Root verbieten bestimmten Benutzer das Passwort zu ändern

[SpaceNaut]

Guten Tag,
ich habe ein kleines Problem.
Ich programmiere gerade ein Webinterface für meine Kunden mit One-Click-Installation von bestimmter Software.
Ich gebe Standardgemäß den Kunden den Root-Zugang und erstelle einen Nutzer für das Webinterface.
Nun kann aber der Kunde das Passwort für das Webinterface ändern, was ich aber nicht möchte.
Kann ich den Root-User verweigern das Passwort für den Nutzer zu ändern bzw. diesen Nutzer zu löschen.
Auf Windows wüsste ich wie.

Betriebssystem ist überwiegend Debian bzw. Ubuntu.

Hilfe wäre cool!

Mit freundlichen Grüßen,
Kai Pazdzewicz

 

[danton]

Der Root unter Linux darf alles. Aber warum gibst du deinen Kunden einen Root-Zugang?

 

[SpaceNaut]

Ist halt ein "normaler" Root Server.

 

[danton]

Wenn deine Kunden den Server selbst verwalten, dann weise sie darauf hin, dass dein Installer nur funktioniert, wenn das Passwort für einen diesen komischen Webuser nicht geändert werden darf und um den Rest müssen sie sich selber kümmern.
Falls du allerdings den Server administrierst und ggfl. sogar mehrere Kunden sich diesen teilen, dann hat ein Kunde IMHO keinen Root-Zugriff zu haben.

 

[GwenDragon]

Wieso programmierst du das Webinterface nicht so, dass nur du mit PIN das Passwort ändern kannst.
Wenn du ihm die Software lieferst, leg halt vertraglich fest, was er beim Webinterface ändern darf.

Ansonsten, wenn der Kunde eh Root-Zugriff hat, kann er sowieso alles kaputtmachen was er will.

 

[Deleted member 15972]

Theoretisch könnte man das wohl mit SeLinux bewerkstelligen andererseits ist die Frage, ob man das nicht gänzlich anders regeln sollte, da man mit root prinzipiell alles machen kann, also sehr exakte Selinux Regeln bräuchte.

 

[SpaceNaut]

Dann werde ich wohl so machen das ich das den Kunden mitteilen muss.
Schade das es nicht so einfach geht

 

[Joe User]

Das geht nicht, weder unter Linux noch unter Windows.


Warum machst Du es nicht genauso falsch wie die Hersteller von SCADA-Systemen, SOHO-Routern oder embedded Geräten und hardcodierst das Passwort für die Backdoor äh den Servicezugang?

 

[Deleted member 11740]

Ja das wäre eine spaßige Lösung.
Von anderen WI weiß ich, dass sie den Root-Zugang zur Installation der Applikation genau ein mal benötigen. Danach wird ein User angelegt, der alle Dateien der Applikationen verpasst bekommt. Der User bekommt für ausgwählte Befehle sudo (z.B. für useradd, usermod, userdel). Die Applikation sollte so konzipiert sein, dass diese unabhängig von root, also mit einem normalen User aktualisiert werden kann.