Am 24.02.2002 um 17:32:43 schrieb Benjamin Podszun:
Hallo Benjamin,
> Dieser Server wird von einer Gruppe von Leuten betreut und außer mir
> haben noch mind 4-5 andere Leute das root-Passwort. War nicht meine
> Idee, finde ich nicht gut, ist aber nicht das Thema.
hmmm, naja. Also da Du ja nichtmal weisst, wer alles das root-Passwort hat
und denjenigen, von denen Du es weisst nicht vertraust, waere der Ansatzpunkt
vielleicht doch ein anderer.
> Es geht darum das ich das Passwort nicht ändern darf (Der Hoster
> verbietet es)
dann wechsle den Provider. Ich wuerde mich bedanken, wenn ich mein root-Passwort
beim Hoster hinterlegen muesste. Ausserdem sollte man das Passwort sowieso
regelmaessig aendern. Abgesehendavon, dass remote Logins uebers Netz eh mit
einem ssh-Schluessel erfolgen sollten.
Bei Interesse kann ich Dir off List zwei Hosting-Provider nennen, mit denen
ich gute Erfahrungen gemacht habe und die einem die noetige Freiheit
zubilligen.
> Daher suche ich nach einer Möglichkeit User-Aktivitäten zu loggen
> (vielleicht auf einen externen syslogd) und suche dringend Pointer.
wenn jemand root-Zugriff hat, kann er sehr viele der sich bietenden Moeglich-
keiten aushebeln. Wenn noch dazu alle mit root arbeiten, wie willst Du dann
ueberhaupt rausfinden, wer es war, wenn Du root nicht zuordnen kannst?
Es gibt z.B. die securelevel, da kannst Du root einschraenken und dazu Deine
Moeglichkeiten der remote Administration. Es gibt auch die Moeglichkeit,
Logs append-only zu flaggen. Syslog-Remote Loggiung ueber udp kann auch
recht leicht ausser Kraft gesetzt werden, ohne dass eine der beiden Seiten
merkt, wenn der andere Aussetzt.
> In
> der de.comp.os.unix.bsd-group gab es einen Thread zu einem ähnlichen
> Thema, jedoch wurde dort eher die Konfiguration belächelt.
Du meinst eure Konstellation? Das hat wohl seinen Grund. Einerseits schreibt Dir
der Housing-Provider zuviel vor, andererseits wuerde ich NIEMALS die Verant-
wortung fuer einen Server uebernehmen, von dem ich nichtmal weiss, wer alles
das root-Passwort hat und denjenigen, von denen ich es weis nicht traue.
> Hat jemand eine Idee?
1. Neuer Provider
2. Die Administration aufteilen. Wenn jemand einen bestimmten Service als
root managen koennen muss, dem Du nicht ganz traust, setzt das ganze in ein
jail (man jail) und gib ihm dort root. Dann hast Du auch die Moeglichkeit,
das Tun der roots vom Host-system aus zu ueberwachen.
hth
/ch
-- Wieviele Mitarbeiter von Microsoft benoetigt man fuer das auswechseln einer defekten Gluehbirne? Keine, Microsoft erklaert die Dunkelheit zum Marktstandart. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sun 24 Feb 2002 - 18:39:37 CET