Anzeige:
Ergebnis 1 bis 6 von 6

Thema: Auhent.: Wie verhindern, das Admins Login verändern?

  1. #1
    Registrierter Benutzer
    Registriert seit
    25.10.2002
    Beiträge
    74

    Auhent.: Wie verhindern, das Admins Login verändern?

    Hallo zusammen,

    angenommen, ich richte unsere Systeme so ein, daß man immer, wenn man über's Netz kommt, sich ausschließlich über ein Protokoll(LDAP/Kerberos/Radius) authentifizieren muß.
    Außerdem bei serieller Verbindung zusätzlich noch über files (/etc/passwd, /etc/group) mit einem Notfall-Root-Account.

    Jetzt ist es bei uns so, daß jeder Admin in allen Verzeichnissen grundsätzlich erstmal Schreibrechte hat, da wir einen rotierenden Notdienst haben, welcher dies erfordern kann (Festplatte voll, Plattencrash, IP-Änderungen,...etc.).

    Wenn nun ein Admin, welcher bei uns praktisch root-Rechte bekommen müßte, sich an einem Server anmeldet, kann ich ja nicht verhindern, daß dieser sich eine Hintertür einbaut, um z.B. über's Netz sich per Files zu authentifizieren?

    Oder kann ich es irgendwie schaffen, die Authentifizierungseinstellungen gegen alle Admins außer root zu isolieren?

    Neugieriger Gruß, Florian

  2. #2
    Registrierter Benutzer
    Registriert seit
    09.01.2001
    Beiträge
    242
    eine idee wär es vielleicht die rechner mit einem IDS auszustatten, oder ganz einfach von allen relevanten files die md5 und sha1 checksumme sichern und täglich via script checken?

    der tom

  3. #3
    Registrierter Benutzer Avatar von bischi
    Registriert seit
    10.04.2003
    Beiträge
    4.828
    Oder halt nicht root-Rechte zu geben Aber ich seh irgendwie den Punkt nicht ganz: Wenn du den Leuten schon volle Zugriffsrechte auf alles gibst, dann solltest du ihnen eigentlich auch vertrauen können... (oder anders gesagt: Wieso braucht der ne Hintertür, wenn er sowieso den Schlüssel zur Vordertür hat?!)

    MfG Bischi

    "There is an art, it says, or rather, a knack to flying. The knack lies in learning how to throw yourself at the ground and miss it" The hitchhiker's guide to the galaxy by Douglas Adams

    --> l2picfaq.pdf <-- www.n.ethz.ch/~dominikb/index.html LaTeX-Tutorial, LaTeX-Links, Java-Links,...

  4. #4
    Registrierter Benutzer
    Registriert seit
    20.02.2004
    Ort
    Boeblingen
    Beiträge
    90
    root darf alles, auch ein ids manipulieren, logiles loesches usw.
    jemand, der kein root ist, kann natuerlich eingeschreankt werden.

    Wenn du nur ueber LDAP authentifizieren willst, ausser fuer root ueber das serielle Terminal, dann schau Dir mal PAM an...
    Servus und bis bald,

    Blackhawk

  5. #5
    Registrierter Benutzer
    Registriert seit
    07.05.2007
    Beiträge
    656
    Moin,

    Zitat Zitat von Blackhawk Beitrag anzeigen
    root darf alles, auch ein ids manipulieren, logiles loesches usw....
    Jein. Stichwort RBAC (Role Based Access Control) - wie es z.B. in SELinux realisiert ist. Dann kann man die Rechte sehr differenziert festlegen. Dann hat man aber auch etliche Nachtstunden zum Verstehen des Konzepts und der Umsetzung vor sich ;-)

    Jan

  6. #6
    Registrierter Benutzer
    Registriert seit
    20.02.2004
    Ort
    Boeblingen
    Beiträge
    90
    Bevor ich mir das antue, schmeisse ich lieber nicht-vertrauenswuerdige Admins raus.
    Servus und bis bald,

    Blackhawk

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •