Hallo zusammen, kann mir einer von euch sagen wie ich einen bestimmten User den Zugang zu allen anderen Usern komplett sperren kann, das heißt es soll den User weder mit su noch mit sudo oder irgendwie anders möglich sein sich als root oder einen meiner anderen user anmelden zu können. Für schnelle Antworten wäre ich sehr DANKBAR
hm, da würde ich eine Gruppe machen (in /etc/group eintragen oder mit irgendeinem Tool nach Belieben, falls nicht schon eine passende vorhanden ist; z.B. derdarfsu), dann mit:
1 | chown root:derdarfsu /bin/su |
2 | chown root:derdarfsu /bin/sudo |
die Kommandos dieser Gruppe zuordnen und mit
1 | chmod 4750 /bin/su |
2 | chmod 4750 /bin/sudo |
die Rechte auf -rwsr-xr-x setzen. In /etc/group müssen dann noch alle Benutzer eingetragen werden, die su machen dürfen, z.B.:
1 | ... |
2 | derdarfsu:x:4711:klaus,fritz,frieda |
3 | ... |
PS: Das Ganze ist überflüssig, wenn nicht jeder von den anderen die Passwörter kennt.
PPS: Die neuen Rechte werden erst nach dem nächsten Anmelden wirksam; laufende Shells ändern ihre Gruppenzugehörigkeiten nicht mehr. Notfalls mit Gewalt rauswerfen und zum Neuanmelden zwingen.
PPPS: Sehe gerade, daß sudo nicht in /bin liegt, sondern in /usr/bin. Dementsprechend die Kommandos anpassen! (su ist aber in /bin.) Außerdem kann man das Gleiche auch noch mit /usr/bin/sudoedit machen.
Klaus Wachtler schrieb: > GGaasstt schrieb: >> Ggf. Benutzer aus /etc/sudoers streichen. > > das hilft m.W. nicht gegen su Stimmt. Für su benötigt man aber das Root-Passwort, welches die Benutzer nicht kennen sollten.
Danke schon mal für den ersten Tipp, ich werde ihn gleich ausprobieren. Klaus Wachtler schrieb: > PS: > Das Ganze ist überflüssig, wenn nicht jeder von den anderen die > Passwörter kennt. Nein, das Problem ist, das ich den besagten user für eine ssh Verbindung nutzen möchte und allen die Zugangsdaten für den remote user bekannt gebe also auch denjenigen welche lokal das Recht haben neue Software zu installieren, doch dieses soll remote ganicht möglich sein. Doch trotzdem Danke dafür das du mitgedacht hast.
Klaus Wachtler schrieb: > GGaasstt schrieb: >> Ggf. Benutzer aus /etc/sudoers streichen. > > das hilft m.W. nicht gegen su Naja, falls die da als NOPASSWD drinstehen vielleicht schon... Wer weiß.
in /etc/pam.d/... liegen viele Config-Files. Dort bei allen Sachen die der User nicht können soll ein auth required pam_listfile.so item=user sense=deny file=/etc/depperl_users onerr=succeed eintragen, neue Datei "/etc/depperl_users" mit dem User drinnen anlegen.
Luk4s K. schrieb: > Stimmt. Für su benötigt man aber das Root-Passwort, welches die Benutzer > nicht kennen sollten. Jein. Das root-PW benötigt man, um mit su zu root zu wechseln. Man kann mit su aber auch zu jedenm anderen Benutzer wechseln mit dem entsprechenden PW (z.B. su -l klaus).
Nachtrag: Vermutlich brauchts bei den su-pam-Files ein "item=ruser" statt "item=user" da die Beschränkung auf den "Quell-User" und nicht den "Ziel-User" gelten soll. Genaueres weiss "man pam_listfile"
Mr. Pi schrieb: > hat geklappt. Und, welche Lösung hast du gewählt? Bei der Chmod-Lösung dran denken dass die durch Updates, "Restore Permission"-Cronjobs oder ähnliches zurückgesetzt wird, also öfters mal kontrollieren.
sudo schrieb: > Mr. Pi schrieb: >> hat geklappt. > > Und, welche Lösung hast du gewählt? Die erste. > > Bei der Chmod-Lösung dran denken dass die durch Updates, "Restore > Permission"-Cronjobs oder ähnliches zurückgesetzt wird, also öfters mal > kontrollieren. Vielen Danke für den Hinweis, da wird mir sicherlich noch eine Lösung einfallen. Auf alle Fälle tuts im Moment so, wie ich es wollte. Danke noch mal an alle.
Klaus Wachtler schrieb: > ... die Rechte auf -rwsr-xr-x setzen. Korrektur: mit dem chmod ergibt sich -rwsr-x--- Das Kommando stimmt aber.
Jetzt weiss ich auch, warum nur Intelligente mental Linux zu verinnerlichen in der Lage sind....
Mr. Pi schrieb: > Nein, das Problem ist, das ich den besagten user für eine ssh Verbindung > nutzen möchte und allen die Zugangsdaten für den remote user bekannt Verstehe ich noch nicht ganz. Nun können deine Nutzer kein `su' mehr machen, aber sie können ssh user@localhost machen und haben den gleichen Effekt, oder habe ich das falsch verstanden? Davon abgesehen kann man eine ssh komplett ohne Passwort realisieren, indem man nur schlüsselbasierte Authentisierung zulässt. Dann gibt's auch kein Passwort, das man bei `su' benutzen könnte. Außerdem kann man sogar jedem der Berechtigten ein eigenes Schlüsselpaar generieren, damit lassen sich auch einzelne Nutzer später wieder ,,abklemmen''.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.