Re: Shell-Account für /var/log/ ansehen

[t.gohde@posteo.de]

Super, die "adm" Gruppe, war genau das was ich suchte!

Der Hinweis auf dadurch entstehende weitere Angriffsflächen ist auch 
gut!
Der zusätzliche SSH Daemon mit dem bind-mount schützt vielleicht auch 
gegen kriminelle Energie, die ich meinem Fall nicht sehe.

Vielen Dank!
 T. Gohde

Am 20.07.2021 13:38 schrieb Peter Funk:
> Moin,
>
> > "t.gohde@posteo.de" t.gohde@posteo.de – 20. Juli 2021 09:11 fragte:
> ...
> > > wie könnte man einem eigenen Benutzer Leserechte auf ein Verzeichnis 
> > > geben?
> > >
> > > Konkret geht es um eine Person (eigener Shellaccount), die sich nur die 
> > > Logfiles (alles in /var/log/) ansehen soll, aber nicht mit root-Rechten 
> > > am System herumfummeln soll
>
> Jörn Peter Böning schrieb am Dienstag, den 20.07.2021 um 07:37:
> > ja, das geht.
> ...
>
> An dieser Stelle fühle ich mich verpflichtet einen Warn-Hinweis zu 
> geben:
>
> Es kann passieren, dass einzelne Logfiles Informationen enthalten,
> die sich für eine sogenannte „Privileg-Eskalation“ eignen.
>
> Wenn also die Person, die Leserechte auf „/var/log“ erhalten soll,
> „nicht mit root-Rechten am System herumfummeln“ können soll,
> dann müssten alle Logfiles vorher so gefiltert werden, dass darin
> keine Daten mehr ersichtlich sind, die sich für das unberechtigte
> Erlangen von root-Rechten mißbrauchen lassen.  Das wird in der Praxis
> kaum 100%-tig machbar sein.  Es wird ein Restrisiko bleiben.
>
> Liebe Grüße, Peter Funk