Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelöst]

[jmar83]

Es geht nicht darum, dass ich den MA nicht vertraue, keinesfalls.

Ich will mich einfach jederzeit mit dem "grossen" Passwort einloggen können welches ich im Kopf habe. Habe dass schon entsprechend kommuniziert bei meinen Leuten. Der eine MA hat ja das root-Password geändert weil er als (eigentlich reiner C/C++-Entwickler) mit dem sudo-user1 nicht klar kam. Und nicht weil er mir die Kontrolle entziehen wollte.

Klar, nun könnte er natürlich weiterhin (gerade als "root", klar) mein "grosses" user1-sudoer-Passwort ändern. Tut er aber nicht (mehr).

[jmar83]

Und noch was: Das mit "PermitRootLogin yes" ist z.B. auch bei Plesk gängiger Standard. Na gut, vielleicht sollte man es besser z.B. auf Port 30022 als standardmässig auf 22 laufen lassen. Setzt schon mal ne Hürde für Angreifer.

Und soooo kritisch sind die Sachen aktuell auch wieder nicht...

[TRex]

bei Plesk gängiger Standard

*kicher* Plesk, das Hochsicherheitsprodukt. Also bei meinem VPS kann sich root ebenfalls einloggen (Port 22), allerdings nur mit SSH-Key.

Ich greife mal denen vorweg, die gerade zuckend auf dem Boden liegen und versuche zu erklären, warum die meisten dein Setup (und Mindset dazu) kritisieren:

1. die größte Gefahr (in Sachen "Datenreichtum" und sonstigen IT-Sicherheitsvorfällen) sind die Mitarbeiter. Das ist nicht gleichzusetzen mit "ich vertraue meinen Mitarbeiten nicht", sondern mit potentiellem Unwissen und einer Risikobewertung für menschliche Reaktionen.
a) dein MA hat die Macht über das System, er kann also auch unabsichtlich das System schrotten oder in irgendeiner Weise die Sicherheit gefährden, weil er seine Produktivität erhöhen oder ein Problem lösen will. Keine Rechte? chmod -R 777 / Keine Verbindung? listen 0.0.0.0:3306 (auf nem von außen erreichbaren System). Freitag nachmittag, mal diese tolle Admin-UI ausprobieren? dpkg -i Downloads/webmin-0.4.1-beta.deb
b) es läuft gerade nicht so gut, ihr hattet Streit über die Zukunft oder weiß der Geier was, Impulshandlung rm -rf /, um dir eins reinzuwürgen.
c) unwahrscheinlich(st)er Fall, deiner Beschreibung nach: dein MA tauscht diverse Dateien auf dem System aus und loggt sich dein Passwort irgendwo hin.
2.

soooo kritisch sind die Sachen aktuell auch wieder nicht

Hm, was bedeutet aktuell? Meinst, dass sich das ändern könnte? Oder was bedeutet "soooo" kritisch? Könnte man auch offen auf ein öffentliches dropbox legen? (Frage an dich für dich, ich brauch da keine inhaltliche Antwort - es geht um die Einschätzung, wie schützenswert die Daten sind und was man als Folge daraus dafür tun muss).
3. Es gibt da schon ein "gemeinsames Verständnis" für best practices auf geteilten Systemen. Das ist bei dir aber noch nicht angekommen (vermutlich, weils bisher keinen Anlass gab, sich Sorgen zu machen und auch keinen Vorfall) und die, die sich ausmalen können oder bereits Erfahrungen gemacht haben, was passieren kann, wenn man die nicht mal kennt, würden dich gerne vor dem Schicksal bewahren (oder sie glauben, dass du sie kennst und ignorierst, und sind entsprechend enttäuscht - vor allem in deiner aktuellen Rolle als Admin).
4. Nachdem ich als Admin die Grenzen festlege, was jemand tun soll/darf und was nicht, würde ich nicht wegen fehlender Doku oder Verständnis oder Ignoranz der existierenden Doku die Rechte erweitern. Ansonsten müsste ich mich fragen, ob die Grenzen denn sinnvoll gesteckt waren (und diese Entscheidung würde ich niemandem überlassen, der Entscheidungen nach "nerv mich nicht"-Lage trifft).

[jmar83]

Vielen Dank für dein sehr kompetentes, umfangreiches Feedback!!

(P.S.: Also mein Hoster privat (Alfahosting) wie auch der in der Firma (Strato) haben (zumindest wenn ich mich richtig einnere) ein reines Benutzername + Kennwort-Login (also KEIN Key) per default auf Plesk vorkonfiguriert...)

Klar, was du sagst ist nicht dementierbar - nüchterne, aber knallharte Fakten...

[KP97]

Hoffentlich finden die Chefs nicht heraus, welchen "Admin" sie da haben...

[jmar83]