[gelöst, Philosophie] Dateizugriffe von root einschränken

Erl · 3 Aug. 2007

Hallo,
ich bin Administrator für meinen Arbeitsplatzrechner (Opensuse 10.2) an dem ich natürlich auch einen Benutzeraccount habe.
Damit die anderen Leute in meiner Arbeitsgruppe auch etwas mit dem Rechner anfangen können, muss ich zumindest das root-Passwort in einem gewissen maße veröffentlichen.
Ich möchte aber nicht, dass man dann mit dem root-Passwort auf die Daten meines Benutzers zugreifen kann.
Ich habe bei den Dateiberechtigungen dann "Gruppe" und "Sonstige" auf "unzulässig" gesetzt. - Das hat aber nichts gebracht, root hat immer noch Zugriff auf meine Daten.
Wie kann ich dafür sorgen, dass root nicht mehr auf meine Dateien zugreifen kann?

b3ll3roph0n · 3 Aug. 2007

Erl schrieb:
Damit die anderen Leute in meiner Arbeitsgruppe auch etwas mit dem Rechner anfangen können, muss ich zumindest das root-Passwort in einem gewissen maße veröffentlichen.

Ähh ... warum?
Du solltest dich mal eingehender mit der Benutzerverwaltung von Linux sowie mit sudo beschäftigen.

Erl schrieb:
Wie kann ich dafür sorgen, dass root nicht mehr auf meine Dateien zugreifen kann?

Das geht AFAIK nur mit Lösungen wie Grsecurity, RSBAC oder SELinux.

Erl · 3 Aug. 2007

Also das WARUM? ist ganz einfach:
Der Rechner gehört nicht mir, sondern steht nur zufällig auf meinem Schreibtisch. Da kann ich nicht einfach ein Passwort dran machen und den nur für mich in Beschlag nehmen.
Es ist wesentlich einfacher zu sagen: "Das root-Passwort steht auf dem Gehäuse, mach Dir selbst einen Benutzer!", als jedem Kollegen der was an dem Rechner will erstmal einen Benutzer zu machen.
Und warum sollte ich mich mit Benutzerverwaltung und Sudo beschäftigen? Ich bin Forscher und kein Sys-Admin. ;-)
Ich sorge lediglich dafür, dass mein Rechner so läuft, wie ich ihn brauche.

Und mal ganz dumm gefragt: Verstößt es nicht gegen den Datenschutz, wenn der Admin alle Daten von allen Benutzern einsehen kann?!

trustkill · 3 Aug. 2007

Du arbeitest also an einem öffentlich zugänglichen Rechner, der rein zufällig bei Dir auf dem Schreibtisch steht als root ?

Und das root passwort klebt auf dem Rechner, damit sich jeder der "zufällig" vorbeikommt einen Account anlegen kann ?

Ich habe selten so etwas merkwürdiges gehört...

admine · 3 Aug. 2007

Auf diesem Rechner würde ich schlichtweg Daten, die niemand anderes sehen soll, nicht speichern.

rolle · 3 Aug. 2007

Oder Du solltest Deine Daten verschlüsseln.

nbkr · 3 Aug. 2007

Erl schrieb:
Und warum sollte ich mich mit Benutzerverwaltung und Sudo beschäftigen? Ich bin Forscher und kein Sys-Admin. ;-)

Wenn Du nicht der Sys-Admin bist, warum hast Du das root Passwort? Oder andersrum, derjenige der das Passwort hat (und das nicht durch lustige "Brute-Force, ich hack die Kiste klein und wenn das nicht klappt entführ ich die Frau vom Sys-Admin" - Methoden bekommen hat) ist der Sys-Admin.

Abgesehen davon: root hat immer Zugriff auf alle Dateien, wenn man von obigen Methoden absieht. Auch eine Verschlüsselung der Daten ist nicht wirklich sicher. Die anderen User könnten - dank des rootzugriffs - einfach eine Art Keylogger installieren, oder die Schlüsseldatei kopieren usw. usw.

panamajo · 3 Aug. 2007

Erl schrieb:
Und warum sollte ich mich mit Benutzerverwaltung und Sudo beschäftigen? Ich bin Forscher und kein Sys-Admin. ;-)

Warum führst du dann Tätigkeiten eines Sysadmins aus?

Erl · 3 Aug. 2007

Danke für die interessanten Antworten.

Man kann root also nicht so einfach beschränken, dass sehe ich jetzt ein. - Ich finde es aber recht merkwürdig, dass sich noch niemand daran gestört hat, dass der BOFH alles einsehen kann!

Wenn ich mal in die Situation kommen würde, auf einem Rechner, der einen Administrator hat (der nicht ich bin) etwas vertrauliches zu speichern, würde mich das ganz empfindlich stören! - Naja, damit scheine ich wohl recht alleine in der Linux Community zu sein (von anderen Betreibsystemen habe ich in dieser Beziehung keine Ahnung).

Nun zu den einzelnen Punkten:

Bisher war es in jeder Arbeitsgruppe in der ich mitgearbeitet habe immer so, dass jeder das Adminpasswort von allen Rechnern kannte bzw. es (real, nicht virtuell) zugänglich war. Jeder ist halt ein bißchen Administrator, da es keinen dezidierten Administrator gibt. - Ich finde das nicht so ungewöhnlich.

Das root Passwort habe ich, da ich die Kiste eingerichtet habe, da ich Linux und nicht Vista wollte. - Und einen echten SysAdmin gibt es nicht. Und wenn jemand was an der Kiste ändern will und ich gerade nicht da bin, braucht der halt das Passwort. - Ich finde das nicht so merkwürdig.

Da ich normalerweise davor sitze, habe ich das größte Interesse daran, dass die Kiste läuft, also muss ich das Ding einrichten und am laufen halten.

Wie vorher schon gesagt, ich finde es interessant, was so alles als komisch empfunden wird... - für mich ist das völlig normal.

trustkill · 3 Aug. 2007

Na dann. Alle sind komisch. Nur Du nicht. :roll:

Nochmal zur konkreten Frage:

Du willst also jedem root-Rechte geben, arbeitest auch selber unter root ?
Und trotzdem soll jeder der root-Rechte hat, die Daten von root nicht sehen ?
Du überwachst die Kiste, aber jeder kann installieren und ändern ?
DU möchstest also sämtliche Rechte für alle, aber trotzdem eine uneinnehmbare Festung ?

DAS finde ich interessant.

admine · 3 Aug. 2007

Erl schrieb:
Wenn ich mal in die Situation kommen würde, auf einem Rechner, der einen Administrator hat (der nicht ich bin) etwas vertrauliches zu speichern, würde mich das ganz empfindlich stören!

Normalerweise hat ein Administrator besseres zu tun, als sich durch private Daten zuwühlen

und außerdem gibt es auch Datenschutzgesetze.

Bei uns in der Firma ist es so, dass ein Adminsitrator nur in begründeten Ausnahmefällen und im Beisein des Vorgesetzten Einblick in ein $HOME-Laufwerk nehmen darf.
Und das, obwohl es untersagt ist, private Daten auf dem dienstl. PC bzw. im Netzlaufwerk zu speichern.

Erl · 3 Aug. 2007

Nein, dass trifft die Sache nicht ganz.
Ich möchte hier jetzt auch nicht mit agressiver Polemik anfangen. Vielleicht fühlen sich ein paar Leute auf den Schlips getreten, wenn ich sage, dass ich mich über ihre Ansichten wundere, aber das ist nicht böse gemeint. - Es hat mich wirklich gewundert. Mindestens genau so sehr wie einige Leute sich über meine Ansicht zu wundern scheinen.

Ich möchte nur Folgendes:

Ich möchte nicht, dass der Admin die Daten der einzelnen User einsehen kann, da diese den Usern gehören und nicht dem Admin. Den Admin gehen die Daten der User imo nämlich absolut garnichts an.
Und ich kann mich nicht erinnern, dass ich jemals zur Administration meines Rechners unter root etwas bei meinem normalen User machen musste.

Glücklicherweise habe ich Administrationsrechte (=root Passwort) an dem Rechner, so dass ich eventuell nötige Änderungen am System, die diesen Zustand ermöglichen könnten, durchführen kann. - Ich bin aber nicht der Einzige, der das Passwort kennt, da der Rechner im Prinzip auch von mehreren Leuten betreut wird.

Desweiteren habe ich zum Ausdruck gebracht, dass ich es sehr merkwürdig finde, dass das in Linux nicht möglich zu sein scheint. (Ich halte das für einen krassen Designfehler, das ist aber eine philosophische Diskussion)
Ich würde den SysAdmin nämlich nicht a priori als 100%ig Vertrauenswürdig einstufen, wenn ich z.B. Chef eines Unternehmens wäre.
Ja, es gibt da zwar Gesetze, aber wenn da Sachen sind, mit deren Veröffentlichung sich Geld machen lässt.
Und außerdem erlaubt man es den anderen Usern ja auch nicht. - Für die gelten die Gesetze ja auch.

Ist das wirklich so merkwürdig?

trustkill · 3 Aug. 2007

Um doch noch ein wenig agressive Polemik reinzubringen:

Hast Du zu lange studiert ?

Grothesk · 3 Aug. 2007

Naja, irgendwer muss ja den Generalschlüssel haben. In einem Gebäude ist das der Hausmeister. Der kommt auch in alle Räume rein.
Bei einem Rechner ist das der Admin/root. Ist doch nicht ungewöhnlich.
Insofern sitzt der admin an einer sehr sensiblen Stelle.

Was du möchtest, ist ein Generalschlüssel, der nicht auf alle Türen passt. Vorsicht, Logikarobatik!

Wenn du bestimmte root-Aktionen auch anderen Usern ermöglichen willst, dann schau dir sudo an.
Aber 'Tag der offenen Tür für alle' und dann einzelne Türen versperren geht nicht.

rolle · 3 Aug. 2007

Desweiteren habe ich zum Ausdruck gebracht, dass ich es sehr merkwürdig finde, dass das in Linux nicht möglich zu sein scheint. (Ich halte das für einen krassen Designfehler, das ist aber eine philosophische Diskussion)

Mir fällt kein Betriebssystem ein, mit dem man dem Admin den zugriff verweigern kann. Der Sinn eines Admins ist es ja eben, alles zu dürfen.

Erl · 3 Aug. 2007

Ich möchte den Generalschlüssel abschaffen. Man kann dem Admin ja erlauben, den Account zu löschen. - Aber die Daten sind dann futsch und nicht beim BOFH.
In einem echten Gebäude kann man ja nicht einfach mal einen Raum plattmachen, wenn der Arbeitnehmer weg ist. - Auf dem Rechner ist das aber kein Problem.

Wozu braucht man denn auch einen Generalschlüssel? Für mein Zimmer in der Wohnung meiner Mutter habe auch nur ich einen Schlüssel. Wenn ich abschließe und da will jemand rein, dann hat er Pech gehabt oder er/sie muss die Tür eintreten. Da is' nix mit Generalschlüssel. ... Und das ist auch gut so!

Und seit wann hat der Hausmeister einen Schlüssel für den Save?!

Grothesk · 3 Aug. 2007

*seufz*

Schau dir sudo an. Das könnte am ehesten das sein, was du benötigst.
Jedenfalls ist, das was du da genau möchtest unmöglich. Du kannst keinen root haben, der keine root-Rechte hat. Wäre ja auch schizophren.

Jedenfalls hat sich in den langen Jahren, in denen es unixoide Systeme mit dem entsprechenden Rechtemanagement gibt noch nie jemand an dem System gestört. Wenn du wirklich sensible Daten da auf dem System hast, dann verschlüssele die Daten. Dann hast du deinen Safe-Schlüssel.

rolle · 3 Aug. 2007

Wenn Du den Generalschlüssel abschaffen möchtest, kommst Du um eine saubere und wahrscheinlich aufwendige sudo-Konfiguration nicht herum.

Erl · 3 Aug. 2007

Vielen Dank an die, die sich noch etwas konstruktiv mit dem Problem auseinandersetzen. Man könnte so vielleicht einen "Chef-Account" machen, der alles darf und dann noch einen BOFH, der das System konfiguriert, aber den Usern nichts tun kann.

Das ist mir allerdings etwas zu aufwändig, da meine Daten nicht so sensibel sind und ein Wechseldatenträger auch nicht schlecht ist.

Aber vielleicht ließt das ja mal ein Entwickler, der meine Sorgen teilt...

Aber wenn M$ das in Vista tun würden, hätten die IMO echt etwas, was Linux nicht kann.

Wenn man die root Recht so definieren würde, dass root keinen Zugriff auf die Daten der User hat, könnte ein externer Angreifer die Daten der User auch nicht ausspähen, wenn er "nur" root Rechte hat. Ich habe zwar keine Ahnung davon, aber wenn ein User keine Programme laufen hat (weil er z.B. nicht eingeloggt ist), dann ist es wohl auch nicht so einfach, Rechte dieses Users zu bekommen... - Zumindest über Schwachstellen in Programmen.

admine · 3 Aug. 2007

Erl schrieb:
Aber vielleicht ließt das ja mal ein Entwickler, der meine Sorgen teilt...
Aber wenn M$ das in Vista tun würden, hätten die IMO echt etwas, was Linux nicht kann.

Träum weiter ... kann mir nicht vorstellen, dass es das mal geben wird.

Sorry, wenn ich das mal so deutlich sagen muss ... aber du hast keine Ahnung von Systemadministration.

[gelöst, Philosophie] Dateizugriffe von root einschränken

Newbie

Guru

Newbie

Hacker

Ultimate Guru

Guru

Guru

Guru

Newbie

Hacker

Ultimate Guru

Newbie

Hacker

Ultimate Guru

Guru

Newbie

Ultimate Guru

Guru

Newbie

Ultimate Guru