Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Via sudoers-File Verzeichniszugriff limitieren

Frage Linux Debian

Mitglied: Birdie

Birdie (Level 1) - Jetzt verbinden

30.08.2012 um 10:43 Uhr, 2755 Aufrufe, 2 Kommentare

Guten Morgen liebe Admins,

ich hab ein - vermutlich unlösbares - Problem bezüglich des Einsatzes und der Konfiguration der /etc/sudoers File.

Zum Hintergrund der ganzen Geschichte:
Bestimmte Mitarbeiter sollen auf unseren Debian-Systemen rsync, mysql/mysqldump ausführen und im Bedarfsfall Verzeichnisänderungen vornehmen dürfen. Das klappt ja auch soweit alles via Einstellungen in der /etc/sudoers-Datei.

Jetzt hab ich aber das Problem, dass die Benutzer auf einen bestimmten Ordner nicht zugreifen dürfen, wenn sie sich vie SFTP (wir haben hier WinSCP dafür im Einsatz) auf den Server verbinden.
Nach einer kurzen Google-Suche fand ich heraus, dass man WinSCP beim Verbindungsaufbau mitgeben kann, sudo beim Verbindungsaufbau durchzuführen, also sudo /usr/lib/openssh/sftp-server. Soweit so gut, ich kann auf das vorher unzugängliche Verzeichnis zugreifen.

Nun gibt's aber ein neues Problem, da ich ja die SFTP-Verbindung als root aufbaue, darf ich bspw. auch Authorized Keys des root-Benutzers bearbeiten. Das kann sicherheitstechnisch natürlich nicht so bleiben.

Wie kann ich es nun also hinbekommen, dass ich mich via WinSCP auf den Server verbinden kann, aber bspw. keinen Zugriff auf das /etc Verzeichnis bekomme?

!Hinweis!: Die Verzeichnisberechtigungen sollen nicht geändert werden. Ich brauche quasi sowas in der Art:

MINIADMINS ALL = (root)NOPASSWD: /usr/lib/openssh/sftp-server, !/etc
(was ja so nicht funktioniert).

Bin für jeden Tipp dankbar

MfG
Birdie

Mitglied: nxclass
31.08.2012 um 08:43 Uhr
Bestimmte Mitarbeiter
wenn Du diesen Mitarbeitern nicht zutraust sorgsam mit root umgehen zu können, dann darfst Du ihnen auch kein root geben.

Für mysql / mysqldump brauch man keine root rechte auf dem System.
Für rsync könnte man einen cronjob anlegen, der die Daten sichert.

Ich würde den root Zugang nur einer Person geben - dann hat diese auch die Verantwortung.
Bitte warten ..
Mitglied: Birdie
31.08.2012 um 09:05 Uhr
Guten Morgen nxclass,

du hast natürlich prinzipiell Recht, mir wär's auch lieber wenn nur qualifizierte Mitarbeiter root-Rechte bekämen (war auch nicht meine Idee, aber ich soll es halt umsetzen).

Wollte auch sowieso den Thread nochmal updaten und schließen, da sich gestern rausgestellt hat, dass wir das jetzt alles komplett anders machen müssen, weil das Ganze unserem Datenschutzbeauftragten sauer aufgestoßen ist...

Abschließend kann man sagen, dass das "Problem", so wie es oben beschrieben wird, nicht gelöst werden kann. Die Berechtigungen auf Ordner kann man halt nur mit ACLs lösen und nicht über die /etc/sudoers...

MfG
Birdie
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Bandbreite limitieren
gelöst Frage von Jannis92LAN, WAN, Wireless7 Kommentare

Guten Abend, kennt jemand von euch ein Tool, welches künstlich die Bandbreite limitieren kann? Ziel ist es, die minimale ...

Windows Server
Anzahl der Domänenanmeldungen per User limitieren
gelöst Frage von wisebeerWindows Server10 Kommentare

Liebe KollegInnen! ich stehe vor dem Problem, dass sich viele SchülerInnen in unserem Netzwerk (auch WLAN) mit den gleichen ...

Windows Server
Temp-Files auf File Server
Frage von Junkyeight181Windows Server8 Kommentare

Hallo zusammen Ich habe einen Server mit dem Betriebssystem Windows Server 2012 Datacenter, welcher als Fileserver dient. Es sind ...

Batch & Shell
Wie kann man die Arbeitsspeichernutzung bei der Verwendung von PowerShell auf einen bestimmten Wert fixieren (limitieren)?
gelöst Frage von RippchenBatch & Shell5 Kommentare

Gibt es eine Möglichkeit die Verwendung des Arbeitsspeichers zu limitieren ? Ich benötige nämlich teilweise 38 GB Arbeitsspeicher (inkl. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...