root den Zugriff auf home-verzeichnisse verbieten

Hallo,

ist es irgendwie möglich root den Zugriff auf die home-verzeichnisse
(und auf den mail-cache) zu verbieten, dh. das ein wechseln in diese
Verzeichnisse oder ein auslesen der Dateien in der normalen nutzung
nicht mehr möglich ist.

Vielen Dank,

PJ


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Hallo Peter,

Peter Jordan wrote:
> Hallo,
>
> ist es irgendwie möglich root den Zugriff auf die home-verzeichnisse
> (und auf den mail-cache) zu verbieten, dh. das ein wechseln in diese
> Verzeichnisse oder ein auslesen der Dateien in der normalen nutzung
> nicht mehr möglich ist.
>

nein, das ist nicht möglich.

Viele Grüße

Michael

P.S. Root darf alles, denn Root = die Wurzel allen Übels. ;-)

--
EDV-Serviceteam Werthmann & Hierweck GbR
Annika Werthmann, Michael Hierweck
Egerstraße 53, 44225 Dortmund
http://www.edv-serviceteam.net


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Am 18. Juli 2008 16:49 schrieb Peter Jordan <usernetwork@...>:
> Hallo,
>
> ist es irgendwie möglich root den Zugriff auf die home-verzeichnisse
> (und auf den mail-cache) zu verbieten, dh. das ein wechseln in diese
> Verzeichnisse oder ein auslesen der Dateien in der normalen nutzung
> nicht mehr möglich ist.

Ich könnte mir denken dass root nicht in Dein home-Verzeichnis kommen
kann wenn Dein home-Verzeichnis sich auf einer aparten Partition
befindet. Du müsstest dessen Dateiformat verschlüsseln, so dass erst
Dein Kennwort eingegeben werden muss.
In dem Fall wo root jemand anders ist als Du selber (bei mir nicht der
Fall), sollte das so funktionieren (und sonst ist's Unsinn).
Wie Du dass aber mit dem Systemverwalter kommunizieren willst, kann
ich Dir leider nicht sagen.
--
Grüsse,
Ulrich
¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø

. " To faith only the holy is true, to knowledge only the true is holy "
. (L. Feuerbach)

¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø
de.geocities.com/india_ulrich/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

On 11450 March 1977, Peter Jordan wrote:

> ist es irgendwie möglich root den Zugriff auf die home-verzeichnisse
> (und auf den mail-cache) zu verbieten, dh. das ein wechseln in diese
> Verzeichnisse oder ein auslesen der Dateien in der normalen nutzung
> nicht mehr möglich ist.

Nein.

Du kannst nur für sorgen dass root sich die Daten nicht ansehen kann
während diese nicht benutzt werden (Verschlüsselung). Während der
Nutzung kommt root, wenn es will, daran. Egal was du tust.

--
bye, Joerg
Some NM:
main contains software that compiles with DFSG.
[hehehe, nice typo]
Of course, eye mean "complies", knot "compiles".  Sum typos cant bee
caught bye spelling checkers.


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Hi,

Peter Jordan wrote:

> ist es irgendwie möglich root den Zugriff auf die home-verzeichnisse
> (und auf den mail-cache) zu verbieten, dh. das ein wechseln in diese
> Verzeichnisse oder ein auslesen der Dateien in der normalen nutzung
> nicht mehr möglich ist.

Geht, wenn diese Verzeichnisse per NFS eingebunden sind und in
/etc/exports die Option root_squash verwendet wird.


hth,

Wolf
--
Übermut und seine Folgen - Mein Weg nach Hamburg.

                                http://kondancemilch.de/WegNachHamburg/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Wolf Wiegand:
> Peter Jordan wrote:
>
>> ist es irgendwie möglich root den Zugriff auf die home-verzeichnisse
>> (und auf den mail-cache) zu verbieten, dh. das ein wechseln in diese
>> Verzeichnisse oder ein auslesen der Dateien in der normalen nutzung
>> nicht mehr möglich ist.
>
> Geht, wenn diese Verzeichnisse per NFS eingebunden sind und in
> /etc/exports die Option root_squash verwendet wird.

Wobei dann immernoch die anderen von mir genannten Zugriffsmöglichkeiten
durch den Admin bestehen.

J.
--
I am not scared of death but terrified of people in Tommy Hilfiger
sweatshirts.
[Agree]   [Disagree]
                 <http://www.slowlydownward.com/NODATA/data_enter2.html>

Am Fri, 18 Jul 2008 17:22:14 +0200
schrieb "Ulrich Grün" <ulrich.gruen@...>:
Das hilft aber nicht wenn du eingeloggt bist. Ein einfaches su user und
root kann schon alle files lesen. Aber IMO wird hier eine technische
Lösung für ein soziales Problem gesucht. Das klappt i.d.R. nicht. Am
ehesten könnte ich mir vorstellen, dass das mit SElinux oder ähnlichem
klappt. Damit können die Rechte von root eingeschränkt werden.

Andreas

--
Andreas Juch                                ASCII Ribbon Campaign  /"\
                                               against HTML email  \ /
GPG-Key ID:  2C2BF5B1                                               X
                                                                   / \

Moin,

Jochen Schulz wrote:

Deine Mail ist hier noch nicht angekommen, aber Du hast wahrscheinlich
ein einfaches

# su username

gemeint. Ja, insofern ist NFS+root_squash nutzlos, da habe ich zu kurz
gedacht.

Wenn ich sowas umsetzen müsste, würde ich wohl auf Anhieb zwei weitere
Lösungen andenken:

- Schauen, ob es irgendwas in die Richtung FUSE+gpg gibt (/home/username
  bleibt lesbar, der Benutzer kann aber seine 'geheimen' Daten in ein
  Unterverzeichnis einblenden)
- AFS, wo durch Kerberos sichergestellt sein sollte, dass tatsächlich
  nur der jeweilige Benutzer Zugriffsrechte erhält.
 
Für /var/mail funktioniert das aber jeweils wahrscheinlich nicht.

Sind aber auch nur Denkanstöße, ob das funktioniert und praktikabel ist,
kann ich nicht sagen.


Schönes Wochenende -

  Wolf
--
Übermut und seine Folgen - Mein Weg nach Hamburg.

                                http://kondancemilch.de/WegNachHamburg/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

[Re-post. Sorry Ulrich, mir war gar nicht aufgefallen, dass ich Dir
statt der Liste geantwortet habe.]

Ulrich Grün: Sobald das Dateisystem aber gemountet ist, hat root vollen Zugriff.

Die Anforderung läßt sich, wenn überhaupt, wohl nur mit SELinux, ACLs
oder so realisieren. Würde mich aber nicht wundern, wenn das gar nicht
geht.

Ich verstehe den Hintergrund der Frage auch nicht ganz. Wer dem Admin
nicht vertraut, soll keine privaten Daten auf von ihm gewarteten Kisten
ablegen. Der Admin hat selbst bei fehlendem direkten Zugriff auf die
Dateien eh noch genug andere Möglichkeiten, an die Daten zu kommen. Er
kann sie aus dem RAM auslesen, oder direkt vom Device, oder er
installiert Keylogger, oder er schneidet (unverschlüsselten)
Netzwerkverkehr mit, oder oder oder...

J.
--
I am not scared of death but terrified of people in Tommy Hilfiger
sweatshirts.
[Agree]   [Disagree]
                 <http://www.slowlydownward.com/NODATA/data_enter2.html>

Jochen Schulz, 07/19/2008 01:46 PM:

Die Frage ist nur rein theoretischer Natur und ich will keine Daten vor
dem Admin verbergen.

Gruß,

PJ


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Hi,

am 19 Jul schrieb Jochen Schulz:
> Ich verstehe den Hintergrund der Frage auch nicht ganz. Wer dem Admin
> nicht vertraut, soll keine privaten Daten auf von ihm gewarteten
> Kisten ablegen. Der Admin hat selbst bei fehlendem direkten Zugriff

Das Problem taucht(e) zuweilen an Schulen auf, wo oftmals ein Schüler
oder untergebener Lehrer Admin ist, weil's der Schulleiter nicht kann
oder will, dann aber Mails kommen mit z.B. Prüfungsfragen...                  
(Dass dazwischen noch 15 andere Admins sitzen, über deren Router die
Mail geht, macht nichts - die sieht man ja nicht.)
                                                 
mfg.
Gernot


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

On Sat, 19 Jul 2008 13:46:20 +0200
Jochen Schulz <ml@...> wrote:

Oder mit physischem Zugriff auf root, z.B. indem man sich erst
einloggt, nach dem man den Admin gefesselt hat, und ihn erst dann
losbindet, nachdem man sich ausgeloggt hat.

Dirk.


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Hallo,

Gernot Zander schrieb:
Das darf doch wohl nicht wahr sein :(

Werden solche vertraulichen Informationen nicht verschlüsselt?

GnuPG existiert seit langem und kann auch einfach unter Win installiert
und konfiguriert werden.

Unter Debian erst recht! Die Mails bleiben verschlüsselt auf der Platte.
Nur wer die Passphrase zum Privatkey kennt, kann entschlüsseln.

Diese Passphrase hat natürlich nichts auf der Platte verloren, weder im
Home-Verzeichnis noch sonst wo!

Gruß

Mechtilde


--
Dipl. Ing. Mechtilde Stehmann
## http://de.openoffice.org
## Ansprechpartnerin für die deutschsprachige QA
## Freie Office-Suite für Linux, Mac, Windows, Solaris
## Meine Seite http://www.mechtilde.de
## PGP encryption welcome! Key-ID: 0x53B3892B


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Hallo,
On Sun, Jul 20, 2008 at 01:19:48PM +0200, Mechtilde wrote: Aber auch das bringt nichts gegen den lokal Admin - der kann ja einfach gpg
austauschen, so dass der Passphrase & der private Key lokal gespeichert werden,
sobald der User die Daten einmal auf dem Rechner entschlüsselt!

Aber klar, besser als nichts ;-)

Axel


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

On 07/20/2008 01:19 PM, Mechtilde wrote: Wie aber bereits gesagt wurde, bringt das wenig, da der Administrator des
Rechners an dem die Mail gelesen wird ja immer noch die Entschlüsselte Mail
sehen könnte oder mit einem Keylogger das Passwort zum Private Key mitschneiden
könnte, oder, oder, oder.

Solange das Lesen der Mail nicht an einem System erfolgt zu dem nur
vertrauenswürdige Personen Root-Zugang haben, wird man nie sicher sein können,
dass an dem System nicht manipuliert wurde und ebenso wenig kann die
Vertraulichkeit der Mails gewährleistet werden.

Mit freundlichen Grüßen,
Christian Franke

Hallo,

cfchris6 schrieb:
> On 07/20/2008 01:19 PM, Mechtilde wrote:

Das ist schon richtig.

Da kann man dann weiter überlegen:

erstmal ist wohl wichtig, dass solche Mails überhaupt verschlüsselt werden.

Signatur-Karte und separates Eingabe-Gerät.

Solche Mails nur Offline-Lesen.

Den ganz Paranoiden unter uns fallen bestimmt noch mehr Möglichkeiten
ein das Lesen der Mails durch Unbefugte zu verhindern.

Unterm Strich ist alles nur ein Versuch, den Aufwand, der betrieben
werden muss, unbefugt eine Mail zu lesen, so groß ist, dass es sich
nicht mehr lohnt.

Gruß

Mechtilde


--
Dipl. Ing. Mechtilde Stehmann
## http://de.openoffice.org
## Ansprechpartnerin für die deutschsprachige QA
## Freie Office-Suite für Linux, Mac, Windows, Solaris
## Meine Seite http://www.mechtilde.de
## PGP encryption welcome! Key-ID: 0x53B3892B


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@...
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@... (engl)

Hallo
Am Sonntag, 20. Juli 2008 07:33 schrieb Gernot Zander: sogenannte "Vergleichsarbeiten" abgesagt, weil deren Inhalt auf unerklärliche
Weise im Internet landeten. Diese Vergleichsarbeiten werden zentral im
Kultusministerium erarbeitet und dann per E-Mail an die Schulen verteilt.

Ein Schelm wer Böses dabei denkt.

--
Mit freundlichen Grüßen
Matthias Müller
(Benutzer #439779 im Linux-Counter http://counter.li.org)
PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Siehe auch: http://www.gnu.org/philosophy/no-word-attachments.de.html

Matthias Müller schrieb am Sonntag, 20. Juli 2008 um 21:15:56 +0200: