dann auch sudo su - und schwups hab ich ne uneingeschränkte root-Shell! -- Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 9. Juli 2009 13:00 schrieb Axel Birndt
sudo su -
sudo -s sudo -i man sudo Zum Ursprungsproblem: Du will role-based access control - also SELinux oder Solaris. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag 09 Juli 2009 09:26:41 schrieb Ralf Arndt:
Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke:
Hallo zusammen,
benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit
ssh root@host
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.
Dazu muss man nicht root sein :-( Ich wuerde die passwd und die shadow gut wegsichern. Fuer den Fall einer ([un]beabsichtigten) Aenderung werden diese wieder eingespielt, der oben genannte ssh-Key geloescht und ein neues root-Passowrd angelegt. Bei Aenderungen an der passwd und/oder shadow wuerde ich mich automatisch per eMail benachrichtigen lassen. MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Arndt schrieb:
Am Donnerstag, 9. Juli 2009 09:17 schrieb Werner Franke:
Hi,
benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit
ssh root@host
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
Dann kann er aber als root "passwd" aufrufen (oder sehe ich da etwas falsch?) und genau das soll laut OP ausgeschlossen sein.
stimmt falls auf der Maschine noch andere user sind, ist es das einfachste den anderen in den Umgang mit persönlichen Daten einzuweisen bzw. zu verpflichten und ihm das root passwort zu geben. Falls es nur um bestimmte administrative Aufgaben geht, kann man alternativ diese mit visudo konfigurieren, sodass er z.B. nich su bzw. sux ausführen kann, aber z.B. eine Platte formatieren darf. Ich hoffe mal dass das obige jetzt nicht fuer einen x beliebigen user gemacht wurde. Reimar -- Reimar Bauer Institut fuer Stratosphaerische Chemie (ICG-1) Forschungszentrum Juelich email: R.Bauer@fz-juelich.de ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ Forschungszentrum Juelich GmbH 52425 Juelich Sitz der Gesellschaft: Juelich Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498 Vorsitzende des Aufsichtsrats: MinDir'in Baerbel Brumme-Bothe Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender), Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt, Prof. Dr. Sebastian M. Schmidt ------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Werner Franke schrieb:
Hi,
benutze doch SSH Keys. Trage den Key des Users in die /root/.ssh/authorized_keys ein und dann kann sich der User mit
ssh root@host
dort zum ROOT machen, ohne dass er das Passwort braucht. Machen wir hier in der Firma auch so.
dann kann er aber auch das Passwort selber ändern...
Gruss Werner
On Thu July 9 2009 Steffen Mattern wrote:
"Administrieren" meint in meinem Fall tatsächlich "alles außer root-Passwort ändern". Der user soll also Schreibzugriff haben um z.B. Software zu installieren und Zugriff auf alle möglichen Konfigurationsfiles haben (CUPS, Netzwerk, Benutzer anlegen/ löschen ect.). Das ganze möchte ich in einem Poolraum von 10 Rechnern realisieren, sollte also ohne Riesenaufwand passieren. Man kann mit sudo doch auch einzelne Befehle erlauben, da dachte ich, man kann vielleicht auch einzelne Befehle ausschließen.
erlauben ja ..ausschliessen kommt in diesem Plan nicht vor - wozu auch... sudo macht zusätzliche ausgewählöte Rechte...
Warum soll der das root-Passwort nicht wissen dürfen ??? tsss .. na ja .. vielleicht sollte es dann mehrererere (Root Passwörter) in der Firma geben (?) und du solltest dir einen auth_key hinterlegen, um trotz geändertem Passwd ranzukommen (ohne hinzutappeln)... Letztlich .. eh "Wurscht" ... ComputerBild kaufen (oder irgendwas in der Art mit Linux-Live-System oder so) ... Linux-Live booten - Pladde mounten...(root)Passwort löschen .... fertich! als Root ohne password einloggen und gut is...(zumindest auf lokal bootenden Maschinen)... Ja gut... bissel muss man dazu auch noch wissen (geht übrigens ..mit paar Zusatztools bei Win ähnlich -> neues Admin-PW setzen..) Fred
[..]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Administrieren" meint in meinem Fall tatsächlich "alles außer root-Passwort ändern". Der user soll also Schreibzugriff haben um z.B. Software zu installieren und Zugriff auf alle möglichen Konfigurationsfiles haben (CUPS, Netzwerk, Benutzer anlegen/ löschen ect.).
Benutzer anlegen/löschen ist das Problem. Bei einer klassischen UNIX-Benutzerverwaltung brauchst du dazu Zugriffsrechte auf /etc/passwd und /etc/shadow. Das schließt aber immer auch die darin enthaltenen Einträge für das Passwort von root mit ein. Somit ist dieser Benutzer auch immer in der Lage das root-Passwort zu ändern. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, On Jul 9 06:55 Steffen Mattern wrote (shortened):
Der user soll ... Zugriff auf alle möglichen Konfigurationsfiles haben (CUPS, ...
Hier nur bzgl. CUPS: Schreibzugriff auf /etc/cups/* hat nur "root" und der cupsd setzt passende Rechte ggf. selbst, siehe "ConfigFilePerm" bei http://www.cups.org/documentation.php/doc-1.3/ref-cupsd-conf.html so dass "chmod" nicht viel hilft, aber auch normalerweise unnötig ist, es sei denn der User soll sogar die cupsd-Konfiguration in /etc/cups/cupsd.conf ändern können. Normalerweise genügt http://en.opensuse.org/SDB:CUPS_in_a_Nutshell "Allow printer admin tasks for a normal user" ------------------------------------------------------------------- Have in mind that a user who is allowed to do printer admin tasks can change the print queues as he likes (e.g. send copies of confidental print jobs to any external destination). ------------------------------------------------------------------- Wenn bei CUPS jedem alles erlaubt sein soll, in /etc/cups/cupsd.conf --------------------------------------------------------------------- <Policy allowanything> <Limit All> Order deny,allow </Limit> </Policy> DefaultPolicy allowanything --------------------------------------------------------------------- vergl. http://www.cups.org/documentation.php/doc-1.3/policies.html Gruß Johannes Meixner -- SUSE LINUX Products GmbH, Maxfeldstrasse 5, 90409 Nuernberg, Germany AG Nuernberg, HRB 16746, GF: Markus Rex
participants (10)
-
"Markus Koßmann"
-
Axel Birndt
-
Fred Ockert
-
Johannes Meixner
-
Martin Schröder
-
Ralf Arndt
-
Reimar Bauer
-
Steffen Mattern
-
Thomas Moritz
-
Werner Franke