Workshop: Open Source-Tipp

Mehr Rechte!

Früher war alles einfacher. Auf Linux- und Unix-Systemen gab es nur Root und den Rest der Welt. Root durfte alles, die anderen mehr oder weniger nichts. Etwas feinere Klassenunterschiede gibt es mit dem Polkit.
Aus IT-Administrator 07/2015
Open Source-Software findet in immer mehr Unternehmen und Behörden ihren Einsatz. Im Juli widmet IT-Administrator daher seinen Heftschwerpunkt der quelloffenen ... (mehr)

Die wirklich interessanten Sachen lassen sich auf einem Linux-System meistens nur als Root-User anstellen. Gerade Desktop-Benutzer können sicherlich ein Lied hiervon singen. Wer beispielsweise als regulärer Benutzer versucht, eine CD oder einen USB-Stick einzubinden, der wird enttäuscht. Meist lautet die deprimierende Fehlermeldung dann nur:

mount: only root can do that

Ähnlich verhält es sich, wenn der Anwender eine neue Software installieren, über die Netzwerkkonfiguration eine Verbindung mit dem nächsten WLAN herstellen oder andere privilegierte Aktionen auf einem System durchführen möchte. Klassischerweise ist in einem solchen Fall "sudo" die Lösung des Problems. Hier definiert der Systemverantwortliche zuvor, welche Programme normale Benutzer mit Root-Rechten starten dürfen. Startet ein Benutzer, der in den erlauchten Kreis der sudo-Benutzer aufgestiegen ist, ein solches Programm, so läuft dieses tatsächlich mit root-Rechten ab.

Da wir aber mittlerweile im Jahre 2015 angekommen sind, gibt es aber natürlich auch andere Möglichkeiten, bestimmte privilegierte Aktionen als nicht-root Benutzer auszuführen. Das zuerst unter dem Namen PolicyKit erschienene Sicherheitsframework Polkit wird mittlerweile von allen gängigen Linux-Distributionen eingesetzt und hilft dabei, nicht privilegierten Prozessen die Ausführung privilegierter Systemfunktionen zu ermöglichen.

In der Polkit-Welt wird gerne davon gesprochen, dass Clients auf sogenannte Mechanism zurückgreifen können. Ob die Ausführung gestattet ist, entscheidet ein Regelwerk, das vom Polkit-Daemon abgefragt wird. In diesem Regelwerk können Benutzer oder Gruppen Zugriff auf solche privilegierten Systemfunktionen bekommen. Polkit lässt sich so konfigurieren, dass ein Benutzer seine Identität nachweisen muss. Hierfür wird ein sogenannter "Authentication Agent" gestartet, der den Benutzer um die Eingabe seines Passwortes bittet. Wird

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Container-Scanning mit oscap-podman

Um veraltete Software-Installationen oder fehlerhafte Konfigurationen zu finden, existieren eine Vielzahl an unterschiedlichen Scannern. Immer mehr Anwendungen laufen allerdings in Containern ab. Für klassische Scanner-Tools sind diese somit gar nicht sichtbar. Der Open-Source-Tipp zeigt, wie sich dieses Problem mit­hilfe von OpenSCAP lösen lässt.

Datenschutzeinstellungen

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing