Re: Frage / Alternative zu who

Autor: Raphael H. Becker <Raphael.Becker_at_gmx.de>
Datum: 19.11.2005
On Fri, Nov 18, 2005 at 02:42:18PM +0100, Alexander Dehoff wrote:
> Ich möchte mir in die .bashrc von root (auf nem Webserver, auf dem 4
> Leute das root PW kennen) ein Kommando einstellen, das bei jedem Login
> ein Mail verschickt, in dem steht von welchen account aus su gemacht
> wurde.

Unabhängig von den anderen Hinweisen, wie das geloggt wird:

Ich würde keine Root-Passwörter vergeben, wenn es mehrere "root"-User
gibt. Verwende statt "su" einfach "ssh root@localhost" und erlaube den
RootLogin für keys. Dann trägst Du die public-keys der "Co-roots" in die
"~/.ssh/authorized_keys" ein und verdonnerst sie dazu, ihre Schlüssel
mit Passphrase zu sichern. Auf diese Weise hat jeder Co-root sein
eigenes root-Passwort. Oder Du legst diese Schlüssel für die User an und
gibst Passphrases vor, die sie dann ändern können.

Die "authorized_keys"-Datei setzt Du dann auf "append-only", d.h. die
Datei kann nur noch erweitert werden. Wenn Du Glück hast, kennt niemand
den Trick und kann keine vorhandenen Schlüssel entfernen. Oder auf
"immutable" (k.a. wie das in Linux heisst), dann ist die Datei gegen
jegliche Veränderung gesichert (solange niemand das Flag entfernen kann)

Natürlich hindert das nur unwissende Spielkinder daran, ihren Spieltrieb
auszuleben, mit etwas Können gibt es keine Sicherheit.

In FreeBSD kann man über SecureLevels das Zurücksetzen von
immutable-Flags auf Dateien verhindern, d.h. selbst mit root-Rechten
bekommt man das dann nicht mehr weg, solange man nicht in einen
"unsecure"-Modus (Standard) bootet.

Evtl kennt Linux inzwischen auch solche root-Bremsen?!?

Ansonsten, wenn die jeweiligen Admins nur ganz bestimmte Sachen
erledigen können sollen, empfiehlt sich uU sudo. Aber entweder trägt man
dann dort alles ein, was sie dürfen oder man erlaubt großflächiger zB
das Starten von Shells ... nunja.

MfG
-- 
Raphael Becker                                    http://rabe.uugrn.org/
                      http://schnitzelmitkartoffelsalat.und.rahmspin.at/
.........|.........|.........|.........|.........|.........|.........|..


Received on Sat Nov 19 02:17:55 2005

Dieses Archiv wurde generiert von hypermail 2.1.8.
Zurück zur UUGRN-Homepage.