restriktives Linux System

Hinweis: In dem Thema restriktives Linux System gibt es 1 Antwort.
  • Hallo,


    ich habe eine Frage.


    Kann man unter Suse Linux bestimmten Usern Befehle verbieten.


    Ich möchte zum Beispiel einem angemeldeten User nur bestimmte Befehle erlauben.


    An meiner alten Hochschule haben die das mit einem VAX Unix auch so gemacht.


    Man hatte einen Account mit dem man nur bestimmte Befehle absetzen konnte.


    Kann man das unter Suse Linux auch?

    Für den Inhalt des Beitrages 21127 haftet ausdrücklich der jeweilige Autor: systemsas

  • Hallo zusammen,


    ja, ist aber ein wenig Aufwand. Du musst die Rechte an allen ausführbaren Dateien ändern. Normalerweise gehören die Befehle root und zur Gruppe root. Die Gruppe "others" hat das Recht die Dateien auszuführen. Wenn du nun alle ausführbaren Dateien auf 700 setzt, kann nur noch root sie ausführen. Die anderen können sie nicht mehr sehen. Geschickter wäre es allerdings, sie bestimmten Gruppen zuzuweisen und dann auf 750 zu setzen. Dann können nur noch Mitglieder dieser Gruppe den Befehl ausführen. Du solltest aber genau wissen, was Du da tust, und auch die Sticky-bits der Dateien beachten. Noch genauer kann man das mit acl regeln.


    Achtung: Bei Suse gibt es eine kleine aber gemeine Falle, die permissions files. Davon gibt es im Standard permissions, permissions.easy, permissions.secure, permissions.paranoid und permissions.local in /etc. In diesen Dateien sind Rechte vermerkt, die bei jedem Neustart gesetzt werden. Damit soll vermieden werden, dass bei solchen Experimenten der Rechner nicht mehr nutzbar wird. Der Nachteil daran ist, dass die Rechte eben nach dem Neustart wieder zurückgesetzt werden. Mit anderen Worten, Du musst diese Dateien bzw. die Datei permissions.local auch so bearbeiten, dass die Rechte so sind, wie Du sie haben willst. Ein wenig Fleißarbeit. ;)


    Achja, nicht vergessen. Die Änderungen an Benutzern (z. B. Gruppenzugehörigkeit) werden erst nach Neuanmeldung wirksam.


    hth


    Liebe Grüße


    Erik

    Für den Inhalt des Beitrages 21183 haftet ausdrücklich der jeweilige Autor: erikro