[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Frage / Alternative zu who
[Thread Prev] | [Thread Next]
- Subject: Re: Frage / Alternative zu who
- From: "Raphael H. Becker" <Raphael.Becker@xxxxxx>
- Date: Sat, 19 Nov 2005 02:16:40 +0100
- To: uugrn@xxxxxxxxxxxxxxx
On Fri, Nov 18, 2005 at 02:42:18PM +0100, Alexander Dehoff wrote: > Ich moechte mir in die .bashrc von root (auf nem Webserver, auf dem 4 > Leute das root PW kennen) ein Kommando einstellen, das bei jedem Login > ein Mail verschickt, in dem steht von welchen account aus su gemacht > wurde. Unabhaengig von den anderen Hinweisen, wie das geloggt wird: Ich wuerde keine Root-Passwoerter vergeben, wenn es mehrere "root"-User gibt. Verwende statt "su" einfach "ssh root@localhost" und erlaube den RootLogin fuer keys. Dann traegst Du die public-keys der "Co-roots" in die "~/.ssh/authorized_keys" ein und verdonnerst sie dazu, ihre Schluessel mit Passphrase zu sichern. Auf diese Weise hat jeder Co-root sein eigenes root-Passwort. Oder Du legst diese Schluessel fuer die User an und gibst Passphrases vor, die sie dann aendern koennen. Die "authorized_keys"-Datei setzt Du dann auf "append-only", d.h. die Datei kann nur noch erweitert werden. Wenn Du Glueck hast, kennt niemand den Trick und kann keine vorhandenen Schluessel entfernen. Oder auf "immutable" (k.a. wie das in Linux heisst), dann ist die Datei gegen jegliche Veraenderung gesichert (solange niemand das Flag entfernen kann) Natuerlich hindert das nur unwissende Spielkinder daran, ihren Spieltrieb auszuleben, mit etwas Koennen gibt es keine Sicherheit. In FreeBSD kann man ueber SecureLevels das Zuruecksetzen von immutable-Flags auf Dateien verhindern, d.h. selbst mit root-Rechten bekommt man das dann nicht mehr weg, solange man nicht in einen "unsecure"-Modus (Standard) bootet. Evtl kennt Linux inzwischen auch solche root-Bremsen?!? Ansonsten, wenn die jeweiligen Admins nur ganz bestimmte Sachen erledigen koennen sollen, empfiehlt sich uU sudo. Aber entweder traegt man dann dort alles ein, was sie duerfen oder man erlaubt grossflaechiger zB das Starten von Shells ... nunja. MfG -- Raphael Becker http://rabe.uugrn.org/ http://schnitzelmitkartoffelsalat.und.rahmspin.at/ .........|.........|.........|.........|.........|.........|.........|..