Rechte von usern einschränken

[linus83]

Hallo,

Ich möchte allen usern, bis auf einen, verbieten root zu werden (mit su). Was für eine Rolle oder Privileg muss man dafür haben bzw. nicht haben? ich habe ein Solaris 10 Update 9 installiert

Gruß
Michael

[signal_15]

ich kenne mich mit den rollen nicht aus. aber ich frage mich ob es nicht sinvoller waere den usern einfach das root passwort nicht mit zu teilen. ich meine, dazu sind doch passwoerter da.

ct,

[signal_15]

Limit su capabilities
Allow only a few selected members of a group to use su to prevent any unauthorized access by guessing the root password . Create a system administrator’s group and change su owner to root and group to administrator’s group . Change su permissions to allow only member of this group an execute permission .

das war jetzt von dieser seite.
 http://adminschoice.com/securing-solaris

ct,

[Drusus]

Moin,

dazu brauchst du zwei Schritte:
1) Den User "root" so aendern, dass er eine Rolle und kein normaler User mehr ist
2) Usern die jetzt noch root werden sollen diese "root" Rolle geben

Das ganze konfiguriert man ueber user_attr und es haengt natuerlich davon ab wo du deine passwd Informationen hast.
Wenn du lokale Dateien nimmst (also /etc/passwd und /etc/shadow) dann gibt es auch ein lokales /etc/user_attr.
In der /etc/user_attr findest du schon ein root Eintrag. Den musst du noch um ein ";type=role" ergaenzen um 1) zu haben.
In der gleichen Datei fuegst du dann einen user hinzu und gibts diesem die root Rolle, also z.B.
linus83::::type=normal;roles=root

Bei den ganzen Aktionen natuerlich eine root-Shell offenlassen und danach erstmal testen, dass der Userlogin und anschliessende su auch noch geht.
Sobald du diese Schritte gemacht hast kann sich root nicht mehr direkt einloggen und nur die Benutzer mit der Rolle "root" koennen mittels "su" dann zum root user werden.

Das ganze geht natuerlich auch mit den Adminbefehle (usermod, rolemod, ..) oder GUI (smc, ...) aber die Dinger benutze ich nicht.

Tschau,
  Drusus.

[linus83]

Danke, genau das hatte ich gesucht.

das Passwort wissen nicht viele. Es gibt manchmal witzige Leute die Löcher im System suchen. So möchte ich den Spieltrieb von vornherein einen Riegel vorscheiben

[signal_15]

hmm, von zeit zur zeit ein 'grep "'su root' failed" /var/syslog/authlog' und diesen benutzern so dermasen auf die finger klopfen damit denen der spieltrieb/spass gleich vergeht. ausserdem zeigt solch eine vorgehensweise den benutzern, dass das system unter beobachtung steht und schweinerein sofort auffallen. so kommen sie seltener auf dumme ideen. sonst wirst du am ende nicht nur 'su' sichern muessen sonder anfangen dich gegen alle moeglichkeiten und eventualitaeten zu sichern. und ich denke mal da gibt es viele.

ct,

[Toktar]

Die Legende von: " Ich kann soziale Probleme mit Technik erschlagen"

[Ebbi]

Die Legende von: " Ich kann soziale Probleme mit Technik erschlagen"

Die Regierung macht es doch vor.