Ich habe gelesen, dass man Folgendes eingeben muss, um zu verhindern, dass ein Benutzer sein eigenes Passwort ändert:
passwd -n 10000 $Benutzer
Aber wie verhindere ich, dass der Root-Benutzer auch das Passwort von $user ändert?
Hintergrund: Ich versuche, exklusiven Zugriff auf einige Verzeichnisse einzurichten, und dachte, ein neuer Benutzer wäre angemessen. Ist das so? Ich habe mich dazu entschieden, diese Verzeichnisse nicht zu komprimieren und mit einem Kennwort zu schützen, da die meisten von ihnen über 1 TB groß sind. Irgendwelche Tipps?
BEARBEITEN: Der Grund dafür, solche Aktionen von Root aus zu verhindern, besteht darin, dass selbst Benutzer mit Root-Zugriff keinen Zugriff auf einige exklusive Verzeichnisse haben sollten, die ich zu schützen versuche.
Antwort1
Die Begründung dieser Frage ist fragwürdig...
Um Ihre gewünschte Lösung zum Erstellen eines neuen Benutzers zu kritisieren: Auch wenn andere Root-Benutzer das Kennwort des neuen Benutzers nicht ändern können, müssen sie dies nicht tun, da Root jede Datei lesen oder die Dateiberechtigungen der Datei ändern kann. Sie müssen nicht immer dieser Benutzer „sein“.
Wenn Sie über Terabyte an Daten verfügen, auf die andere Benutzer keinen Zugriff haben sollen, speichern Sie die Daten nicht auf denselben Maschinen, auf die diese Benutzer Zugriff haben.
Wenn auf einem Computer mehrere Terabyte an Daten gespeichert sind und mehrere Benutzer gleichzeitig Zugriff auf die Daten haben, warum möchten Sie dann nicht, dass diese Benutzer darauf zugreifen?
Und wir sind noch nicht einmal an den Punkt gekommen, zu besprechen, warum Sie mehrere Root-Benutzer haben, denen Sie nicht vertrauen. Zugegeben, mehrere Root-Benutzer sind eine gute Sache, aber es klingt, als hätten Sie Root-Zugriff für alle Benutzer – Freunde sind großartig und lassen sie rein, aber sie brauchen keinen Root-Zugriff.
Auch wenn Sie eine ACL verwenden, können Sie nicht verhindern, dass ein anderer Root-Benutzer auf die Daten zugreift. Sie (als Root) haben die ACL erstellt und der andere (als Root) wird sie ändern.
Die einzige wirklich praktikable Lösung ist das, was die verschiedenen Geheimdienste schon vor langer Zeit erfunden haben: Maschinen mit Air-Gap-Funktion.
Speichern Sie Ihre „streng geheimen“ Daten auf einem Laufwerk und schließen Sie es nicht an den Computer an, den Ihre Freunde verwenden. Oder installieren Sie das Laufwerk auf einem anderen Computer, der keinen Netzwerkzugriff hat und nicht über einen Zoo von Root-Benutzern verfügt. Sie können diesem Computer (Dateiserver) wahrscheinlich Netzwerkzugriff gewähren, da Ihre Freunde wahrscheinlich keine gruseligen Hacker-Tools haben, um auf diesen Computer zuzugreifen. Geben Sie nur sich selbst Zugriff und voilà – isolierte Daten. Diese Art von Computer ist sehr kostengünstig zu erstellen. CPU, NIC und fertig.
Wenn Sie ihnen „irgendwie“ vertrauen möchten und/oder nur von dieser (im Root-Benutzer-Cluster zusammengefassten) Maschine auf diese Daten zugreifen möchten, schließen Sie das Laufwerk nur physisch an, wenn Sie sich im Einzelbenutzermodus und offline befinden und an der Konsole sind.
Es gibt vielleicht noch andere kreative Lösungen, wenn es allerdings um Software geht, ist es nicht möglich, einen Root-Benutzer von einem anderen Root-Benutzer zu isolieren.
PS: Wenn ich mich auf Root beziehe, meine ich damit einen echten Root-Benutzer – nicht einen Benutzer mit sudo usw.
Antwort2
Wenn Sie jemandem Root-Zugriff auf Ihr System gewähren, übertragen Sie ihm letztlich alles auf dem System. Deshalb ist es wichtig, dass Sie den Leuten vertrauen, denen Sie Root-Zugriff gewähren.
Antwort3
Ich nehme an, Sie könnten ein unveränderliches erweitertes Dateisystemattribut für /etc/shadow festlegen. Dies verhindert alle Änderungen an Passwörtern, bis dieWurzelDer Benutzer macht das unveränderliche Bit rückgängig. Der Befehl lautet "chattr +i /etc/shadow"
Wenn Sie einem professionellen Systemadministrator Root-Zugriff gewähren, sollten Sie davon ausgehen, dass dieser das Kennwort nicht ändert, wenn Sie ihn dazu auffordern. Schließlich können Sie jederzeit auf Kerberos 5 oder etwas Zentralverwaltetes umsteigen.