Hallo Leute,
ich habe kein Problem. Mehr eine Frage.
Ich möchte, dass sich keiner auf der Konsole als root einloggen kann. Es soll dann eine Meldung kommen, dass das nicht erlaubt ist.
Einige meiner User sollen das Recht bekommen mittels "su" (nachdem sie sich mit ihrem Useraccount eingeloggt haben) nachträglich root zu werden. Wie und wo muss ich das einstellen, dass sowas möglich ist?
Ich weiß, dass das sicher ne schwere Frage ist. Aber sowas sollte doch möglich sein, oder?
Danke im Voraus,
Reo
PS: Ich bin Linux-Anfänger, darum bitte nicht zu viel als Wissen voraussetzen. Danke.
Kein Login als root erlauben
Ich glaube nicht dass es möglich ist sich nicht als Root anzumelden (wenn man das Passwort weiss)
Wer das Root Passwort hat kann mit su auch root weden (das ist doch unabhängig vom Benutzer der su verwenden will).
Was macht es für einen Sinn sich nicht als Root anmelden zu können aber su dennnoch zu benuzen?
Gruss
Steve
Wer das Root Passwort hat kann mit su auch root weden (das ist doch unabhängig vom Benutzer der su verwenden will).
Was macht es für einen Sinn sich nicht als Root anmelden zu können aber su dennnoch zu benuzen?
Gruss
Steve
Zuletzt geändert von rksteve am 29.10.2004 16:59:38, insgesamt 1-mal geändert.
Dann solltest Du besser mit `sudo' arbeiten, statt mit `su'. Auf die Art musst Du auch nicht Dein root-Passwort jedem verraten.
Hier mal ein paar Links zum Thema. Googlen hilft...
http://ww2.fs.ei.tum.de/admin/howto/sel ... udo-steps/
http://www.linux-user.de/ausgabe/2002/0 ... /sudo.html
http://www.linux-user.de/ausgabe/2004/02/080-zubefehl/
Hier mal ein paar Links zum Thema. Googlen hilft...
http://ww2.fs.ei.tum.de/admin/howto/sel ... udo-steps/
http://www.linux-user.de/ausgabe/2002/0 ... /sudo.html
http://www.linux-user.de/ausgabe/2004/02/080-zubefehl/
May the source be with you...
Hallo,
erstmal danke für eure Tipps.
Also was das soll: Wir hatten das System mal "auf der Arbeit". Da war ich aber nicht Admin. Da war ich nur ein Anfänger, aber ich fand das System richtig gut.
Das Root-Passwort wird natürlich niemandem weitergegeben, aber selbst wenn es wirklich mal wer hat, so bringt es demjenigen nichts.
Denn er muss sich erst einloggen und dann "su" aufrufen. So war das bei uns. Und dieses "su" ging nur für spezielle User mit den Rechten dafür. Fragt mich nicht, wie der Admin es gemacht hat. Aber das war wirklich gut so.
Wenn ihr meint, dass das keinen Sinn macht, dann lass ich es einfach so, wie es ist. Aber ich wollte es schon gerne so machen. Das muss ja auch gehen, weil es bei uns ja auch geht. Ich weiß nur nicht, ob der Admin das irgendwie "einfach eingerichtet" hat oder aber er auch ziemlich viel dafür einzustellen hatte. Zu viel Aufwand lohnt sich für diese Sache nicht.
OK, dann nochmal danke. Schaue mir nochmal die Links an, die mir labor78 geschickt hat.
Danke dafür.
erstmal danke für eure Tipps.
Also was das soll: Wir hatten das System mal "auf der Arbeit". Da war ich aber nicht Admin. Da war ich nur ein Anfänger, aber ich fand das System richtig gut.
Das Root-Passwort wird natürlich niemandem weitergegeben, aber selbst wenn es wirklich mal wer hat, so bringt es demjenigen nichts.
Denn er muss sich erst einloggen und dann "su" aufrufen. So war das bei uns. Und dieses "su" ging nur für spezielle User mit den Rechten dafür. Fragt mich nicht, wie der Admin es gemacht hat. Aber das war wirklich gut so.
Wenn ihr meint, dass das keinen Sinn macht, dann lass ich es einfach so, wie es ist. Aber ich wollte es schon gerne so machen. Das muss ja auch gehen, weil es bei uns ja auch geht. Ich weiß nur nicht, ob der Admin das irgendwie "einfach eingerichtet" hat oder aber er auch ziemlich viel dafür einzustellen hatte. Zu viel Aufwand lohnt sich für diese Sache nicht.
OK, dann nochmal danke. Schaue mir nochmal die Links an, die mir labor78 geschickt hat.
Danke dafür.
Mhhh ich tippe mal auf der Arbeit hattet ihr ein BSD in Betrieb. z.B. in NetBSD können sich nur user der gruppe wheel zu root machen. Der Umweg über den User hat den Vorteil, daß man nachvollziehen kann, wer Änderungen vorgenommen hat.
Bei Problemen kommt man über den Single-User-Modus an alles dran.
Bei Problemen kommt man über den Single-User-Modus an alles dran.
SID on IBM T42p kernel 2.6.14.5 ati-8.20.8
-
matze-peng
- Beiträge: 242
- Registriert: 03.01.2004 19:22:59
- Wohnort: Dresden
-
Kontaktdaten:
huhu
bei meinem freebsd gibt es diese datei
keine ahnung ob das auch bei debian so funktioniert. jedenfalls erklaert das erstmal wie der admin es gemacht haben koennte, dass ueberhaupt niemand sich direkt als root anmelden kann.
das limitieren von su geht einfacherweise mit den unixoiden dateirechten. wieder beispiel freebsd:
ausfuehren duerfen also nur root und alle mitglieder der gruppe wheel.
und mehr wird euer admin da nicht gemacht haben. vielleicht hat slackware da auch eine aehnliche base-config wie die bsd's...
mfg
matze
bei meinem freebsd gibt es diese datei
Code: Alles auswählen
cat /etc/login.access
# $FreeBSD: src/etc/login.access,v 1.4 2004/06/06 11:46:27 schweikh Exp $
#
# Login access control table.
#
# When someone logs in, the table is scanned for the first entry that
# matches the (user, host) combination, or, in case of non-networked
# logins, the first entry that matches the (user, tty) combination. The
# permissions field of that table entry determines whether the login will
# be accepted or refused.
#
# Format of the login access control table is three fields separated by a
# ":" character:
#
# permission : users : origins
#
# The first field should be a "+" (access granted) or "-" (access denied)
# character. The second field should be a list of one or more login names,
# group names, or ALL (always matches). The third field should be a list
# of one or more tty names (for non-networked logins), host names, domain
# names (begin with "."), host addresses, internet network numbers (end
# with "."), ALL (always matches) or LOCAL (matches any string that does
# not contain a "." character). If you run NIS you can use @netgroupname
# in host or user patterns.
#
# The EXCEPT operator makes it possible to write very compact rules.
#
# The group file is searched only when a name does not match that of the
# logged-in user. Only groups are matched in which users are explicitly
# listed: the program does not look at a user's primary group id value.
#
##############################################################################
#
# Disallow console logins to all but a few accounts.
#
#-:ALL EXCEPT wheel shutdown sync:console
#
# Disallow non-local logins to privileged accounts (group wheel).
#
#-:wheel:ALL EXCEPT LOCAL .win.tue.nl
#
# Some accounts are not allowed to login from anywhere:
#
#-:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL
#
# All other accounts are allowed to login from anywhere.
#das limitieren von su geht einfacherweise mit den unixoiden dateirechten. wieder beispiel freebsd:
Code: Alles auswählen
ls -l /usr/bin | grep su
...
-r-sr-xr-x 1 root wheel 14284 Oct 29 21:02 su
..
und mehr wird euer admin da nicht gemacht haben. vielleicht hat slackware da auch eine aehnliche base-config wie die bsd's...
mfg
matze
- Ein weiser Mann widerspricht seiner Frau nicht. Er wartet bis sie es selbst tut. -
Das sieht schonmal sehr gut aus.
Ich werde mal schauen, ob das bei Debian auch möglich ist. Das mit dem su sollte ja kein Problem sein. Eben einfach ne Gruppe erstellen (kann ja auch anders als wheel heißen). Rechte von SU auf die Gruppe und den root setzen und dann einfach die User die dürfen in die neue Gruppe setzen.
Jetzt muss ich nur noch schauen, wie ich den Login als "root" unterbinden kann. Aber dafür hast Du ja nen Hinweis gegeben. Jetzt muss ich das mal checken.
Vielen Dank auf jeden Fall für die Info.
Ich werde mal schauen, ob das bei Debian auch möglich ist. Das mit dem su sollte ja kein Problem sein. Eben einfach ne Gruppe erstellen (kann ja auch anders als wheel heißen). Rechte von SU auf die Gruppe und den root setzen und dann einfach die User die dürfen in die neue Gruppe setzen.
Jetzt muss ich nur noch schauen, wie ich den Login als "root" unterbinden kann. Aber dafür hast Du ja nen Hinweis gegeben. Jetzt muss ich das mal checken.
Vielen Dank auf jeden Fall für die Info.