Workshop: Open Source-Tipp

Mehr Rechte!

Früher war alles einfacher. Auf Linux- und Unix-Systemen gab es nur Root und den Rest der Welt. Root durfte alles, die anderen mehr oder weniger nichts. Etwas feinere Klassenunterschiede gibt es mit dem Polkit.
Open Source-Software findet in immer mehr Unternehmen und Behörden ihren Einsatz. Im Juli widmet IT-Administrator daher seinen Heftschwerpunkt der quelloffenen ... (mehr)

Die wirklich interessanten Sachen lassen sich auf einem Linux-System meistens nur als Root-User anstellen. Gerade Desktop-Benutzer können sicherlich ein Lied hiervon singen. Wer beispielsweise als regulärer Benutzer versucht, eine CD oder einen USB-Stick einzubinden, der wird enttäuscht. Meist lautet die deprimierende Fehlermeldung dann nur:

mount: only root can do that

Ähnlich verhält es sich, wenn der Anwender eine neue Software installieren, über die Netzwerkkonfiguration eine Verbindung mit dem nächsten WLAN herstellen oder andere privilegierte Aktionen auf einem System durchführen möchte. Klassischerweise ist in einem solchen Fall "sudo" die Lösung des Problems. Hier definiert der Systemverantwortliche zuvor, welche Programme normale Benutzer mit Root-Rechten starten dürfen. Startet ein Benutzer, der in den erlauchten Kreis der sudo-Benutzer aufgestiegen ist, ein solches Programm, so läuft dieses tatsächlich mit root-Rechten ab.

Da wir aber mittlerweile im Jahre 2015 angekommen sind, gibt es aber natürlich auch andere Möglichkeiten, bestimmte privilegierte Aktionen als nicht-root Benutzer auszuführen. Das zuerst unter dem Namen PolicyKit erschienene Sicherheitsframework Polkit wird mittlerweile von allen gängigen Linux-Distributionen eingesetzt und hilft dabei, nicht privilegierten Prozessen die Ausführung privilegierter Systemfunktionen zu ermöglichen.

In der Polkit-Welt wird gerne davon gesprochen, dass Clients auf sogenannte Mechanism zurückgreifen können. Ob die Ausführung gestattet ist, entscheidet ein Regelwerk, das vom Polkit-Daemon abgefragt wird. In diesem Regelwerk können Benutzer oder Gruppen Zugriff auf solche privilegierten Systemfunktionen bekommen. Polkit lässt sich so konfigurieren, dass ein Benutzer seine Identität nachweisen muss. Hierfür wird ein sogenannter "Authentication Agent" gestartet, der den Benutzer um die Eingabe seines Passwortes bittet. Wird

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Desktop-Sicherheit mit Sudo und Policykit

Das neue Sicherheitsmodell Policykit ermöglicht unter Ubuntu Hardy Heron eine bessere Feinabstimmung sicherheitsrelevanter Aufgaben, als das bislang mit Sudo möglich war.

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite