Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
Nico Jochens <[EMAIL PROTECTED]> writes: > On Mon, Mar 13, 2006 at 09:44:01PM +0100, Thilo Engelbracht wrote: >>Hallo Liste! >> >>Eine kurze Frage zu dem Befehl "su": >>Durch das Kommando ist es für jeden Benutzer möglich, die Identität >>von root anzunehmen. Selbstverständlich sollte das Kennwort des root- >>Accounts gut gewählt sein - trotzdem könnte es ein normaler User >>zufällig erraten. >> >>Deshalb meine Frage: Kann man irgendwie einschränken, welche User die >>Identität von root annehmen dürfen? Unter FreeBSD beispielsweise muss >>der User, der die Identität von root annehmen möchte, Mitglied der >>Gruppe "wheel" sein. Ist das auch unter Debian möglich? > > Ich habe den Thread bis hier glesen und mache mich mit meiner Frage > jetzt hoffenltich nicht zum totalen Blödfisch aber was soll das bringen? > Wenn ich das Passwort von root errate, ist es mir egal ob ich mit su root > werden kann oder nicht. Wenn nicht logge ich mich gleich als root ein. man securetty -- David Kastrup, Kriemhildstr. 15, 44793 Bochum -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
Nico Jochens schrieb: > Ich habe den Thread bis hier glesen und mache mich mit meiner Frage > jetzt hoffenltich nicht zum totalen Blödfisch aber was soll das bringen? > Wenn ich das Passwort von root errate, ist es mir egal ob ich mit su root > werden kann oder nicht. Wenn nicht logge ich mich gleich als root ein. Wenn du physikalischen Zugang zum Rechner hast, brauchst du nicht mal zu raten. Dem Kernel beim booten einfach ein init=/bin/bash mitgeben und du hast Vollzugriff. Das Rootpasswort kannst du dir dann selbst aussuchen. Und wenn du nicht Booten kannst/darfst, bau einfach die Festplatte aus... Nun aber mal ernst: Was die Sicherheit angeht, solltest du entfernten Benutzern nicht erlauben, sich als root anzumelden. Alle Nutzer ohne physikalischen Zugang zum Rechner können sich also nicht direkt als root anmelden und haben nur Möglichkeiten über sudo/su. Und dann ist eine solche Einschränkung durchaus sinnvoll (sofern es nicht einen gibt, der den physikalischen Zugang hat und sich 24/7 um den Rechner kümmert). > sunny greetings from Norderstedt dito, aus dem kalten Leipzig > Nico -- MfG Jan OpenPGP Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgpz2BqGYd6xD.pgp Description: PGP signature
Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
Thilo Engelbracht wrote: > Eine kurze Frage zu dem Befehl "su": > Durch das Kommando ist es für jeden Benutzer möglich, die Identität > von root anzunehmen. Selbstverständlich sollte das Kennwort des root- > Accounts gut gewählt sein - trotzdem könnte es ein normaler User > zufällig erraten. > > Deshalb meine Frage: Kann man irgendwie einschränken, welche User die > Identität von root annehmen dürfen? Unter FreeBSD beispielsweise muss > der User, der die Identität von root annehmen möchte, Mitglied der > Gruppe "wheel" sein. Ist das auch unter Debian möglich? Wenn du auf sudo ausweichen kannst, damit kann man sehr genau angeben welcher user zu welcher uid wechseln kann. Siehe sudoers(5). Greetings, Reinhard -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
Dirk Salva <[EMAIL PROTECTED]> writes: > On Mon, Mar 13, 2006 at 11:25:57PM +0100, David Kastrup wrote: >> Dirk Salva <[EMAIL PROTECTED]> writes: >> > On Mon, Mar 13, 2006 at 09:56:09PM +0100, Oliver Jato wrote: >> >> ja, schau mal in /etc/pam.d/su >> > Da kann man aber nur Gruppen eintragen, keine Einzeluser!? Extra dafür >> > ne Gruppe kreieren?!? >> Äh was? Eine Gruppe ist doch nun wirklich billigst zu realisieren: > > Darum geht es hier nicht. Nicht? Dann haben wir wohl verschiedene Vorstellungen von der Bedeutung der Worte "extra dafür". -- David Kastrup, Kriemhildstr. 15, 44793 Bochum -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
> Da kann man aber nur Gruppen eintragen, keine Einzeluser!? Extra dafür > ne Gruppe kreieren?!? ich weiss nicht ob es mehr sinn macht eine neue gruppe dafür anzulegen anstatt den user einfach zu root hinzuzufügen. denn bei einer neuen gruppe müsste root ja auch wieder mitglied dieser werden um su benutzen zu können, oder? grüsse, olli -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
Dirk Salva <[EMAIL PROTECTED]> writes: > On Mon, Mar 13, 2006 at 09:56:09PM +0100, Oliver Jato wrote: >> ja, schau mal in /etc/pam.d/su > > Da kann man aber nur Gruppen eintragen, keine Einzeluser!? Extra dafür > ne Gruppe kreieren?!? Äh was? Eine Gruppe ist doch nun wirklich billigst zu realisieren: eine Zeile nach /etc/group, und gut ist. Unter einem typischen System gibt es Gruppen für floppy, Modem, Sound und diversen anderen Kleckerkram. -- David Kastrup, Kriemhildstr. 15, 44793 Bochum -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Identitätswechsel zu root mit su nur bestimmten Benutzern erlauben
ja, schau mal in /etc/pam.d/su grüsse, olli -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
