Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Via sudoers-File Verzeichniszugriff limitieren

Frage Linux Debian

Mitglied: Birdie

Birdie (Level 1) - Jetzt verbinden

30.08.2012 um 10:43 Uhr, 2727 Aufrufe, 2 Kommentare

Guten Morgen liebe Admins,

ich hab ein - vermutlich unlösbares - Problem bezüglich des Einsatzes und der Konfiguration der /etc/sudoers File.

Zum Hintergrund der ganzen Geschichte:
Bestimmte Mitarbeiter sollen auf unseren Debian-Systemen rsync, mysql/mysqldump ausführen und im Bedarfsfall Verzeichnisänderungen vornehmen dürfen. Das klappt ja auch soweit alles via Einstellungen in der /etc/sudoers-Datei.

Jetzt hab ich aber das Problem, dass die Benutzer auf einen bestimmten Ordner nicht zugreifen dürfen, wenn sie sich vie SFTP (wir haben hier WinSCP dafür im Einsatz) auf den Server verbinden.
Nach einer kurzen Google-Suche fand ich heraus, dass man WinSCP beim Verbindungsaufbau mitgeben kann, sudo beim Verbindungsaufbau durchzuführen, also sudo /usr/lib/openssh/sftp-server. Soweit so gut, ich kann auf das vorher unzugängliche Verzeichnis zugreifen.

Nun gibt's aber ein neues Problem, da ich ja die SFTP-Verbindung als root aufbaue, darf ich bspw. auch Authorized Keys des root-Benutzers bearbeiten. Das kann sicherheitstechnisch natürlich nicht so bleiben.

Wie kann ich es nun also hinbekommen, dass ich mich via WinSCP auf den Server verbinden kann, aber bspw. keinen Zugriff auf das /etc Verzeichnis bekomme?

!Hinweis!: Die Verzeichnisberechtigungen sollen nicht geändert werden. Ich brauche quasi sowas in der Art:

MINIADMINS ALL = (root)NOPASSWD: /usr/lib/openssh/sftp-server, !/etc
(was ja so nicht funktioniert).

Bin für jeden Tipp dankbar

MfG
Birdie

Mitglied: nxclass
31.08.2012 um 08:43 Uhr
Bestimmte Mitarbeiter
wenn Du diesen Mitarbeitern nicht zutraust sorgsam mit root umgehen zu können, dann darfst Du ihnen auch kein root geben.

Für mysql / mysqldump brauch man keine root rechte auf dem System.
Für rsync könnte man einen cronjob anlegen, der die Daten sichert.

Ich würde den root Zugang nur einer Person geben - dann hat diese auch die Verantwortung.
Bitte warten ..
Mitglied: Birdie
31.08.2012 um 09:05 Uhr
Guten Morgen nxclass,

du hast natürlich prinzipiell Recht, mir wär's auch lieber wenn nur qualifizierte Mitarbeiter root-Rechte bekämen (war auch nicht meine Idee, aber ich soll es halt umsetzen).

Wollte auch sowieso den Thread nochmal updaten und schließen, da sich gestern rausgestellt hat, dass wir das jetzt alles komplett anders machen müssen, weil das Ganze unserem Datenschutzbeauftragten sauer aufgestoßen ist...

Abschließend kann man sagen, dass das "Problem", so wie es oben beschrieben wird, nicht gelöst werden kann. Die Berechtigungen auf Ordner kann man halt nur mit ACLs lösen und nicht über die /etc/sudoers...

MfG
Birdie
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
gelöst Batch für File extension überprüfung und listenerstellungmit Zeit und Datum (2)

Frage von watch123 zum Thema Batch & Shell ...

Microsoft Office
Office Admin-File (1)

Frage von joerg zum Thema Microsoft Office ...

Tipps & Tricks
gelöst Netztrennung (Firma, Gast) und Datenumzug von File-Server auf NAS (8)

Frage von Daniel776 zum Thema Tipps & Tricks ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(2)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Systemdateien
Warum System auf "C:" (29)

Frage von DzumoPRO zum Thema Windows Systemdateien ...

Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Cloud-Dienste
gelöst Bitcoins minen über Nacht? (16)

Frage von 1410640014 zum Thema Cloud-Dienste ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (16)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...