Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
root> su -somebody verhindern

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Mogli
Gast





BeitragVerfasst am: 05. Sep 2002 14:06   Titel: root> su -somebody verhindern

Hi!
Ich habe eine allgemeine Frage zur User-Verwaltung unter Linux/Unix. In meiner Firma haben wir ein ziemlich heterogenes Linux/Unix/Windows-Netzwerk. Die Authentisierung der User erfolgt zurzeit (noch) über NIS (für Linux/Unix), bzw. Samba (Windows).

Mein Problem ist folgendes:
In unserer Entwickler-Abteilung ist jedem das root-Passwort seines Rechners bekannt (lässt sich nicht vermeiden). Nun will ich aber verhindern, dass sich ein User als "root" einloggen und mittels "su - andererUser" ohne Passwort die Identität eines anderen (NIS-)User annehmem kann.

Ist dieses "SU-Feature" ein prinzipielles Linux/Unix-Problem, oder liegt es an NIS?

Wie sieht es aus mit LDAP, Kerberos, ...?

Gibt es hier so etwas wie das "root_squash" bei NFS? Nach dem Motto uid[root@workstation] := uid[nobody@NIS,LDAP,Kerberos]"?

Bin für jeden Hinweis, Link dankbar!

Gruß,
Mogli
 

rossi
Gast





BeitragVerfasst am: 06. Sep 2002 12:08   Titel: Re: root> su -somebody verhindern

Spannende Frage. Mit Kerberos läßt sich das sicherlich über die sogenannten Instanzen Regeln - wobei ich genau mit denen auf Kriesfuß stehe und daher auch nicht fit genug für weitere Einzelheiten bin.
Sollte es um die Heimatverzeichisse gehen, kenn ich auch nur die Lösung, diese ohne "no_root_squash" per NFS zu exportieren - damit hat lokaler root zumindest schonmal keine Zugriffserchte auf die Heimatverzeichnisse. Ist aber nicht wirklich das, was Du willst.

Bin grad am überlegen: wäre "pam" eine alternative, das nur mitglieder betimmeter Gruppen "su" überhaupt benutzen dürfen, wobei die Gruppen auf dem NIS definiert sind und lokaler root nicht dazugehört ? Nur ein Gedankenspiel, nicht zu Ende gedacht.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy