Hallo,
Am 02.11.2014 um 21:00 schrieb Thomas Schröder:
Am 02.11.2014 um 15:30 schrieb Steffen Auer:
mich würde mal interessieren, wie an eurer Schule der Umgang mit
> Zugangsdaten und Passwörtern geregelt ist.
Ich habe irgendwann mal alle relevanten Passwörter zusammengetragen, ein
"Streng Vertraulich"-Deckblatt draufgepackt und alles in einen Umschlag
gesteckt.
:
Irgendwann habe ich mir den Umschlag geben lassen - und natürlich war er
geöffnet, eingetragen war nix - so weit die Praxis! :-)
Ich finde schon wichtig, dass das irgendwo liegt - aber ich möchte auch
wissen, wer im Netz herumpfuscht.
Dazu habe ich einen Vorschlag. Es gab mal einen Artikel im Linux-Magazin
07/2010 Türspion (Bei Login Mail) S.83 Charly Kühnast.
Der Gedanke: jemand meldet sich als root an und sofort geht eine Mail an
mich raus, aus der ich entnehme, dass sich jemand als root angemeldet
hat, den Zeitpunkt, zudem von welchem Rechner (die IP) und bei SSH mit
welchem Account er sich eingeloggt hatte. Da ich die Lösung von Charly
Kühnast nicht hinbekommen hatte, habe ich meine eigene einfache Lösung
gebaut, die hier dokumentiert ist.
http://www.erasmus-reinhold-gymnasium.de/delixs/mod4delixs/root-mail.html
Nun haben wir an der Schule zwar einen Mailserver, aber das System
arbeitet nur im lokalen Netz. Ich habe mir eine Lösung gebaut, um über
einen Account von GMX administrative Mails nach Hause zu schicken. Das
ist hier dokumentiert (die obere Variante):
http://www.erasmus-reinhold-gymnasium.de/delixs/admin-mails/index.html
Will damit sagen, man kann sich schon informieren lassen, ob da
Passwörter herausgegeben wurden. Für andere Accounts, wo die Anmeldung
ebenfalls an der Shell erfolgt, geht das ja genauso zu machen.
Bei Accounts unter Windows z.B. den Administrator zum Aufnehmen von
Rechnern in die Domäne könnte man eine ähnliche Lösung beim Verbinden
des Home- oder Logon-Verzeichnisses bauen. Für den Fall, dass man mit
den Account nur ein Script startet und sich authentifiziert (wie z.B.
beim Aufnehmen von Rechnern in die Domäne) erfolgt ja keine Anmeldung in
dem Sinne, dass eine Shell aufgemacht wird, sondern es wird "nur" mit
den Rechten dieses Accounts ein Script ausgeführt.
Wenn hier konsequent auf sudo gesetzt wird, dann steht das ja im
sudo-Logfile und zwar jeder Aufruf. Dann kann man auch das so
einrichten, dass z.B. nach 15 Minuten das sudo-Logfile geschickt wird
(at-Job).
Sicherlich könnte man solche Lösungen aushebeln, aber das wäre dann
schon ein massiver Angriff. Dem oben geschilderten Anliegen (das man die
Herausgabe von Passwörtern mitbekommt) sollte dieser Ansatz aber gerecht
werden. - nur als Idee/Vorschlag.
Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
