• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SSH berechtigungen / AD

zer0zer

Newbie
Guten Tag,

ich hoffe hier fündig zu werden.

Anforderung:

wir haben eine Systemlandschaft von ca. 150 Virtuellen Suse Linux Maschinen auf welche der Zugriff überwiegend via SSH "Putty" erfolgt.
Nun soll ein Berechtigungskonzept her um das weitergeben der root Berechtigungen zu verhindern. (Sudo?)

Frage
Welche wege gibt es dies zu implementieren.
- Einen Zentralen "jump Server" von welchem man sich auf vorab definierte Maschinen mit ebenfalls vorher festgelegten Berechtigungen weiter verbinden kann ?
- Anbinden aller Maschinen an die Active Directory und dann über Gruppen die Zugriffe und Berechtigungen regeln ? Aber wie bringe ich einer Windows Gruppe eine vorher definierte
Linux Gruppe bei : :???:

Ich wäre für jeden Ratschlag dankbar



Vielen Dank und Liebe Grüße
 

daddy.k

Member
Hallo zer0zer,

ich bin zwar kein Admin, könnte mir aber vorstellen, den Rootzugriff generell zu unterbinden.
Über Hostsallow und hostsdeny z.B.. Den Zugriff dann über ein Zertifikat erlauben.
Meines Wissens unterstützt Putty Zertifikate zur Anmeldung.
Bei Zeritikaten hast du die möglichkeit die Laufzeit zu bestimmen und dann über einen Verteiler den berechtigten Personen
z.B. alle 3 Monate ein neues Zertifikat zukommen zulassen.

Gruß daddy.k
 

marce

Guru
zer0zer schrieb:
wir haben eine Systemlandschaft von ca. 150 Virtuellen Suse Linux Maschinen auf welche der Zugriff überwiegend via SSH "Putty" erfolgt.
Nun soll ein Berechtigungskonzept her um das weitergeben der root Berechtigungen zu verhindern. (Sudo?)
Erste Frage zurück: Wer muss denn warum auf die Maschinen überhaupt per root zugreifen?
 

uhelp

Member
Da gäbe es zig-Milliarden Möglichkeiten.
Du solltest schon genauer beschreiben, __wie__ die gewünschte Berechtigungsorgie implementiert werden soll.

Man kann alleine mit SSH selbst den Maschinen oder Usern für genau ein Cert nur genau einen definierten Befehle ausführen lassen.
Man kann auch eine "restricted Shell" den Usern nach Gusto zuteilen, die nur bestimmte Kommandos zulassen.
Und das wieder in Abhängigkeit von User und/oder Maschine.

Man kann auch mit richtig großen Klopfer, wie z.B. LDAP und Kerberos ein wasserdichtes Netz mit fein abgestuften Berechtigungen basteln.

Man kann auch seine eigene Authentifizierungsorgie coden und via PAM den Systemen reinwürgen.

Um nur mal ein paar der zahllosen Möglichkeiten zu nennen.
 

spoensche

Moderator
Teammitglied
Dein Gedanke mit sudo ist der richtige.

Es gibt mehrere mögliche Lösungen. Welche die geeignetste ist, ist von deiner Umgebung abhängig.

Link zur RedHat Doku: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/

Die dort aufgeführten Möglichkeiten können auch unter anderen Linuxen verwendet werden.
 

marce

Guru
Alternativ verwendet man Tools wie puppet, chef, salt, ansible und sorgt dafür, daß sich auf den Systemen per se erst mal gar keiner für allg. Admintätigkeiten als root anmelden muss.

Kommt halt immer auf den UseCase an.
 
Oben