mikrocontroller.net

Forum: PC Hard- und Software su deaktivieren


Autor: Mr. Pi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo zusammen,

kann mir einer von euch sagen wie ich einen bestimmten User den Zugang 
zu allen anderen Usern komplett sperren kann, das heißt es soll den User 
weder mit su noch mit sudo oder irgendwie anders möglich sein sich als 
root oder einen meiner anderen user anmelden zu können.


Für schnelle Antworten wäre ich sehr DANKBAR

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
hm, da würde ich eine Gruppe machen (in /etc/group eintragen oder
mit irgendeinem Tool nach Belieben, falls nicht schon eine
passende vorhanden ist; z.B. derdarfsu), dann mit:
chown root:derdarfsu /bin/su
chown root:derdarfsu /bin/sudo
die Kommandos dieser Gruppe zuordnen und mit
chmod 4750 /bin/su
chmod 4750 /bin/sudo
die Rechte auf -rwsr-xr-x setzen.
In /etc/group müssen dann noch alle Benutzer eingetragen werden,
die su machen dürfen, z.B.:
...
derdarfsu:x:4711:klaus,fritz,frieda
...

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
PS:
Das Ganze ist überflüssig, wenn nicht jeder von den anderen die 
Passwörter kennt.

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
PPS:
Die neuen Rechte werden erst nach dem nächsten Anmelden wirksam;
laufende Shells ändern ihre Gruppenzugehörigkeiten nicht mehr.
Notfalls mit Gewalt rauswerfen und zum Neuanmelden zwingen.

Autor: GGaasstt (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Passwörter ändern.
Ggf. Benutzer aus /etc/sudoers streichen.

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
PPPS:
Sehe gerade, daß sudo nicht in /bin liegt, sondern in /usr/bin.
Dementsprechend die Kommandos anpassen!
(su ist aber in /bin.)

Außerdem kann man das Gleiche auch noch mit /usr/bin/sudoedit machen.

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
GGaasstt schrieb:
> Ggf. Benutzer aus /etc/sudoers streichen.

das hilft m.W. nicht gegen su

Autor: Lukas K. (carrotindustries)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus Wachtler schrieb:
> GGaasstt schrieb:
>> Ggf. Benutzer aus /etc/sudoers streichen.
>
> das hilft m.W. nicht gegen su
Stimmt. Für su benötigt man aber das Root-Passwort, welches die Benutzer 
nicht kennen sollten.

Autor: Mr. Pi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Danke schon mal für den ersten Tipp, ich werde ihn gleich ausprobieren.

Klaus Wachtler schrieb:
> PS:
> Das Ganze ist überflüssig, wenn nicht jeder von den anderen die
> Passwörter kennt.
Nein, das Problem ist, das ich den besagten user für eine ssh Verbindung 
nutzen möchte und allen die Zugangsdaten für den remote user bekannt 
gebe also auch denjenigen welche lokal das Recht haben neue Software zu 
installieren, doch dieses soll remote ganicht möglich sein.

Doch trotzdem Danke dafür das du mitgedacht hast.

Autor: GGaasstt (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus Wachtler schrieb:
> GGaasstt schrieb:
>> Ggf. Benutzer aus /etc/sudoers streichen.
>
> das hilft m.W. nicht gegen su
Naja, falls die da als NOPASSWD drinstehen vielleicht schon... Wer weiß.

Autor: sudo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
in /etc/pam.d/... liegen viele Config-Files. Dort bei allen Sachen die 
der User nicht können soll ein

auth     required  pam_listfile.so item=user sense=deny 
file=/etc/depperl_users onerr=succeed

eintragen, neue Datei "/etc/depperl_users" mit dem User drinnen anlegen.

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Luk4s K. schrieb:
> Stimmt. Für su benötigt man aber das Root-Passwort, welches die Benutzer
> nicht kennen sollten.

Jein.
Das root-PW benötigt man, um mit su zu root zu wechseln.

Man kann mit su aber auch zu jedenm anderen Benutzer wechseln mit
dem entsprechenden PW (z.B. su -l klaus).

Autor: sudo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nachtrag:

Vermutlich brauchts bei den su-pam-Files ein "item=ruser" statt 
"item=user" da die Beschränkung auf den "Quell-User" und nicht den 
"Ziel-User" gelten soll.

Genaueres weiss "man pam_listfile"

Autor: Mr. Pi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
OK Danke Danke an euch alle,

hat geklappt.

Autor: sudo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mr. Pi schrieb:
> hat geklappt.

Und, welche Lösung hast du gewählt?

Bei der Chmod-Lösung dran denken dass die durch Updates, "Restore 
Permission"-Cronjobs oder ähnliches zurückgesetzt wird, also öfters mal 
kontrollieren.

Autor: Mr. Pi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
sudo schrieb:
> Mr. Pi schrieb:
>> hat geklappt.
>
> Und, welche Lösung hast du gewählt?
Die erste.
>
> Bei der Chmod-Lösung dran denken dass die durch Updates, "Restore
> Permission"-Cronjobs oder ähnliches zurückgesetzt wird, also öfters mal
> kontrollieren.
Vielen Danke für den Hinweis, da wird mir sicherlich noch eine Lösung 
einfallen.
Auf alle Fälle tuts im Moment so, wie ich es wollte.

Danke noch mal an alle.

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Klaus Wachtler schrieb:
> ... die Rechte auf -rwsr-xr-x setzen.
Korrektur: mit dem chmod ergibt sich -rwsr-x---
Das Kommando stimmt aber.

Autor: Bastler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jetzt weiss ich auch, warum nur Intelligente mental Linux zu 
verinnerlichen in der Lage sind....

Autor: Klaus Wachtler (mfgkw)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wieso? Steht doch alles in den man pages...

Autor: Jörg Wunsch (dl8dtl) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mr. Pi schrieb:

> Nein, das Problem ist, das ich den besagten user für eine ssh Verbindung
> nutzen möchte und allen die Zugangsdaten für den remote user bekannt

Verstehe ich noch nicht ganz.  Nun können deine Nutzer kein `su' mehr
machen, aber sie können ssh user@localhost machen und haben den
gleichen Effekt, oder habe ich das falsch verstanden?

Davon abgesehen kann man eine ssh komplett ohne Passwort realisieren,
indem man nur schlüsselbasierte Authentisierung zulässt.  Dann gibt's
auch kein Passwort, das man bei `su' benutzen könnte.  Außerdem kann
man sogar jedem der Berechtigten ein eigenes Schlüsselpaar generieren,
damit lassen sich auch einzelne Nutzer später wieder ,,abklemmen''.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.