PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : dem root den Zugiff auf eine bestimmte datei verbieten



sleon
07-12-2006, 21:43
Hallo , ich habe eine frage:
Ist es moeglich mithilfe von SELinux oder grsecurity dem root jeglichen zugriff auf den inhalt einer datei zu verbieten? z.B man geht in ein bestimmtes runlevel und wenn man auf die datei zugreifen moechte, dann muss man die maschine neustarten.

Also alle moeglichen tricks wie sudo su <anderer user> , chmod usw. nicht moeglich sein.


Ich bin fuer jegliche Hinweise sehr dankbar

peschmae
07-12-2006, 23:10
Verschlüsseln und nur mit einem von einer Lifecd/USB-Stick gebooteten Linux darauf zugreifen?

Von SELinux habe ich keine Ahnung (ausser dass ich weiss dass es bei Fedora bei Problemen immer heist "erst mal SELinux ausschalten...). GRSecurity bietet das glaub ich nicht.

Das Problem ist halt immer dass solange du einen Root hast der, selbst wenn er keinen Zugriff hat, das ganze System problemlos so tunen kann dass er spätestens wenn du darauf zugreifst alles mitloggt oder so. Ausser du hast gar keinen Root mehr (das war glaub ich mal das Ziel von SELinux? Nur hab ich immer grundlegende Vorstellungsprobleme wie das dann gehen soll und wer dann SELinux selber administriert - aber wie gesagt, da hab ich nie reingeguckt)

MfG Peschmä

marce
14-12-2006, 19:31
Es gibt durchaus Mittel, auch root Dinge zu verbieten (z.B. mit LIDS) - jedoch dadurch, dass root auf die eine oder andere Weise alles kann, kann er dies natürlich auch aushebeln, es verlagert also das "Problem" nur eine Stufe nach hinten...

hds
16-12-2006, 19:26
Ist es moeglich mithilfe von SELinux oder grsecurity dem root jeglichen zugriff auf den inhalt einer datei zu verbieten?

noe. das ist ja der sinn von dem root account.


Also alle moeglichen tricks wie sudo su <anderer user> , chmod usw. nicht moeglich sein.

ach, darum gehts dir? nunja, einfach su/sudo nicht erlauben. (von distri zu distri wohlmoeglich unterschiedlich).

bei gentoo geht kein su als user, es sei denn, der user ist in der gruppe wheel. nee, dazu bedarf es weder selinux noch grsecurity.

hmpf, bin noch nicht lange hier im forum, aber warum schreibt hier keiner dazu welche distribution er nutzt :confused:
die rechtevergabe der einzelnen distributionen fuer bestimmte sachen ist sehr sehr unterschiedlich.

NixDesdoTrotz: root darf immer alles, um deine frage grob zu beantworten.
ich denke aber nicht, das es dir wirklich darum geht. oder?

marce
16-12-2006, 19:37
@hds: Falsch. Root darf nicht immer alles. Es gibt diverese Kernelpatches, mit denen man die Rechte von Root auch einschränken kann. LIDS ist z.B. einer davon. Natürlich gibt es auch dafür dann Administrationszugänge, mit denen dann root sich selbst wieder die Rechte geben kann - aber ohne diese darf dann auch root nicht alles.

hds
16-12-2006, 19:54
Natürlich gibt es auch dafür dann Administrationszugänge, mit denen dann root sich selbst wieder die Rechte geben kann - aber ohne diese darf dann auch root nicht alles.
och, ich knall ne CD rein, mach nen chroot in das environment und dann bin ich um mit dem thema.
nicht?
soweit dazu. punkt. da nutzt dir dein LIDS auch nada <lol>.

sprich: du bist nicht sicher, indem du root keinen vollen zugfriff ueberhaupt gewaehren willst. sowas ist einfach "quatsch".

ich denke mal, dem oposter war nicht bekannt das man
a) nicht jedem user ein su erlauben muss
b) sein password vielleicht etwas besser gestallten sollte.

root dem zugriff auf bestimmte dateien zu verwehren ist eine kruecke (wie du selbst festgestellt hattest).
dieses problem sollte bereits im vorfeld eingegrenzt werden.
es tritt eigentlich lediglich dann auf, wenn man mehreren leuten root zugfriff erteilt.
wir sprechen linux, nicht windows.

du hast unter linux die moeglichkeit so gut wie alles zu definieren. root zu "beschneiden" ist (IMHO) absoluter quatsch, sorry.

My2cents

peschmae
17-12-2006, 09:46
Wer hat denn gesagt du hättest ein CD-Laufwerk? :p

MfG Peschmä

marce
18-12-2006, 14:51
@hds: Wir reden wohl von verschiedenen Dingen...

Wenn ich physikalischen Zugriff auf's System habe kann ich so oder so alles machen. Darum geht es hier wohl aber nicht. Und mit der "Krücke" LIDS z.B. kann ich sehr wohl all das machen, was der TE wohl vorhatte.

Ob es Quatsch ist, root zu beschneiden - das Wort "root-Exploit" ist Dir sicherlich bekannt und nun überlege diese Aussage nochmals damit als Hintergrund...