2. Root account - was muss ich beachten?

B

bombaldi

New Member
Hallo liebe Community,

also mein Problem ist folgendes wir arbeiten momentan an einem grösseren Projekt im Team und da mein Freund schon erheblich mehr über unix / server weiss als ich möchte ich ihm auch einen Root account auf dem Server einrichten.

Jetzt habe ich da aber bedenken, ich bin teilweise vielleicht ein zu paranoider Mensch aber aufjedenfall habe ich angst er könnte evtl eine backdoor oder Sachen dort machen die ich nicht möchte, wie zb zusätzliche Services installieren oder einfach mal meine Sqldb klauen oder ähnliches.

Nun die Frage:
Wie kann ich dagegen vorgehen? Am besten wäre so etwas wie die .bash_history die mir jeden cmd den er ausführt protokolliert, allerdings kann er die ja leicht modifizieren oder löschen da er ja eben auch root user ist.

Eine andere Frage wäre ob ich den account irgendwie ganz explizit stück für stück nur einzelne Sachen erlauben darf

Sinnvoll wäre sicher soetwas wie von allen dateien eine Database mit jeweiligem md5 hash anzulegen, nur weiss ich leider nicht wie ich sowas realisieren könnte...

Ich hoffe mal ihr habt noch gute ansätze was man in so einer Situation tuen kann...

lg
tom
 
* gib niemandem Rootrechte, dem du nicht vollständig vertraust
* mit sudo kannst du jemandem partielle Rootrechte einräumen, dir aber genau so gut den Boden unter den Füßen abgraben, wenn du nicht genau weißt, was du tust

Einen Rootaccount ohne Rootrechte einrichten zu wollen, ist ein Widerspruch an sich.
 
Er braucht schlicht und ergreifend kein Root-User sein. Warum auch? Warum benötigt das Projekt Shellzugriff?
 
Wenn Du etwas mehr über das Projekt verraten würdest, fallen uns hier sicherlich noch etwas konkretere Vorschläge ein, wie man es hinbekommen kann, dass Ihr zusammenarbeitet und Dein Freund aber trotzdem keine Root-Rechte braucht.

Was ist das für ein Projekt? Web-Applikation, sonstiges Programm-Paket, etc.
Welche Werkzeuge setzt ihr für die Code-Verwaltung ein? CVS?
Wozu bräuchte Dein Freund überhaupt Root-Rechte bei dem Projekt?

Viele Grüße,
LinuxAdmin
 
Hallo,

Also es geht ja nur darum das mein Freund an solche Sachen wie apache und sonstige serverseitigen config files rankommt und das ein oder andere Programm installieren und compilieren kann.

Ich weiss ja dass der Root nur "ganz oder gar nicht" sein darf deswegen wende ich mich ja auch an euch ihr habt schon mehr Erfahrung und wisst sicherlich den ein oder anderen "workaround"

Über Sudo werde ich mich mal einlesen. Ich habe gestern testweise eine chroot umgebung installiert und bin auch sehr zufrieden damit, der ssh user kann dank chrlogin nur genau diese binarys ausführen die ich ihm in sein chroot reinkopiere und das ist momentan nur ls cat usw.
Wie könnte ich da nun weiter vorgehen um wenigstens teilweise administrative Aufgaben jemand anderem zugänglich zu machen? Ich denke da so an zugriff auf die ganzen config files zb apache mein ircd usw.

Nur ich würde eben gern ganz genau wissen wollen was er da macht und was er verändert hat deshalb ja die Idee mit md5 überprüfen und bash.history an einen 2. Ort kopieren oder so etwas...Ich hoffe dazu kann noch mal einer was sagen


lg
 
Wenn Ihr bereit seit, Euch etwas in das Versionsverwaltungswerkzeug CVS einzuarbeiten, würde ich Euch das empfehlen (und wenn Ihr noch etwas Zeit habt, da ich erst im Verlauf der Woche dazu kommen werde, die genaue Anleitung zu schreiben). CVS ist bei allen gängingen LinuxDistributionen dabei.

Mit CVS kannst Du genau verfolgen, wer wann welche Änderung an einer Datei gemacht hat und das CVS auch dazu bringen, dass bestimmte Dateien wieder an bestimmten Orten ausgecheckt werden (und andere Aktionen veranlasst werden), wenn ein Benutzer Änderungen an einer Datei eincheckt.

Das Softwareinstallations-Problem wird damit allerdings nicht gelöst, aber das kannst Du auch nicht mit sudo oder chrlogin lösen, da es dann Möglichkeiten zum Ausbrechen gibt. Insofern wirst Du den Teil (weitgehend) selber machen müssen.

Viele Grüße,
LinuxAdmin
 
You must log in or register to reply here.
Back
Top