User-Rechte einschränken

[Fireball22]

Hallo,

ich würde gerne mit WinSCP ein komplettes Backup meines V-Servers bei Strato in regelmäßigen Abständen durchführen und dabei die Synchronisations-Funktion nutzen.

Um auf alle Daten zuzugreifen benötige ich ja volle Root-Rechte, aber ist es auch möglich, einem bestimmen User - sagen wir einmal dem User "backup" - alle Rechte für den Zugriff auf alle Dateien des Systems zu geben, aber diese NUR zu lesen, NICHT auszuführen und nicht ZU SCHREIBEN.
D. h. ein User mit ausschließlichen Leserechten auf alle Dateien

Geht sowas, wenn ja, wie?

MfG
Michael

 

[Firewire2002]

Theoretisch, ja.
Praktisch, naja. Ich würds nicht Empfehlen.

Problem an der Sache: Du kannst für Dateien und Ordner nur Rechte für Eigentümer und eine Gruppe festlegen (Möglichkeit der Rechte für alle anderen lass ich mal aussen vor)
Du müsstest allso allen Dateien Gruppenleserechte geben. Und einen Benutzer schaffen der in allen Gruppen Mitglied ist.

Bis hierhin nicht sonderlich schwer. Nun aber zum großen Knackpunkt.

1. Der Backupbenutzer hat zwangsläufig auf einige Dateien mehr als nur Leserechte
2. Alle Dateien und Ordner müssen immer ein Lesenrecht für die Gruppe besitzen. Auch Dateien die durch Scripte, Paketmanager und sonstiges erzeugt, kopiert oder anderweitig angelegt werden.
3. Wird ein neuer Dienst installiert welcher eine eigene Gruppe mitbringt oder wird einfach ein weiterer Benutzer angelegt (bei Debian wird dabei eine gleichnamige neue Gruppe erzeugt) muss der Backup Benutzer in diese neue Gruppe aufgenommen werden.

Fazit, du erzeugst eine erhebliche Steigerung des Administrationsaufwandes für kaum gesteigerte Sicherheit.

 

[Fireball22]

Stimmt, also das wäre nun echt ziemlich aufwendig alles, d. h. ich erledige die Backups dann weiterhin lieber per Root, auch wenn ich damit vllt. mit Sicherheitsproblemen rechnen muss, oder?

MfG
Michael

 

[Firewire2002]

Ein ernsthaftes Sicherheitsproblem würde dann entstehen, wenn du in einem Internetcafé sitzt, dort mit WinSCP als root arbeitest und vergisst dich beim gehen auszuloggen.
Wenn man mal von der üblichen Situation zu Hause ausgeht, sehe ich da kein größeres Sicherheitsrisiko als wenn man als root über den Paketmanager etwas installiert.

 

[LinuxAdmin]

Damit das mit WinSCP funktioniert, muss man auch wieder "PermitRootLogin yes" in der sshd-Config einstellen, was die meisten normalerweise auf "no" gestellt haben.
Insofern ist die Frage nach einem Backup-Benutzer durchaus gerechtfertigt. Die Dateisysteme auf vServern unterstützen normalerweise nur POSIX-ACLs und damit ist das Vorhaben jedoch nicht realisierbar. Einfacher wäre es, wenn Dateisysteme wie AFS oder Coda eingesetzt werden könnten, die haben erweiterte ACLs, mit denen das problemlos umsetzbar wäre.

 

[Fireball22]

Vielen Dank für eure Postings!

Stimmt, aber da ich ja eig. nur die Backups zuhause erstelle, dürfte es soweit schon mal kein Problem darstellen.

@LinuxAdmin
Das hört sich ja interessant an, aber die Dateisysteme sind mir jetzt echt neu, ich kannte bis jetzt nur immer als typisches Linux-Dateisystem ReiserFS.
Okay, super, dann werde ich das naher gleich mal mit Root-Rechten durchführen

MfG
Michael