Superuser

Autor Thema: Rechte von usern einschränken  (Gelesen 8997 mal)

Offline linus83

  • Sobl Bachelor
  • ***
  • Beiträge: 144
Rechte von usern einschränken
« am: 30. März 2011, 16:00:59 »
Hallo,

Ich möchte allen usern, bis auf einen, verbieten root zu werden (mit su). Was für eine Rolle oder Privileg muss man dafür haben bzw. nicht haben? ich habe ein Solaris 10 Update 9 installiert

Gruß
Michael

sonnenblen.de - Das unabhängige Sun User Forum

Rechte von usern einschränken
« am: 30. März 2011, 16:00:59 »

Offline signal_15

  • Sobl Master
  • ****
  • Beiträge: 426
    • Rechenzentrum Amper
Re: Rechte von usern einschränken
« Antwort #1 am: 30. März 2011, 16:47:05 »
ich kenne mich mit den rollen nicht aus. aber ich frage mich ob es nicht sinvoller waere den usern einfach das root passwort nicht mit zu teilen. ich meine, dazu sind doch passwoerter da.

ct,

Offline signal_15

  • Sobl Master
  • ****
  • Beiträge: 426
    • Rechenzentrum Amper
Re: Rechte von usern einschränken
« Antwort #2 am: 30. März 2011, 16:50:15 »
Limit su capabilities
Allow only a few selected members of a group to use su to prevent any unauthorized access by guessing the root password . Create a system administrator’s group and change su owner to root and group to administrator’s group . Change su permissions to allow only member of this group an execute permission .

das war jetzt von dieser seite.
 http://adminschoice.com/securing-solaris

ct,

Offline Drusus

  • Sobl Master
  • ****
  • Beiträge: 424
  • Intentionally left blank
Re: Rechte von usern einschränken
« Antwort #3 am: 30. März 2011, 19:00:11 »
Moin,

dazu brauchst du zwei Schritte:
1) Den User "root" so aendern, dass er eine Rolle und kein normaler User mehr ist
2) Usern die jetzt noch root werden sollen diese "root" Rolle geben

Das ganze konfiguriert man ueber user_attr und es haengt natuerlich davon ab wo du deine passwd Informationen hast.
Wenn du lokale Dateien nimmst (also /etc/passwd und /etc/shadow) dann gibt es auch ein lokales /etc/user_attr.
In der /etc/user_attr findest du schon ein root Eintrag. Den musst du noch um ein ";type=role" ergaenzen um 1) zu haben.
In der gleichen Datei fuegst du dann einen user hinzu und gibts diesem die root Rolle, also z.B.
linus83::::type=normal;roles=root

Bei den ganzen Aktionen natuerlich eine root-Shell offenlassen und danach erstmal testen, dass der Userlogin und anschliessende su auch noch geht.
Sobald du diese Schritte gemacht hast kann sich root nicht mehr direkt einloggen und nur die Benutzer mit der Rolle "root" koennen mittels "su" dann zum root user werden.

Das ganze geht natuerlich auch mit den Adminbefehle (usermod, rolemod, ..) oder GUI (smc, ...) aber die Dinger benutze ich nicht.

Tschau,
  Drusus.

Offline linus83

  • Sobl Bachelor
  • ***
  • Beiträge: 144
Re: Rechte von usern einschränken
« Antwort #4 am: 31. März 2011, 16:46:47 »
Danke, genau das hatte ich gesucht.

das Passwort wissen nicht viele. Es gibt manchmal witzige Leute die Löcher im System suchen. So möchte ich den Spieltrieb von vornherein einen Riegel vorscheiben

Offline signal_15

  • Sobl Master
  • ****
  • Beiträge: 426
    • Rechenzentrum Amper
Re: Rechte von usern einschränken
« Antwort #5 am: 31. März 2011, 18:21:12 »
hmm, von zeit zur zeit ein 'grep "'su root' failed" /var/syslog/authlog' und diesen benutzern so dermasen auf die finger klopfen damit denen der spieltrieb/spass gleich vergeht. ausserdem zeigt solch eine vorgehensweise den benutzern, dass das system unter beobachtung steht und schweinerein sofort auffallen. so kommen sie seltener auf dumme ideen. sonst wirst du am ende nicht nur 'su' sichern muessen sonder anfangen dich gegen alle moeglichkeiten und eventualitaeten zu sichern. und ich denke mal da gibt es viele.

ct,

Offline Toktar

  • Sobl Master
  • ****
  • Beiträge: 333
Re: Rechte von usern einschränken
« Antwort #6 am: 31. März 2011, 19:27:27 »
Die Legende von: " Ich kann soziale Probleme mit Technik erschlagen"

;)
Toktar
--
Jawoll!
Und DNS braucht's nicht, das ist was fuer Weicheier, die sich keine Zahlen merken koennen.
[Karlheinz Boehme in dcsf]

Offline Ebbi

  • Sobl Administrator
  • Sobl Guru
  • *****
  • Beiträge: 1315
  • Minusgeek
Re: Rechte von usern einschränken
« Antwort #7 am: 31. März 2011, 23:27:59 »
Die Legende von: " Ich kann soziale Probleme mit Technik erschlagen" ;)
Die Regierung macht es doch vor. ;)