getent passwd/group & DSGVO

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

getent passwd/group & DSGVO

Beitrag von joe2017 » 18.06.2018 10:47:24

Hallo zusammen,

ich hätte mal eine generelle Frage. Unter Linux kann sich jeder Benutzer mit dem Befehl getent passwd oder getent group alle Benutzer/Grupen anzeigen lassen. Innerhalb einer LDAP Anmeldung werden somit auch alle Benutzer/Gruppen von dem LDAP Server gelistet.

Da man zu einem Benutzer einen Namen (Max Mustermann) hinterlegt, kann somit jeder Benutzer den Benutzernamen eines x beliebigen Mitarbeiters herausfinden. Und über die Gruppen auch gleich noch die Administratoren (root Benutzer). Wie kann das verhindert werden? Bzw. wie ist dies in dem neuen Datenschutz Gesetz geregelt? Ich denke mal, dass diese persönliche Daten nicht jedem Benutzer eines Unternehmen zugänglich gemacht werden dürfen. Was sagen die Debian Spezialisten hierzu?

Kann man evtl. derartige Befehle für normale Benutzer sperren?

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: getent passwd/group & DSGVO

Beitrag von Tintom » 18.06.2018 11:32:07

Die Frage ist: Warum möchtest du das verhindern? Bei großen Organisationen kennt man idR nicht jeden Kollegen persönlich, ohne die Verknüpfung von Stelle, Email und Name etwa in Outlook ist produktives Arbeiten kaum möglich.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: getent passwd/group & DSGVO

Beitrag von joe2017 » 18.06.2018 11:37:19

Die Frage war was das neue Datenschutzgesetz hierzu sagt und wie Debian damit umgeht?

Ich finde es auch nicht gerade gut wenn man den Benutzernamen der Administratoren auslesen kann. Oder den des Geschäftsführers. Hier werden sicher einige was dagegen haben.

TomL

Re: getent passwd/group & DSGVO

Beitrag von TomL » 18.06.2018 12:25:54

Reicht es nicht aus das 'other-X' bei getent zu entfernen?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: getent passwd/group & DSGVO

Beitrag von bluestar » 18.06.2018 23:00:26

joe2017 hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 11:37:19
Die Frage war was das neue Datenschutzgesetz hierzu sagt und wie Debian damit umgeht?
Die Frage müsste doch eher lauten, wie du deine Debian-Installation entsprechend konfigurieren musst um deine Anforderungen zu erfüllen.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: getent passwd/group & DSGVO

Beitrag von joe2017 » 19.06.2018 08:59:58

Und genau diese Frage stelle ich doch auch hier. Wie kann man verhindern, dass diese Informationen angezeigt werden?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: getent passwd/group & DSGVO

Beitrag von joe2017 » 16.07.2018 16:19:55

Gibt es hierzu eigentlich noch eine Stellungnahme? Leider hab ich noch immer nichts gefunden wie man die Anzeige aller Gruppen und Benutzer (zumindest durch ein Kennwort) schützen kann.

DeletedUserReAsG

Re: getent passwd/group & DSGVO

Beitrag von DeletedUserReAsG » 16.07.2018 16:59:12

Da man zu einem Benutzer einen Namen (Max Mustermann) hinterlegt […]
Wer tut denn heutzutage noch sowas?
Bzw. wie ist dies in dem neuen Datenschutz Gesetz geregelt?
Gar nicht, ist nicht dessen Geltungsbereich.
Was sagen die Debian Spezialisten hierzu?
„Das ist kein debianspezifisches Problem.“
Kann man evtl. derartige Befehle für normale Benutzer sperren?
Natürlich kannst du /usr/bin/getent für normale Nutzer unbenutzbar machen - Dateirechte, MAC, verschieben, […]. Der nächste Punkt wäre dann, wie du so Sachen wie cat /etc/passwd unterbindest (oder das Äquivalent des von dir genutzten Mechanismus).

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: getent passwd/group & DSGVO

Beitrag von bluestar » 16.07.2018 17:02:20

joe2017 hat geschrieben: ↑ zum Beitrag ↑
16.07.2018 16:19:55
Gibt es hierzu eigentlich noch eine Stellungnahme? Leider hab ich noch immer nichts gefunden wie man die Anzeige aller Gruppen und Benutzer (zumindest durch ein Kennwort) schützen kann.
Wenn du Security by Obscurity haben willst, dann orientiere dich an TomL's Vorschlag und beschneide die Rechte für das Programm getent, dann muss sich ein User bei dir halt Perl oder Python bedienen um die Benutzer- und Gruppendatenbank auszulesen.

Achja und bei jedem Update natürlich darauf achten die Rechte erneut zu beschneiden.

Ob und falls dabei irgendwas an dem System kaputt geht, das wirst du herausfinden.... Ich freue mich auf deine Forschungsergebnisse.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: getent passwd/group & DSGVO

Beitrag von spiralnebelverdreher » 16.07.2018 18:07:29

joe2017 hat geschrieben: ↑ zum Beitrag ↑
18.06.2018 11:37:19
Die Frage war was das neue Datenschutzgesetz hierzu sagt und wie Debian damit umgeht?

Ich finde es auch nicht gerade gut wenn man den Benutzernamen der Administratoren auslesen kann. Oder den des Geschäftsführers. Hier werden sicher einige was dagegen haben.
Kannst du vielleicht den Kontext deiner Frage mal etwas genauer erläutern? Warum findest du das mit den Benutzernamen der Admins und dem des Geschäftsführers nicht gut? Wo ist da ein Problem? Geht es dir um das Innenverhältnis in einer Institution oder geht es dir darum, dass solche Informationen außerhalb einer Institution bekannt werden?

Wenn eine Firma intern ein Verzeichnis betreibt, in dem die Namen, Abteilungsbezeichungen, Funktionen, Mailadressen und Telefonnummern aller Mitarberinnen und Mitarbeiter aufgeführt sind, dann ist das mit der DSGVO vereinbar. Schließlich hat jede Mitarbeiterin, jeder Mitarbeiter einen (Arbeits)Vertrag mit der Firma (§6b DGSVO) und diese Daten dienen dazu, dass die Arbeitsteilung im Betrieb funktioniert.
Wenn die Firma aber in einem Verzeichnis auch politische Meinungen, religiöse oder weltanschauliche Überzeugungen ihrer Angestellten erfasst, ist dies nach §9 DGSVO nur in Ausnahmefällen zulässig. Das gilt völlig unabhängig von debian, Windows und OS/2.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: getent passwd/group & DSGVO

Beitrag von joe2017 » 17.07.2018 08:31:21

Guten Morgen,

es war ja auch nur eine Frage ob das alles so konform ist. Wenn sich ein Mitarbeiter etwas mit Linux auskennt, kann dieser einfach einige Dinge abfragen die meiner Meinung nach nicht unbedingt jeder wissen müsste. Klar kann niemand Kennwörter auslesen, aber ich finde es muss auch nicht sein, dass jeder die Benutzernamen der zugehörigen Mitarbeiter/innen auslesen kann. Von Administrativen Konten ganz zu schweigen. Aber wenn das ohne riesigen Aufwand nicht verhindert werden kann, muss ich wohl irgendwie damit leben.

Ich wollte hier auch niemand auf den Schlips treten. Ich wollte dieses Thema einfach mal in die Runde werfen und hören was Debian hierzu sagt.

Gunman1982
Beiträge: 923
Registriert: 09.07.2008 11:50:57
Lizenz eigener Beiträge: MIT Lizenz

Re: getent passwd/group & DSGVO

Beitrag von Gunman1982 » 17.07.2018 10:19:39

joe2017 hat geschrieben: ↑ zum Beitrag ↑
17.07.2018 08:31:21
... Ich wollte dieses Thema einfach mal in die Runde werfen und hören was Debian hierzu sagt.
Für eine offizielle Stellungnahme wirst du wohl eher hier: leader@debian.org (und auf Englisch) fragen müssen.

Antworten