Nicht-Root-Benutzer

[viktor1980]

Hallo,

ich möchte eine Datei erstellen, um Nicht-root-Benutzern das Login in ein System zu verwehren.
Ich bin mir nicht sicher, aber nach meinen Recherchen ist immer vom Chroot die Rede.

Lösungsvorschlag: chroot VERZEICHNIS BEFEHL
Zum Beispiel : chroot /mnt/debian /bin/bash -i

Wenn ich richtig verstanden habe, habe ich eine Datei mit dem Namen ,,debian'' erzeugt, und die Möglichkeit einräumt, interaktives Shell benutzen zu dürfen?
https://wiki.ubuntuusers.de/chroot/
Also: In einem isolierten Bereich ,,debian'' kann ich Shell-Befehle ausführen, isoliert von Aussenwelt?

[fischig]

ich möchte eine Datei erstellen, um Nicht-root-Benutzern das Login in ein System zu verwehren.

Ich erinnere mich nicht, in vielen Jahren DF so einen Wunsch gelesen zu haben. Die einfachste Methode wäre gewesen, bei der Installation außer root keinen Benutzer anzulegen. Das kannst du nachholen, indem du sie sukzessive löschst.
chroot benutzt man, um sich als root in einem System anzumelden, in dem man eigentlich keine root-Rechte hat/in das man als root nicht (mehr) hineinkommt.
Warum man einem „eingetragenen“ Benutzer die Benutzung entziehen sollte, erschließt sich mir nicht. Ist das wieder so 'ne schräge Prüfungsaufgabe?

[viktor1980]

[MSfree]

chroot benutzt man, um sich als root in einem System anzumelden, in dem man eigentlich keine root-Rechte hat/in das man als root nicht (mehr) hineinkommt.

Nicht, daß hier ein falscher Eindruck entsteht, aber die Aussage ist komplett falsch. Das root in chroot hat überhaupt nichts mit dem Benutzer root zu tun, sondern mit dem Wurzelverzeichnis, (root directory) mit dem man den angegebenen Befehl ausführt.

Man führe dazu mal man chroot aus, vielleicht wird es dann ein wenig klarer.

[mludwig]

Ich empfehle die Lektüre von

Code: Alles auswählen

man 5 nologin

und zum testen

Code: Alles auswählen

touch /etc/nologin

[fischig]

Das root in chroot hat überhaupt nichts mit dem Benutzer root zu tun, sondern mit dem Wurzelverzeichnis, (root directory)

Das ist wohl so, insofern es das Wurzelverzeichnis betrifft, aber ich habe chroot noch nie anders benutzt, als um als root ein System zu betreten, in dem Root-Aufgaben zu erledigen waren und in dem ich das ohne chroot nicht konnte. Mir ist auch hier im DF nicht bekannt geworden, dass jemand zu anderen Zwecken „gechrootet“ hätte.

[MSfree]

...ich habe chroot noch nie anders benutzt, als um als root ein System zu betreten, in dem Root-Aufgaben zu erledigen waren und in dem ich das ohne chroot nicht konnte.

Der typische Anwendungsfall war wohl ein Rettungssystem zu booten, die nicht mehr bootende Festplatte zu mounten und dann mit chroot auf dem Mountpoint der Festplatte zu kommen.

Mir ist auch hier im DF nicht bekannt geworden, dass jemand zu anderen Zwecken „gechrootet“ hätte.

Serverprozesse läßt man gelegendlich in einer chroot-Umgebung laufen. Damit kann man z.B. /etc vor dem Serverprozeß "verstecken", was die Angriffsfläche auf den Server verringert. Im Grunde ist chroot der Urvater aller jails.

[fischig]

Das ich beim chrooten im „neuen“ Wurzelverzeichnis lande, war mir implizit schon klar. Sollte man explizieren, wenn man die Kenntnisse der „Gegenseite“ nicht kennt, insofern: Fehler meinerseits.

Serverprozesse läßt man gelegendlich in einer chroot-Umgebung laufen.

Und wer macht das, wenn er's macht?

Aber zur Erinnerung: wir werden OffTopic!

[mludwig]

Um wieder zum Thema zu kommen: nologin ist sinnvoll, um bei Wartungsarbeiten (Installation von Updates etc) die Nutzer vom System fernzuhalten. Auch unter Linux muss nach Updates mal ein Reboot gemacht werden, und hinterher kann man dann die /etc/nologin wieder entfernen.

Es gibt auch Systeme, die haben bei jedem Boot eine solche /etc/nologin - diese wird erst geloescht wenn der Bootprozess fertig ist und der Server die Anwender auch bedienen kann. Also alle Dienste, Datenbanken, Dateisysteme etc da sind.

[Livingston]

Code: Alles auswählen

#chsh -s /bin/false USERNAME

[viktor1980]

Danke.