Moin,
"t.gohde@posteo.de" t.gohde@posteo.de – 20. Juli 2021 09:11 fragte:
...
> wie könnte man einem eigenen Benutzer Leserechte auf ein Verzeichnis
> geben?
>
> Konkret geht es um eine Person (eigener Shellaccount), die sich nur die
> Logfiles (alles in /var/log/) ansehen soll, aber nicht mit root-Rechten
> am System herumfummeln soll
Jörn Peter Böning schrieb am Dienstag, den 20.07.2021 um 07:37:
ja, das geht.
...
An dieser Stelle fühle ich mich verpflichtet einen Warn-Hinweis zu
geben:
Es kann passieren, dass einzelne Logfiles Informationen enthalten,
die sich für eine sogenannte „Privileg-Eskalation“ eignen.
Wenn also die Person, die Leserechte auf „/var/log“ erhalten soll,
„nicht mit root-Rechten am System herumfummeln“ können soll,
dann müssten alle Logfiles vorher so gefiltert werden, dass darin
keine Daten mehr ersichtlich sind, die sich für das unberechtigte
Erlangen von root-Rechten mißbrauchen lassen. Das wird in der Praxis
kaum 100%-tig machbar sein. Es wird ein Restrisiko bleiben.
Liebe Grüße, Peter Funk