Know How
Page tree

Wenn sie zu dieser Seite Bemerkungen haben klicken sie bitte hier: Kontaktformular

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Allgemeines

Die zur Zeit gängigste Methode anderen Benutzern Rechte an bestimmten Programmen zu gewähren ist das Kommando sudo.

Sicherheitsbedenken

Man sollte gewährleisten, dass der Benutzer tatsächlich nur das Programm ausführen kann, das man ihm auch gewährt hat.
Logisch, aber es gibt viele Hintertüren, durch die man dann weitere Rechte erlangen kann:

  • Sollte das Programm aus einem Shellscript bestehen, sollte man dem User das Recht nehmen, diese Datei zu ändern.
    Das bedeutet nicht nur die Schreibrechte entziehen, sondern auch das Eigentums- oder Gruppenrecht und die Datei sollte auch nicht in einem Verzeichnis stehen, worauf der Benutzer Eigentums- oder Gruppenrechte hat. In diesen Fällen könnte der User nämlich die vorhandene Datei löschen und einfach eine andere "unterschieben".
  • In dem gestarteten Programm werden die Rechte auch an weitere "kindprozesse" vererbt, also darf das Programm keine weiteren Prozesse öffnen dürfen.
    Beispiele:
    Der Editor vi kann über das Kommando 
    :!<Befehl>
    weitere Programme oder eine neue Shell starten. Gleiches gilt auch für die gängigsten Befehle zum seitenweisen Anzeigen von Textausgaben ("more", "less", "pg"). Diese haben auch nicht alle eine Option um das abzustellen.
  • Ähnlich funktioniert das auch mit Programmen, die einen Dateiexplorer oder einen "Mini-Explorer" in Form eines "Datei öffnen"- Dialogs verwenden.
    In diesem Explorer kann man dann mit root-Rechten Dateioperationen wie löschen, editieren etc. ausführen.

Einstellen der Zugriffrechte

Verschiedene Linux-Distributionen bieten grafische Oberflächen, Beispiel "SuSE => Yast", "Sicherheit"
Eine weitere Möglichkeit ist die manuelle Bearbeitung der Datei /etc/sudoers, aus der die Einstellungen des sudo gelesen werden.
Diese Datei kann man z.B. mit dem Kommando "visudo" ändern. Nach der Änderung wird die neue Einstellung direkt aktiviert und ggf. erfolgt eine Fehlermeldung.

Prinzipiell funktioniert die Einstellungen des sudo über

  • Benutzeralias (Ein oder mehrere User erhalten einen neuen Namen oder werden in einer Gruppe zusammengefasst)
  • Runas-Alias
  •  
  • No labels