Re: Fragen zur Linux-Sicherheit
Hallo Björn Keil, hallo auch an alle anderen
Mittwoch 11 Juli 2007 - Björn Keil wrote:
> On Wed, 11 Jul 2007 13:44:57 +0200, Matthias Houdek <linux@houdek.de>
wrote:
> > Kurz: Eine Zeile "<Normaluser> ALL=(ALL) ALL", evtl. sogar noch mit
> > der Option NOPASSWD gehört nicht in die /etc/sudoers.
>
> Aber was willst Du dann noch erlauben? Wenn ich zum Beispiel aptitude
> erlaube reicht das um mit dem System zu machen, was immer man will.
> Und aptitude ist auf Debian basierten Systemen (inkl. (K)ubuntu und
> Knoppix) nun mal ein sehr wahrscheinlicher Kandidat.
2 Varianten:
1. root ist root und bleibt root - und nur root darf das System
administrieren.
2. root ist "tot" und bleibt "tot" - und ein anderer User, der dann der
Admin ist, darf das System verwalten. Dann ist es auch kein Problem,
diesem ein 'admin ALL=(ALL) ALL' in die /etc/sudoers einzutragen und
natürlich ist dieser Account zu behandeln wie ein root-Account.
Ansonsten sollte sudo wirklich nur für ausgewählte User und ausgewählte
Programme (z.B. das Stoppen und/oder Starten ausgewählter Dienste, die
Änderung von Netzwerkeinstellungen o ä.) eingesetzt werden. Und auch da
nur mit Passwort, damit er merkt, dass er jetzt etwas Grundlegendes
verändert und es sich noch einmal überlegen kann. ;-)
Aptitude gehört IMHO nicht dazu, bestenfalls die Systemaktualisierung.
Die (De-)Installation von Programmen auf dem System bleibt dem Admin
vorbehalten, der User darf max. in seinem Userbereich werkeln.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: