Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Via sudoers-File Verzeichniszugriff limitieren

Frage Linux Debian

Mitglied: Birdie

Birdie (Level 1) - Jetzt verbinden

30.08.2012 um 10:43 Uhr, 2720 Aufrufe, 2 Kommentare

Guten Morgen liebe Admins,

ich hab ein - vermutlich unlösbares - Problem bezüglich des Einsatzes und der Konfiguration der /etc/sudoers File.

Zum Hintergrund der ganzen Geschichte:
Bestimmte Mitarbeiter sollen auf unseren Debian-Systemen rsync, mysql/mysqldump ausführen und im Bedarfsfall Verzeichnisänderungen vornehmen dürfen. Das klappt ja auch soweit alles via Einstellungen in der /etc/sudoers-Datei.

Jetzt hab ich aber das Problem, dass die Benutzer auf einen bestimmten Ordner nicht zugreifen dürfen, wenn sie sich vie SFTP (wir haben hier WinSCP dafür im Einsatz) auf den Server verbinden.
Nach einer kurzen Google-Suche fand ich heraus, dass man WinSCP beim Verbindungsaufbau mitgeben kann, sudo beim Verbindungsaufbau durchzuführen, also sudo /usr/lib/openssh/sftp-server. Soweit so gut, ich kann auf das vorher unzugängliche Verzeichnis zugreifen.

Nun gibt's aber ein neues Problem, da ich ja die SFTP-Verbindung als root aufbaue, darf ich bspw. auch Authorized Keys des root-Benutzers bearbeiten. Das kann sicherheitstechnisch natürlich nicht so bleiben.

Wie kann ich es nun also hinbekommen, dass ich mich via WinSCP auf den Server verbinden kann, aber bspw. keinen Zugriff auf das /etc Verzeichnis bekomme?

!Hinweis!: Die Verzeichnisberechtigungen sollen nicht geändert werden. Ich brauche quasi sowas in der Art:

MINIADMINS ALL = (root)NOPASSWD: /usr/lib/openssh/sftp-server, !/etc
(was ja so nicht funktioniert).

Bin für jeden Tipp dankbar

Mit freundlichen Grüßen
Birdie

Mitglied: nxclass
31.08.2012 um 08:43 Uhr
Bestimmte Mitarbeiter
wenn Du diesen Mitarbeitern nicht zutraust sorgsam mit root umgehen zu können, dann darfst Du ihnen auch kein root geben.

Für mysql / mysqldump brauch man keine root rechte auf dem System.
Für rsync könnte man einen cronjob anlegen, der die Daten sichert.

Ich würde den root Zugang nur einer Person geben - dann hat diese auch die Verantwortung.
Bitte warten ..
Mitglied: Birdie
31.08.2012 um 09:05 Uhr
Guten Morgen nxclass,

du hast natürlich prinzipiell Recht, mir wär's auch lieber wenn nur qualifizierte Mitarbeiter root-Rechte bekämen (war auch nicht meine Idee, aber ich soll es halt umsetzen).

Wollte auch sowieso den Thread nochmal updaten und schließen, da sich gestern rausgestellt hat, dass wir das jetzt alles komplett anders machen müssen, weil das Ganze unserem Datenschutzbeauftragten sauer aufgestoßen ist...

Abschließend kann man sagen, dass das "Problem", so wie es oben beschrieben wird, nicht gelöst werden kann. Die Berechtigungen auf Ordner kann man halt nur mit ACLs lösen und nicht über die /etc/sudoers...

Mit freundlichen Grüßen
Birdie
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

CPU, RAM, Mainboards
PC Engines apu3a4 product file (7)

Link von ashnod zum Thema CPU, RAM, Mainboards ...

PHP
How to write phpinfo with special character to file (11)

Frage von thankusomuch zum Thema PHP ...

Entwicklung
gelöst Get ip from external txt file and use in vbscript (5)

Frage von thankusomuch zum Thema Entwicklung ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...