root den Zugriff auf Daten verweigern

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
tobb
Beiträge: 1032
Registriert: 27.01.2006 17:48:13

root den Zugriff auf Daten verweigern

Beitrag von tobb » 09.08.2006 18:40:30

Hallo,

kann man bestimmte Dateien und Verzeichnisse vor dem Zugriff von root schützen?
Also so, dass nur der Besitzer und sonst absolut niemand in das Verzeichniss gehen kann, oder eine bestimmte Datei ausführen kann?
Nach oben
Benutzeravatar
meandtheshell
Beiträge: 4054
Registriert: 14.01.2005 17:51:30

Beitrag von meandtheshell » 09.08.2006 18:45:22

Short answer:
Nein - root ist root - root ist Macht - root ist Herrschaft - root ist Verantwortung - root ist Anfang und Ende - root ist Leben - root ist Daumen hoch oder Daumen nach unten ...

markus
Nach oben
Benutzeravatar
neuss
Beiträge: 2165
Registriert: 06.11.2004 17:56:02
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von neuss » 09.08.2006 18:46:03

Nein,

Du könntest die Daten natürlich verschlüsseln, root könnte sie dann aber immer noch löschen.

edit: da war meandtheshell schneller und radikaler als ich :)

gruss neuss
stell dir vor, es geht, und keiner kriegt es hin.
Nach oben
DeletedUserReAsG

Beitrag von DeletedUserReAsG » 09.08.2006 19:35:37

Du kannst mal nach den Security-Patches schauen, irgend eines war dabei, mit dem man auch root einschränken konnte. Kann grsecurity gewesen sein.

cu
Nach oben
Benutzeravatar
frosch
Beiträge: 137
Registriert: 20.08.2005 02:59:24

Beitrag von frosch » 09.08.2006 19:42:21

Oder Wechseldatenträger benutzen.
Geht aber auch nur soweit root es erlaubt :P
Nach oben
Benutzeravatar
Master Mayhem
Beiträge: 582
Registriert: 04.04.2004 00:04:46
Lizenz eigener Beiträge: neue BSD Lizenz

Beitrag von Master Mayhem » 09.08.2006 20:10:24

Nabend!

Hab leider keinen link oder namen, aber hab im linux magazin mal von nem mailserver/groupware gelesen, der neben root nen revisor hatte. root durfte nix an den mails machen (weder lesen, noch löschen oder sonstwas) und der revisor durfte nur genau das was root nicht durfte - macht aus Datenschutzgründen gerade bei nem Mailserver Sinn.

War nen kommerzielles Produkt, dass auf nem Linux aufgesetzt war (ich glaub man musste sogar die Hardware mitkaufen).

Unmöglich ist es also nicht und durchaus auch Sinnvoll.

mfg tyler
Nach oben
Benutzeravatar
meandtheshell
Beiträge: 4054
Registriert: 14.01.2005 17:51:30

Beitrag von meandtheshell » 09.08.2006 21:00:22

Auf einem Standard konformen POSIX System ist der User root die oberste Instanz. Bei
- grsecurity
- Selinux
- Linux-VServer
- etc.
handelt es sich um Isolierte Kontexte in denen es wohl einen "root" geben kann. Dieser root hat aber nur in diesem Kontext root Rechte und nicht auf dem Host System. Auch MTA Geschichten mit revisor und root etc. usw. sind mittels Isolierten Kontexten gemacht.

Man stelle sich das so vor:
  1. Der Normalfall ist das man ein POSIX System hat auf dem es einen root gibt - dieser ist die oberste Instanz und darf alles. Das ganze System mit allen Usern läuft im gleichen Kontext. Innerhalb diese Kontext ist root was er ist.
  2. Virtualisierungslösungen haben meist einen Haupkontext und n Subkontexte (wobei n eine natürliche Zahl ist). Im Hauptkontext gibt es nach wie vor den root - Herrscher über alle Kontexte. Jeder Subkontext kann aber wie ein eigenes POSIX System mit allen daraus abgeleiteten Folgen gesehen werden - also auch ein root der für diesen einen Kontext der root ist aber nicht über dem root am Host System steht sondern eine Ebene darunter. Auf diese Art und Weise ist es möglich auch den root User (der root am Hostsystem jenen in einem der Subkontexte) in seinen Rechten zu beschneiden - sonst nicht.

Code: Alles auswählen

                             Hauptkontext (host root)
                                               | 
Subkontext 0-n mit je einem eigene root NUR FÜR DIESEN  einen Kontext
markus
Nach oben
Antworten

Zurück zu „Einstiegsfragen“