Hi!
Ich habe eine allgemeine Frage zur User-Verwaltung unter Linux/Unix. In meiner Firma haben wir ein ziemlich heterogenes Linux/Unix/Windows-Netzwerk. Die Authentisierung der User erfolgt zurzeit (noch) über NIS (für Linux/Unix), bzw. Samba (Windows).
Mein Problem ist folgendes:
In unserer Entwickler-Abteilung ist jedem das root-Passwort seines Rechners bekannt (lässt sich nicht vermeiden). Nun will ich aber verhindern, dass sich ein User als "root" einloggen und mittels "su - andererUser" ohne Passwort die Identität eines anderen (NIS-)User annehmem kann.
Ist dieses "SU-Feature" ein prinzipielles Linux/Unix-Problem, oder liegt es an NIS?
Wie sieht es aus mit LDAP, Kerberos, ...?
Gibt es hier so etwas wie das "root_squash" bei NFS? Nach dem Motto uid[root@workstation] := uid[nobody@NIS,LDAP,Kerberos]"?
Bin für jeden Hinweis, Link dankbar!
Gruß,
Mogli
root> su -somebody verhindern
-
rossi
Re: root> su -somebody verhindern
Spannende Frage. Mit Kerberos läßt sich das sicherlich über die sogenannten Instanzen Regeln - wobei ich genau mit denen auf Kriesfuß stehe und daher auch nicht fit genug für weitere Einzelheiten bin.
Sollte es um die Heimatverzeichisse gehen, kenn ich auch nur die Lösung, diese ohne "no_root_squash" per NFS zu exportieren - damit hat lokaler root zumindest schonmal keine Zugriffserchte auf die Heimatverzeichnisse. Ist aber nicht wirklich das, was Du willst.
Bin grad am überlegen: wäre "pam" eine alternative, das nur mitglieder betimmeter Gruppen "su" überhaupt benutzen dürfen, wobei die Gruppen auf dem NIS definiert sind und lokaler root nicht dazugehört ? Nur ein Gedankenspiel, nicht zu Ende gedacht.
Sollte es um die Heimatverzeichisse gehen, kenn ich auch nur die Lösung, diese ohne "no_root_squash" per NFS zu exportieren - damit hat lokaler root zumindest schonmal keine Zugriffserchte auf die Heimatverzeichnisse. Ist aber nicht wirklich das, was Du willst.
Bin grad am überlegen: wäre "pam" eine alternative, das nur mitglieder betimmeter Gruppen "su" überhaupt benutzen dürfen, wobei die Gruppen auf dem NIS definiert sind und lokaler root nicht dazugehört ? Nur ein Gedankenspiel, nicht zu Ende gedacht.