Moin, > "t.gohde@posteo.de" t.gohde@posteo.de – 20. Juli 2021 09:11 fragte: ... > > wie könnte man einem eigenen Benutzer Leserechte auf ein Verzeichnis > > geben? > > > > Konkret geht es um eine Person (eigener Shellaccount), die sich nur die > > Logfiles (alles in /var/log/) ansehen soll, aber nicht mit root-Rechten > > am System herumfummeln soll Jörn Peter Böning schrieb am Dienstag, den 20.07.2021 um 07:37: > ja, das geht. ... An dieser Stelle fühle ich mich verpflichtet einen Warn-Hinweis zu geben: Es kann passieren, dass einzelne Logfiles Informationen enthalten, die sich für eine sogenannte „Privileg-Eskalation“ eignen. Wenn also die Person, die Leserechte auf „/var/log“ erhalten soll, „nicht mit root-Rechten am System herumfummeln“ können soll, dann müssten alle Logfiles vorher so gefiltert werden, dass darin keine Daten mehr ersichtlich sind, die sich für das unberechtigte Erlangen von root-Rechten mißbrauchen lassen. Das wird in der Praxis kaum 100%-tig machbar sein. Es wird ein Restrisiko bleiben. Liebe Grüße, Peter Funk -- Peter Funk ✉:Oldenburger Str.86, 27777 Ganderkesee, Germany; 📱:+49-179-640-8878 homeoffice ☎:+49-4222-950270 office ✉: ArtCom GmbH, Haferwende 2, D-28357 Bremen, Germany; ☎:+49-421-20419-0
Attachment:
signature.asc
Description: Digital signature