Re: admin-account
Ruediger Noack <ernohl@yahoo.de> wrote:
> Sven Hartge wrote:
>> Ich schotte alles zueinander ab. mail2news hat einen eigenen User mit
>> minimalen Rechten, der Backup-User ist minimal berechtigt, der User, mit
>> Sourcen kompiliert werden kann schon gar nichts kaputt machen.
> Und Du bist unfehlbar und so schizophren, dass Du all diese User
> 100%ig trennen kannst?
Da ich nie als etwas anders als mein normaler User eingelogt bin: Ja.
Ich weiß ja nicht, was du machst, ich administriere Rechner in
produktiven Umgebungen und keine Spielzeuge. (Natürlich behandele ich
meine eigenen Rechnern nach den gleichen Maximen.)
> Du glaubst von Dir, alle Eventualitäten bedacht zu haben und Dich nur
> davor schützen zu müssen? Gute Nacht!
Hallo? Ich mache meinen Job nach bestem Wissen und Gewissen und das
schon viele Jahre lang, ohne das bisher ein größeres Problem aufgetaucht
ist.
Anderen sogenannten "Admins" werden die Server unter den Fingern
weggehackt, das ist mir noch niemals passieren.
> Du musst gegen "kaputt machen" soundso Vorsorge treffen, also tu Dir
> den Gefallen und sieh das ein, um Dich dann effektiv zu schützen.
Sage mal, was willst du mir eigentlich erzählen?
Als $user kann ich gerade mal mein /home/$user löschen, mehr aber nicht.
Da ich nicht als root arbeite, ist mein System von eigenem Versagen so
gut als möglich geschützt.
Mein BIND läuft in einem chroot, der squid hat seinen eigenen User, der
apache pro virtuellem Host auch, FTP gibt es nicht, User mit
Upload-Berechtigungen machen das mit scp oder sftp, die Shell, die dem
zugrunde liegt, steht auch in einem chroot und erlaubt nur "ls".
> Lerne mit Bedacht und ohne Stress den Umgang als root und den damit
> verbundenen "Gefahren", um in Notsituation (in denen Du root sein
> *wirst*) und dem damit verbundenen Stress genügend Erfahrung damit
> hast! admin=root und nur root!
Wo behaupte ich etwas anderes?
Lies einmal http://www.dcoul.de/infos/alle_macht_dem_user.html
> Der Universaluser (obwohl ich das nie behauptet habe!) wäre immer noch
> sicherer, als ein user für ls, einer für ps, einer für cd, ... (um es
> etwas zu übertreiben!), Du könntest *nie* den Überblick behalten und
> der Schuss geht garantiert nach hinten los. Außer natürlich, Du bist
> *das* unfehlbare Genie.
Ich sehe schon, du hast gar nicht kapiert, was ich sagen will oder worum
es eigentlich geht.
> Ich rede einzig und allein vom admin, nicht vom user mail, user
> backup, ... (Ein Blick in die passwd hat mich gerade erbleichen
> lassen: Alles user mit login-shell! Selbst uucp!)
Und alles User, die sich nicht von aussen einloggen können, sondern nur
via su.
> Es wäre wahrscheinlich nützlich, wenn Du aus Deinem Schneckenhaus kommst
> und Dich mal im realen Leben umsiehst.
Hä? Sind wir jetzt auf dem Soziologenkongress, oder was?
> Wenn überhaupt, hatte ich eine Diskussion mit vernünftigen Argumenten
> erwartet bzw. eine vernünftige Erklärung. Aber nicht eine
> Phrasendrescherei von jemand, der von sich denkt, die alleinige
> Wahrheit gepachtet zu haben und nicht in der Lage ist, über den
> Tellerrand zu blicken.
root hat keine Mail zu bekommen und auf allen mir bekannten Unicen ist
das so der Fall. Installiere Solaris und du wirst nach einem User für
die Mails an root gefragt. Installiere HP-UX und dir wird die gleiche
Frage begegnen.
> All die sysadmins in der Welt, ob HP, Sun, IBM, ..., die ich persönlich,
> aus Foren oder aus Beiträgen "kenne", sind Trottel?
Wo ist eigentlich dein Problem? Du fragstm warum ein User die Mails
erhält, wir sagen dir, das du das so eingestellt hast und das dies ein
Sicherheitsfeature ist und du philosophierst über das Echte Leben.
S°
--
Fachbegriffe der Informatik - Einfach erklärt
43: Java
Internetcafe (Peter Berlich)
Reply to: