Ich lese in dem Post von 'wiedereinano' was ganz anderes heraus:
1. er hat die history eines Nutzers gelesen 2. er schrieb nicht, dass der Nutzer auch Besitzer des Rechners war 3. Alle - auch nicht legitime Befehle werden in der history gespeichert
zu Punkt 1: dies kann in meinem Arbeitsumfeld schon ein Straftatbestand sein (kommt auf den Arbeitsvertrag an und welche Berechtigung/Auftrag ich für das jeweilige System habe) Alle meine Arbeitsschritte werden geloggt, auch mein Pflichtenheft wird danach herangezogen (für jeden Auftrag ist eine Doku und Pflichtenheft Teil des Arbeitsauftrages)
2. Interessieren hier 'private' Rechner?
3. sollte in meinen Systemen jmd einen nicht legitimen Befehl ausführen, bekomme ich als Admin ne Mail - ich entscheide dann die daraus folgenden Schritte.
private rechner sind was ganz anderes: da wird dem Menschen gezeigt und gesagt, wie und warum es sudo gibt. Niemand arbeitet oder 'surft' gar unter 'root'. Vor langer zeit, als startx noch angesagt war, blinkte sogar die DE Oberfläche, wenn als r00t gestartet wurde
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 06. Feb 2016 um 15:13.
...auch wenn /blafoo sicher nicht per default dem user gehört, da es unter / liegt und sicherlich anders als mit sudo dem user zur Verfügung gestellt werden kann...
mir geht es aber um den Satz:
Ich habe schon devs gesehen mit folgender history:
in der history (die ja im ~ liegt) stehen eben auch die Befehle, die ohne Berechtigung _versucht_ wurden auszuführen.
Der Einblick in die home-Verzeichnisse _kann_ ausdrücklich im Arbeitsvertrag verboten werden. stell dir vor, daß es unter /home nicht nur einen user gibt sondern:
sh-4.1$ ls /home/ |wc -l 182
Das kann dann unter Umständen nicht nur den Job kosten, sondern auch eine Strafe nach sich ziehen...
allerdings hast du Recht, was den Straftatbestand angeht, der bestimmt nur ein Gericht. ... das habe ich falsch formuliert!
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 06. Feb 2016 um 19:56.
Achso, du willst an die History der User um ihre bösen sudo Versuche zu kontrollieren, darfst aber nicht an ihre homes. Hab ich das richtig verstanden? Das sudo Log ist aber unabhängig von der History der User. Und selbst die könnte man außerhalb des home ablegen. Bzw. bei der Menge an Usern wird denke ich mal ein LDAP oä. dahinter stehen und du bist nicht auf die puren Unixrechte beschränkt. Dann könnte auch nur dem History File entsprechendes Leserecht vergeben werden.
Ok, jetzt klärt es sich für mich auch auf :P Davon kann man ausgehen. Aber prinzipiell könntest du die History hinlegen wo du möchtest. Bei Embeddedsystemen die ich nicht so häufig am Netz habe als das sich ein NFS Root lohnen würde lasse ich bei einer SSH Session die History auf das allgemeine Share für Datenaustausch zwischen den Geräten legen. Dann muss ich nicht extra das Gerät anfeuern nur weil ich an die letzten Aktionen und die letzte Nutzung (Timestamp) ran möchte.
Danke - ich zweifelte schon an meiner Kommunikationsfähigkeit XD
Ich pers. interessiere mich gar nicht für dieses history_file, sondern lege mir die wichtigen Sachen nach /var/log/. Die User sollen - wenn sie möchten - mit dem Befehl 'history -c' ihr File einfach leeren können.
Ich lese in dem Post von 'wiedereinano' was ganz anderes heraus:
1. er hat die history eines Nutzers gelesen
2. er schrieb nicht, dass der Nutzer auch Besitzer des Rechners war
3. Alle - auch nicht legitime Befehle werden in der history gespeichert
zu Punkt 1: dies kann in meinem Arbeitsumfeld schon ein Straftatbestand sein (kommt auf den Arbeitsvertrag an und welche Berechtigung/Auftrag ich für das jeweilige System habe) Alle meine Arbeitsschritte werden geloggt, auch mein Pflichtenheft wird danach herangezogen (für jeden Auftrag ist eine Doku und Pflichtenheft Teil des Arbeitsauftrages)
2. Interessieren hier 'private' Rechner?
3. sollte in meinen Systemen jmd einen nicht legitimen Befehl ausführen, bekomme ich als Admin ne Mail - ich entscheide dann die daraus folgenden Schritte.
private rechner sind was ganz anderes: da wird dem Menschen gezeigt und gesagt, wie und warum es sudo gibt. Niemand arbeitet oder 'surft' gar unter 'root'. Vor langer zeit, als startx noch angesagt war, blinkte sogar die DE Oberfläche, wenn als r00t gestartet wurde
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 06. Feb 2016 um 15:13.Was Starx ist nicht mehr angesagt? Schockschwerenot!
Öhm, blind bin ich noch nicht: "Dabei gehört foobla und /blafoo sowieso dem User und er hatte keinerlei Sudo-Berechtigung(!)"
Straftatbestand ist aber auch süß. Welches Gesetz ist es denn das du da brechen würdest? Anweisungen deines Arbeitgebers sind keine Strafgesetze.
bist nicht blind
...auch wenn /blafoo sicher nicht per default dem user gehört, da es unter / liegt und sicherlich anders als mit sudo dem user zur Verfügung gestellt werden kann...
mir geht es aber um den Satz:
in der history (die ja im ~ liegt) stehen eben auch die Befehle, die ohne Berechtigung _versucht_ wurden auszuführen.
Der Einblick in die home-Verzeichnisse _kann_ ausdrücklich im Arbeitsvertrag verboten werden.
stell dir vor, daß es unter /home nicht nur einen user gibt sondern:
Das kann dann unter Umständen nicht nur den Job kosten, sondern auch eine Strafe nach sich ziehen...
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 06. Feb 2016 um 19:56.allerdings hast du Recht, was den Straftatbestand angeht, der bestimmt nur ein Gericht.
... das habe ich falsch formuliert!
Achso, du willst an die History der User um ihre bösen sudo Versuche zu kontrollieren, darfst aber nicht an ihre homes. Hab ich das richtig verstanden? Das sudo Log ist aber unabhängig von der History der User. Und selbst die könnte man außerhalb des home ablegen. Bzw. bei der Menge an Usern wird denke ich mal ein LDAP oä. dahinter stehen und du bist nicht auf die puren Unixrechte beschränkt. Dann könnte auch nur dem History File entsprechendes Leserecht vergeben werden.
nein - will ich sicher nicht.
yes - aber der Ursprungspost von 'wiedereinano' (weiter oben) sprach von der history, und die liegt IMHO im home des users...und allein darauf bezog sich mein Comment
ich wollte zeigen, wie ich den Post von 'wiedereinano' interpretiere - ist mir anscheined vollkommen missglückt
Ok, jetzt klärt es sich für mich auch auf :P
Davon kann man ausgehen. Aber prinzipiell könntest du die History hinlegen wo du möchtest. Bei Embeddedsystemen die ich nicht so häufig am Netz habe als das sich ein NFS Root lohnen würde lasse ich bei einer SSH Session die History auf das allgemeine Share für Datenaustausch zwischen den Geräten legen. Dann muss ich nicht extra das Gerät anfeuern nur weil ich an die letzten Aktionen und die letzte Nutzung (Timestamp) ran möchte.
Ich pers. interessiere mich gar nicht für dieses history_file, sondern lege mir die wichtigen Sachen nach /var/log/. Die User sollen - wenn sie möchten - mit dem Befehl 'history -c' ihr File einfach leeren können.