Debian 10, einem User alle Rechte wegnehmen?
Guten Tag,
Gibt es eine Möglichkeit, einem User alle Rechte (bis auf su) wegzunehmen? Also keine Befehle mehr ausführen (ausser su) und keine Dateien lesen / schreiben / ausführen?
Ein Login via SSH sollte jedoch mit dem User noch möglich sein.
5 Antworten
Hallo
Gibt es eine Möglichkeit, einem User alle Rechte (bis auf su) wegzunehmen?
- Alles was nicht ausdrücklich verboten ist, ist erlaubt. So kann er ja nichts außerhalb seines /home/user sowieso nichts mchen
- Wenn er root werden kann, dann kann er alle Einstellungen wieder ändern.
Wo bitte ist da der Sinn?
Erkläre doch lieber mal was genau Du vorhast, eventuell ergibt es dann ein ganz anderes Bild als das was Du gerade vermittelst.
Ein Login via SSH sollte jedoch mit dem User noch möglich sein.
Auf dem Rechner wo er nichts machen darf soll er sich einloggen können - Das kann er ohne Probleme und hat mit den dortigen Rechteeinstellungen nichts zu tun, die gelten egal ob er direkt am Rechner sitzt oder per ssh oder ftp drauf ist.
Linuxhase
Damit er sich zu root ummelden kann, muss er erst noch das Passwort eingeben
Deine Vorgabe lautet ja das er su ausführen können soll. Was soll er mit su wenn er das Passwort nicht kennt?
Außerdem bedeutet su nur dann root wenn kein anderer Benutzername angegeben wird.
also kann er diese Einstellungen nicht einfach so ändern.
Wenn er das root Passwort kennt kann er alles tun.
Der Nutzer wird nur dazu benutzt, sich mit dem Server zu verbinden und sich dann als Root anzumelden, da direktes Root Login deaktiviert ist.
Das ist ja schön und gut und auch richtig, aber wieso soll er dann sonst nichts können, ein unterprivilegierter Benutzer kann das System nicht beschädigen, also welche Bedenken hast Du wenn er seine "normalen" Rechte hat?
Linuxhase
Der Nutzer wird nur dazu benutzt, sich mit dem Server zu verbinden und sich dann als Root anzumelden, da direktes Root Login deaktiviert ist.
Also sollte man es erst mit diesem User tun und dann mit su zu Root wechseln.
So wie ich das verstanden habe, möchtest du, dass der User nach erfolgreicher ssh-Verbindung vom Server mit der Passwort Abfrage von su konfrontiert wird, bevor er irgendwas anderes machen kann.
Das kannst du erreichen indem du in der sshd_config des Servers
ForceCommand su [USER]
benutzt ([USER] ersetzen oder leer lassen für root).
Nach einem Neustart von ssh wird das Passwort verlangt, bei richtiger Eingabe landet man in einer Shell, bei falscher wird die Verbindung beendet.
das ist o.k. löst aber nicht sein "Problem" . Wenn er so schnell zu root geworden ist, genügt schon wieder su <ich> und er hat wieder seine alte Umgebung.
Klar, als root darfst du sowieso Alles.
Im Prinzip wäre es eine zusätzliche Hürde, nur wer den Key/Passwort für die ssh-Verbindung kennt und das root-Passwort (bei "nur" su) bekommt eine Shell.
du willst, dass ein User mit seiner eigenen ID nicht mehr machen darf, dafür soll er dann Superuser werden können, wo er alles, aber auch alles machen darf.
Entschuldige bitte, ist das nicht schwachsinnig?
Zugriffsrechte sind in unixoiden Systemen anders angelegt. Ein User darf all das machen, was nicht verboten ist.
Andere, denen die Dateien gehören, müssen die Rechte so einstellen, dass dieser User sie nicht lesen, schreiben und ausführen darf.
Du müsstest alle ausführbaren Dateien das Ausführungsrecht für "world" entziehen und diesen User auch in eine Gruppe packen, in der kein anderer User ist.
Dann aber die 2. Forderung su root muss weiter funktionieren. Damit ist doch alle bisherige Arbeit hinfällig.
Ein Login via SSH sollte jedoch mit dem User noch möglich sein.
Ja das geht sicher, aber auch da gelten dann die Rechte: er darf nichts.
Wofür dann ssh?
Es geht hauptsächlich um Sicherheit. Direkt kann man sich nicht mit dem Root User anmelden. Also sollte man es erst mit diesem User tun und dann mit su zu Root wechseln. Beim Wechseln wird jedoch noch ein weiteres Passwort verlangt.
so ist das normale verhalten. Warum sollte dann der User, der sich über ssh anmelden darf, keine Rechte haben? Es ist ohnehin zu empfehlen, nur die Dinge als root auszuführen, die ein "einfacher" User nicht darf.
Auch wenn alles verschlüsselt ist, wer einmal das root-Passwort kennt, der hat den Computer.
In Linux (und Posix) werden Rechte an Objekte nicht an Rollen gebunden.
Also nein, so direkt geht das erstmal nicht - Ich möchte nichts falsche behaupten, theoretisch könnte SELinux oder eine andere ähnliche Alternative rollengebundene Rechte ermöglichen.
Wie dem auch sei - wie guenterhalt bereits feststellt: Es ergibt nicht viel Sinn, wenn der eingeschränkte Nutzer UID0 annehmen kann, sonst müßtest Du mit einer entsprechenden Erweiterugn auch allgemein die Rolle von UID0 neu definieren.
Das müffelt hier arg nach weitreichendem Entwurfsfehler.
Dein Vorhaben erhöht in keiner Weise die Sicherheit. Die anderen Antwortgeber haben die Unlogik deines Plans bereits erklärt.
Deine Idee scheint zu sein, dass du durch den zusätzlichen User irgendwie die Sicherheit erhöhst.
Mein Vorschlag:
- Verbiete grundsätzlich den root Login via SSH.
- Arbeite in SSH mit einer Whitelist, sodass nur berechtigte User SSH nutzen dürfen.
- Lege root-Rechte über sudo fest. Über sudo kannst du viel gezielter bestimmten Usern bestimmte Rechte erteilen.
- Verzichte auf su.
Und es wäre sinnvoll, wenn du dich grundsätzlich mal mit der Sicherheit unixoidere Systeme vertraut machst. Wenn du da konkrete Fragen hast, vorzugsweise zu Debian, kannst du mir die auch gern stellen.
Damit er sich zu root ummelden kann, muss er erst noch das Passwort eingeben, also kann er diese Einstellungen nicht einfach so ändern.
Der Nutzer wird nur dazu benutzt, sich mit dem Server zu verbinden und sich dann als Root anzumelden, da direktes Root Login deaktiviert ist.
Hat sich aber geklärt^^