Re: nächtliche mails an root?

From: Polytropon <freebsd(at)edvax.de>
Date: Wed, 3 Mar 2010 12:26:22 +0100

Guten Morgen!

Oliver, erstmal vielen Dank für Deine Erläuterungen, jetzt
sehe ich einiges auch klarer, weil ich Brücken zu bereits
bekannten Konzepten, die nur völlig anders heißen, herstellen
kann.

On Wed, 3 Mar 2010 11:47:34 +0100 (CET), Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> Es gibt die »Philosophie«, dass es sich bei root nicht um
> einen User handelt, nicht einmal um einen Pseudo-User,
> sondern um eine »role« (Rolle), mit deren Hilfe normalen
> Usern, die speziell ausgezeichnet sind (Admins), zusätz-
> liche Privilegien verliehen werden können.

Also im weitesten Sinne Ähnlichkeiten zum Ansinnen
von RBAC oder konkreten Profilen (QSECOFR, QSYSOPR u. dgl.),
die mit Rechten definierten Umfangs ausgestattet sind und
einem Nutzer dann zugeordnet werden können - "root" also
als Menge von Rechten, also vergleichbar mit einer Art
von Benutzergruppe.

> Wenn man das Prinzip weiterführt, teilen sich diese zu-
> sätzlichen Privilegien auf viele verschiedene Dinge auf.
> Es gibt z.B. das Privileg »darf einen Reboot durchführen«,
> »darf Paketfilter-Regeln ändern«, »darf Binaries instal-
> lieren« und so weiter. Das hat gegenüber dem klassischen
> monolithischen UNIX-Konzept (»root darf alles«) deutliche
> Vorteile.

Klar, man denke an "Leute" (oder um den von Dir verwendeten
Begriff "Rolle" zu nutzen), die bestimmte Aufgaben zu
erfüllen haben, die zwar eigentlich root-Zugang brauchen,
"uneigentlich" aber nicht alles können *müssen*, man denke
an einen Backup-Operator oder einen, der Einsicht in
bestimmte Protokolle zu nehmen hat. Damit kann man Aufgaben,
doch schon "recht wichtig" sind, feingranulierter an
konkrete Personen (hier natürlich: Benutzerkonten)
vergeben, ohne sich groß Gedanken machen zu müssen,
daß der Backup-Operator nicht doch mal "versehentlich"
das ganze System runterfährt. :-)

> Sich zunächst als user einzuloggen und dann "su -m" zu
> verwenden (oder meinetwegen sudo, aber ich bin kein Freund
> davon; stattdessen ziehe ich ggf. »super« vor, siehe
> ports/security/super), hat eine ganze Reihe von Vorteilen.
> Bei mir ist »su« sogar ein Alias auf »su -m«, weil ich es
> nie anders verwende.

Also "super" habe ich mir mal angeschaut, das klingt
recht interessant - und ist einer näheren Betrachtung wert.
Da kann man viele feingranulierte Sachen mit machen (siehe
oben). Guter Tip, danke!

> Du
> musst auch unter /root keine Shell-Profiles anlegen oder
> sonstwas.

Ich glaube, einige Dateien in /root sind sogar Opfer von
Update-Prozessen, weswegen Deine Empfehlung gut zu der
Idee paßt, am Grundsystem so wenig zu ändern wie möglich.
Siehe auch: Wir zerschießen uns die sendmail-Konfig. :-)

> Das ist besonders für Systeme mit mehreren
> Admins nützlich: Jeder Admin hat auch als root automatisch
> seine eigene Shell (bash, zsh, was auch immer).

Zusammen mit der getrennten (d. h. auf den konkreten Benutzer
zeigenden) Logeintragsgestaltung ist insbesondere diese
Prokollfunktion eine sinnvolle Sache, so nach dem
Motto: "Welcher Trottel hat die Backups gelöscht?!" :-)

> Das sind die Sachen, die mir so aus dem Stegreif ein-
> fallen; es gibt sicherlich noch mehr Vorteile.

Je mehr ich darüber nachdenke, desto sinnvoller erscheint
mir diese gedankliche Herangehensweise. Ich hab das bisher
nicht so "kraß" gesehen, aber es bringt wirklich was, wenn
man solche Ideen verinnerlicht.

> > Tut mir leid, natürlich meinte ich das Einloggen als root
> > per telnet-Sitzung, direkt über's Internet, selbstverständlich
> > mit lokalem Echo des Paßwortes! :-)
>
> Eine Bemerkung am Rande: Häufig wird telnet als »böse«
> hingestellt, dabei kann das unter BSD schon seit Urzeiten
> Verschlüsselung (seit einiger Zeit ist das sogar Default),
> mit und ohne Kerberos.

Ach Quatsch, ich meine doch das telnet von "Windows '95",
das ich wie beschrieben für sicherheitskritische Admin-
Aufgaben einsetze! :-)

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 03 Mar 2010 - 12:26:33 CET

search this site