Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

SSH berechtigungen / AD

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
zer0zer
Newbie
Newbie
Beiträge: 1
Registriert: 26. Jul 2018, 10:15

SSH berechtigungen / AD

Beitrag von zer0zer » 26. Jul 2018, 10:26

Guten Tag,

ich hoffe hier fündig zu werden.

Anforderung:

wir haben eine Systemlandschaft von ca. 150 Virtuellen Suse Linux Maschinen auf welche der Zugriff überwiegend via SSH "Putty" erfolgt.
Nun soll ein Berechtigungskonzept her um das weitergeben der root Berechtigungen zu verhindern. (Sudo?)

Frage
Welche wege gibt es dies zu implementieren.
- Einen Zentralen "jump Server" von welchem man sich auf vorab definierte Maschinen mit ebenfalls vorher festgelegten Berechtigungen weiter verbinden kann ?
- Anbinden aller Maschinen an die Active Directory und dann über Gruppen die Zugriffe und Berechtigungen regeln ? Aber wie bringe ich einer Windows Gruppe eine vorher definierte
Linux Gruppe bei : :???:

Ich wäre für jeden Ratschlag dankbar



Vielen Dank und Liebe Grüße

Werbung:
daddy.k
Member
Member
Beiträge: 62
Registriert: 6. Jan 2012, 16:35
Wohnort: Sulzbach am Main
Kontaktdaten:

Re: SSH berechtigungen / AD

Beitrag von daddy.k » 6. Sep 2018, 23:46

Hallo zer0zer,

ich bin zwar kein Admin, könnte mir aber vorstellen, den Rootzugriff generell zu unterbinden.
Über Hostsallow und hostsdeny z.B.. Den Zugriff dann über ein Zertifikat erlauben.
Meines Wissens unterstützt Putty Zertifikate zur Anmeldung.
Bei Zeritikaten hast du die möglichkeit die Laufzeit zu bestimmen und dann über einen Verteiler den berechtigten Personen
z.B. alle 3 Monate ein neues Zertifikat zukommen zulassen.

Gruß daddy.k

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1071
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: SSH berechtigungen / AD

Beitrag von marce » 7. Sep 2018, 12:16

zer0zer hat geschrieben:
26. Jul 2018, 10:26
wir haben eine Systemlandschaft von ca. 150 Virtuellen Suse Linux Maschinen auf welche der Zugriff überwiegend via SSH "Putty" erfolgt.
Nun soll ein Berechtigungskonzept her um das weitergeben der root Berechtigungen zu verhindern. (Sudo?)
Erste Frage zurück: Wer muss denn warum auf die Maschinen überhaupt per root zugreifen?

uhelp
Member
Member
Beiträge: 105
Registriert: 25. Nov 2012, 19:33

Re: SSH berechtigungen / AD

Beitrag von uhelp » 7. Sep 2018, 19:34

Da gäbe es zig-Milliarden Möglichkeiten.
Du solltest schon genauer beschreiben, __wie__ die gewünschte Berechtigungsorgie implementiert werden soll.

Man kann alleine mit SSH selbst den Maschinen oder Usern für genau ein Cert nur genau einen definierten Befehle ausführen lassen.
Man kann auch eine "restricted Shell" den Usern nach Gusto zuteilen, die nur bestimmte Kommandos zulassen.
Und das wieder in Abhängigkeit von User und/oder Maschine.

Man kann auch mit richtig großen Klopfer, wie z.B. LDAP und Kerberos ein wasserdichtes Netz mit fein abgestuften Berechtigungen basteln.

Man kann auch seine eigene Authentifizierungsorgie coden und via PAM den Systemen reinwürgen.

Um nur mal ein paar der zahllosen Möglichkeiten zu nennen.

spoensche
Moderator
Moderator
Beiträge: 7391
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Re: SSH berechtigungen / AD

Beitrag von spoensche » 7. Sep 2018, 20:55

Dein Gedanke mit sudo ist der richtige.

Es gibt mehrere mögliche Lösungen. Welche die geeignetste ist, ist von deiner Umgebung abhängig.

Link zur RedHat Doku: https://access.redhat.com/documentation ... ion_guide/

Die dort aufgeführten Möglichkeiten können auch unter anderen Linuxen verwendet werden.

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1071
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: SSH berechtigungen / AD

Beitrag von marce » 7. Sep 2018, 22:17

Alternativ verwendet man Tools wie puppet, chef, salt, ansible und sorgt dafür, daß sich auf den Systemen per se erst mal gar keiner für allg. Admintätigkeiten als root anmelden muss.

Kommt halt immer auf den UseCase an.

Antworten