95289
Aug 30, 2012
3930
2
0
Via sudoers-File Verzeichniszugriff limitieren
Guten Morgen liebe Admins,
ich hab ein - vermutlich unlösbares - Problem bezüglich des Einsatzes und der Konfiguration der /etc/sudoers File.
Zum Hintergrund der ganzen Geschichte:
Bestimmte Mitarbeiter sollen auf unseren Debian-Systemen rsync, mysql/mysqldump ausführen und im Bedarfsfall Verzeichnisänderungen vornehmen dürfen. Das klappt ja auch soweit alles via Einstellungen in der /etc/sudoers-Datei.
Jetzt hab ich aber das Problem, dass die Benutzer auf einen bestimmten Ordner nicht zugreifen dürfen, wenn sie sich vie SFTP (wir haben hier WinSCP dafür im Einsatz) auf den Server verbinden.
Nach einer kurzen Google-Suche fand ich heraus, dass man WinSCP beim Verbindungsaufbau mitgeben kann, sudo beim Verbindungsaufbau durchzuführen, also sudo /usr/lib/openssh/sftp-server. Soweit so gut, ich kann auf das vorher unzugängliche Verzeichnis zugreifen.
Nun gibt's aber ein neues Problem, da ich ja die SFTP-Verbindung als root aufbaue, darf ich bspw. auch Authorized Keys des root-Benutzers bearbeiten. Das kann sicherheitstechnisch natürlich nicht so bleiben.
Wie kann ich es nun also hinbekommen, dass ich mich via WinSCP auf den Server verbinden kann, aber bspw. keinen Zugriff auf das /etc Verzeichnis bekomme?
!Hinweis!: Die Verzeichnisberechtigungen sollen nicht geändert werden. Ich brauche quasi sowas in der Art:
MINIADMINS ALL = (root)NOPASSWD: /usr/lib/openssh/sftp-server, !/etc
(was ja so nicht funktioniert).
Bin für jeden Tipp dankbar
MfG
Birdie
Bestimmte Mitarbeiter sollen auf unseren Debian-Systemen rsync, mysql/mysqldump ausführen und im Bedarfsfall Verzeichnisänderungen vornehmen dürfen. Das klappt ja auch soweit alles via Einstellungen in der /etc/sudoers-Datei.
Jetzt hab ich aber das Problem, dass die Benutzer auf einen bestimmten Ordner nicht zugreifen dürfen, wenn sie sich vie SFTP (wir haben hier WinSCP dafür im Einsatz) auf den Server verbinden.
Nach einer kurzen Google-Suche fand ich heraus, dass man WinSCP beim Verbindungsaufbau mitgeben kann, sudo beim Verbindungsaufbau durchzuführen, also sudo /usr/lib/openssh/sftp-server. Soweit so gut, ich kann auf das vorher unzugängliche Verzeichnis zugreifen.
Nun gibt's aber ein neues Problem, da ich ja die SFTP-Verbindung als root aufbaue, darf ich bspw. auch Authorized Keys des root-Benutzers bearbeiten. Das kann sicherheitstechnisch natürlich nicht so bleiben.
Wie kann ich es nun also hinbekommen, dass ich mich via WinSCP auf den Server verbinden kann, aber bspw. keinen Zugriff auf das /etc Verzeichnis bekomme?
!Hinweis!: Die Verzeichnisberechtigungen sollen nicht geändert werden. Ich brauche quasi sowas in der Art:
MINIADMINS ALL = (root)NOPASSWD: /usr/lib/openssh/sftp-server, !/etc
(was ja so nicht funktioniert).
Bin für jeden Tipp dankbar
MfG
Birdie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190464
Url: https://administrator.de/contentid/190464
Printed on: April 25, 2024 at 20:04 o'clock
2 Comments
Latest comment
Bestimmte Mitarbeiter
wenn Du diesen Mitarbeitern nicht zutraust sorgsam mit root umgehen zu können, dann darfst Du ihnen auch kein root geben.Für mysql / mysqldump brauch man keine root rechte auf dem System.
Für rsync könnte man einen cronjob anlegen, der die Daten sichert.
Ich würde den root Zugang nur einer Person geben - dann hat diese auch die Verantwortung.
Guten Morgen nxclass,
du hast natürlich prinzipiell Recht, mir wär's auch lieber wenn nur qualifizierte Mitarbeiter root-Rechte bekämen (war auch nicht meine Idee, aber ich soll es halt umsetzen).
Wollte auch sowieso den Thread nochmal updaten und schließen, da sich gestern rausgestellt hat, dass wir das jetzt alles komplett anders machen müssen, weil das Ganze unserem Datenschutzbeauftragten sauer aufgestoßen ist...
Abschließend kann man sagen, dass das "Problem", so wie es oben beschrieben wird, nicht gelöst werden kann. Die Berechtigungen auf Ordner kann man halt nur mit ACLs lösen und nicht über die /etc/sudoers...
MfG
Birdie
du hast natürlich prinzipiell Recht, mir wär's auch lieber wenn nur qualifizierte Mitarbeiter root-Rechte bekämen (war auch nicht meine Idee, aber ich soll es halt umsetzen).
Wollte auch sowieso den Thread nochmal updaten und schließen, da sich gestern rausgestellt hat, dass wir das jetzt alles komplett anders machen müssen, weil das Ganze unserem Datenschutzbeauftragten sauer aufgestoßen ist...
Abschließend kann man sagen, dass das "Problem", so wie es oben beschrieben wird, nicht gelöst werden kann. Die Berechtigungen auf Ordner kann man halt nur mit ACLs lösen und nicht über die /etc/sudoers...
MfG
Birdie
