qeldroma
27-08-2008, 09:05
Hallo zusammen,
angenommen, ich richte unsere Systeme so ein, daß man immer, wenn man über's Netz kommt, sich ausschließlich über ein Protokoll(LDAP/Kerberos/Radius) authentifizieren muß.
Außerdem bei serieller Verbindung zusätzlich noch über files (/etc/passwd, /etc/group) mit einem Notfall-Root-Account.
Jetzt ist es bei uns so, daß jeder Admin in allen Verzeichnissen grundsätzlich erstmal Schreibrechte hat, da wir einen rotierenden Notdienst haben, welcher dies erfordern kann (Festplatte voll, Plattencrash, IP-Änderungen,...etc.).
Wenn nun ein Admin, welcher bei uns praktisch root-Rechte bekommen müßte, sich an einem Server anmeldet, kann ich ja nicht verhindern, daß dieser sich eine Hintertür einbaut, um z.B. über's Netz sich per Files zu authentifizieren?
Oder kann ich es irgendwie schaffen, die Authentifizierungseinstellungen gegen alle Admins außer root zu isolieren?
Neugieriger Gruß, Florian
angenommen, ich richte unsere Systeme so ein, daß man immer, wenn man über's Netz kommt, sich ausschließlich über ein Protokoll(LDAP/Kerberos/Radius) authentifizieren muß.
Außerdem bei serieller Verbindung zusätzlich noch über files (/etc/passwd, /etc/group) mit einem Notfall-Root-Account.
Jetzt ist es bei uns so, daß jeder Admin in allen Verzeichnissen grundsätzlich erstmal Schreibrechte hat, da wir einen rotierenden Notdienst haben, welcher dies erfordern kann (Festplatte voll, Plattencrash, IP-Änderungen,...etc.).
Wenn nun ein Admin, welcher bei uns praktisch root-Rechte bekommen müßte, sich an einem Server anmeldet, kann ich ja nicht verhindern, daß dieser sich eine Hintertür einbaut, um z.B. über's Netz sich per Files zu authentifizieren?
Oder kann ich es irgendwie schaffen, die Authentifizierungseinstellungen gegen alle Admins außer root zu isolieren?
Neugieriger Gruß, Florian