Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Via sudoers-File Verzeichniszugriff limitieren

Frage Linux Debian

Mitglied: Birdie

Birdie (Level 1) - Jetzt verbinden

30.08.2012 um 10:43 Uhr, 2748 Aufrufe, 2 Kommentare

Guten Morgen liebe Admins,

ich hab ein - vermutlich unlösbares - Problem bezüglich des Einsatzes und der Konfiguration der /etc/sudoers File.

Zum Hintergrund der ganzen Geschichte:
Bestimmte Mitarbeiter sollen auf unseren Debian-Systemen rsync, mysql/mysqldump ausführen und im Bedarfsfall Verzeichnisänderungen vornehmen dürfen. Das klappt ja auch soweit alles via Einstellungen in der /etc/sudoers-Datei.

Jetzt hab ich aber das Problem, dass die Benutzer auf einen bestimmten Ordner nicht zugreifen dürfen, wenn sie sich vie SFTP (wir haben hier WinSCP dafür im Einsatz) auf den Server verbinden.
Nach einer kurzen Google-Suche fand ich heraus, dass man WinSCP beim Verbindungsaufbau mitgeben kann, sudo beim Verbindungsaufbau durchzuführen, also sudo /usr/lib/openssh/sftp-server. Soweit so gut, ich kann auf das vorher unzugängliche Verzeichnis zugreifen.

Nun gibt's aber ein neues Problem, da ich ja die SFTP-Verbindung als root aufbaue, darf ich bspw. auch Authorized Keys des root-Benutzers bearbeiten. Das kann sicherheitstechnisch natürlich nicht so bleiben.

Wie kann ich es nun also hinbekommen, dass ich mich via WinSCP auf den Server verbinden kann, aber bspw. keinen Zugriff auf das /etc Verzeichnis bekomme?

!Hinweis!: Die Verzeichnisberechtigungen sollen nicht geändert werden. Ich brauche quasi sowas in der Art:

MINIADMINS ALL = (root)NOPASSWD: /usr/lib/openssh/sftp-server, !/etc
(was ja so nicht funktioniert).

Bin für jeden Tipp dankbar

MfG
Birdie

Mitglied: nxclass
31.08.2012 um 08:43 Uhr
Bestimmte Mitarbeiter
wenn Du diesen Mitarbeitern nicht zutraust sorgsam mit root umgehen zu können, dann darfst Du ihnen auch kein root geben.

Für mysql / mysqldump brauch man keine root rechte auf dem System.
Für rsync könnte man einen cronjob anlegen, der die Daten sichert.

Ich würde den root Zugang nur einer Person geben - dann hat diese auch die Verantwortung.
Bitte warten ..
Mitglied: Birdie
31.08.2012 um 09:05 Uhr
Guten Morgen nxclass,

du hast natürlich prinzipiell Recht, mir wär's auch lieber wenn nur qualifizierte Mitarbeiter root-Rechte bekämen (war auch nicht meine Idee, aber ich soll es halt umsetzen).

Wollte auch sowieso den Thread nochmal updaten und schließen, da sich gestern rausgestellt hat, dass wir das jetzt alles komplett anders machen müssen, weil das Ganze unserem Datenschutzbeauftragten sauer aufgestoßen ist...

Abschließend kann man sagen, dass das "Problem", so wie es oben beschrieben wird, nicht gelöst werden kann. Die Berechtigungen auf Ordner kann man halt nur mit ACLs lösen und nicht über die /etc/sudoers...

MfG
Birdie
Bitte warten ..
Ähnliche Inhalte
Sonstige Systeme
gelöst Daten aus txt-Files sammeln (16)

Frage von MegaGiga zum Thema Sonstige Systeme ...

Linux
Unison - Log-File wird nicht erstellt (1)

Frage von RUDI-TERROR zum Thema Linux ...

Windows 10
Windows 10 Answer File (5)

Frage von Patrick-IT zum Thema Windows 10 ...

Webbrowser
gelöst File Link vom Browser aus im Explorer öffnen? (2)

Frage von elemeno zum Thema Webbrowser ...

Neue Wissensbeiträge
Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(2)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (17)

Frage von liquidbase zum Thema Voice over IP ...

TK-Netze & Geräte
TK-Anlage VoIP - DECT Erweiterung (16)

Frage von Lynkon zum Thema TK-Netze & Geräte ...