Zum aktuellsten Beitrag
Probleme mit su
  • verfasst: 02.12.2006, 14:24
       
    Flag
    Forenrang:
    Profi Profi
    registriert:
     Dezember 2006
    Status:
    offline
    letzter Besuch:
    09.09.09
    Beiträge:
    18
    hallo,

    Seit dieser Woche habe ich ein neues Problem und googlen hat mich bisher nicht weiter gebracht.

    An unserer Schule sollen einige Schüler auch Linux lernen, dafür haben wir auf einigen Klienten-Rechnern diverse Linuxe, besonders auch SUSE installiert. Das Root passwort der Klienten-Rechner kennen die Schüler natürlich.

    Die normale Anmeldung klappt über LDAP ganz vorzüglich. /home /home/groups und eine weitere Freigabe werden über NFS gemountet. Lehrer und Schüler haben damit unter den Windosen und Linuxen die gleliche Netzwerkumgebung und der Austausch von Daten im normalen Unterricht klappt.

    /home und /home/groups kann der lokale root wegen "root_squash" nicht lesen. Macht sich aber der lokale root per "su" zu einem normalen Schüler oder schlimmer zu einen Lehrer dessen Username bekannt ist, kann er ohne Passwort in dessen home und dort tun und lassen was er will. icon_confused

    Irgendwelche Ideen (auÃ?er das Kind gelich mit dem Bade auszugieÃ?en)?

    GruÃ? Ralf

  • verfasst: 02.12.2006, 16:40
     
    Forenrang:
    OSS Admin OSS Admin
    registriert:
     Februar 2005
    Status:
    offline
    letzter Besuch:
    13.02.10
    Beiträge:
    168
    Hallo Ralf,
    Flag
    An unserer Schule sollen einige Schüler auch Linux lernen, dafür haben wir auf einigen Klienten-Rechnern diverse Linuxe, besonders auch SUSE installiert. Das Root passwort der Klienten-Rechner kennen die Schüler natürlich.


    Brauchen die Schüler zum arbeiten unbedingt die Root-Rechte?

    Flag
    /home und /home/groups kann der lokale root wegen "root_squash" nicht lesen. Macht sich aber der lokale root per "su" zu einem normalen Schüler oder schlimmer zu einen Lehrer dessen Username bekannt ist, kann er ohne Passwort in dessen home und dort tun und lassen was er will. icon_confused


    Ich hab das mal nachgebauten. Ich kann nur in das entsprechende Gruppenverzeichnis wechseln, als "Lehrer" in teachers. Die eigentlichen Userverzeichnisse bleiben mir verschlossen. Aber das mit dem Gruppenverzeichnis ist auch schon unschön.

    Evtl. stimmen die Rechte deiner Homeverzeichnisse nicht. Sie sollten max. 711 haben, wobei auch wieder die ACL´s zu beachten sind. Mal sehn was Lars meint icon_wink .

    Viele Grü�e
    Andreas
  • verfasst: 03.12.2006, 11:01
       
    Flag
    Forenrang:
    Profi Profi
    registriert:
     Dezember 2006
    Status:
    offline
    letzter Besuch:
    09.09.09
    Beiträge:
    18
    aochs
    Brauchen die Schüler zum arbeiten unbedingt die Root-Rechte?


    das meinte ich mit "mit dem Bade ..." .Die relevanten Rechner sind im PC & Netzwerk -Labor, da brauchen die Schüler schon root: Pakete installieren, konfigurieren, routen setzten usw.

    aochs
    Evtl. stimmen die Rechte deiner Homeverzeichnisse nicht. Sie sollten max. 711 haben, wobei auch wieder die ACL´s zu beachten sind. Mal sehn was Lars meint icon_wink .


    Die Rechte habe ich gerade nochmal kontrolliert:
    phoenix:/home/students# ls -l
    ...
    drwx--x--x 12 zwinxxxx students 816 2006-08-25 14:27 zwinxxxx
    ...

    phoenix:/home/teachers # getfacl flag
    # file: flag
    # owner: flag
    # group: teachers
    user::rwx
    group::--x
    other::--x

    Dem lokalen root das execute-recht an /bin/su zu nehmen hat nicht geklappt. "su" zu löschen und alles mit "sudo" ist wohl auch nicht die perfekte Lösung: nachinstallierten, irgendwo ein /bin/su übersehen, Schüler-Notebooks mit Linux drauf ...

    hier mal die Anleitung zum Nachbau

    zwinxxxx@r156-pc01:/home/students> cd
    zwinxxxx@r156-pc01:~> su
    Passwort:
    r156-pc01:/home/students/zwinxxxx# su flag
    flag@r156-pc01:/home/students/zwinxxxxi>ls -l
    /bin/ls: .: Keine Berechtigung
    flag@r156-pc01:/home/students/zwinxxxxi> cd
    flag@r156-pc01:~> mkdir test
    flag@r156-pc01:~> ls -l
    ...
    drwxr-xr-x 2 flag teachers 48 2006-12-03 09:45 test
    ...
    flag@r156-pc01:~> rm -R test
    flag@r156-pc01:~>

    Ich vermute mal, dass das Problem alle Linux-Schulserver trifft die /home per nfs freigeben und eine Unix-Domäne via NIS oder LDAP haben. Hier läuft OSS 2.1 eval.

    GruÃ? Ralf



    editiert von: Flag, 03.12.2006, 12:04 Uhr
  • verfasst: 03.12.2006, 18:48
       
    Flag
    Forenrang:
    Profi Profi
    registriert:
     Dezember 2006
    Status:
    offline
    letzter Besuch:
    09.09.09
    Beiträge:
    18
    Hallo,

    ich habe gerade herausfunden (auch hier auf der Site), dass das Problem wohl bekannt ist.
    Ein Lösung suche ich aber weiter. Ich werde morgen erstmal versuchen, /bin/su durch ein script
    zu ersetzen, damit wenigstens auf den Schurechnern keiner durch Zufall in ein fremdes Home
    stolpert. Gut wird das aber nicht. Alternativen?

    GruÃ? ralf



    editiert von: Flag, 03.12.2006, 19:49 Uhr
  • verfasst: 03.12.2006, 21:43
     
    Forenrang:
    OSS Admin OSS Admin
    registriert:
     Februar 2005
    Status:
    offline
    letzter Besuch:
    13.02.10
    Beiträge:
    168
    Jau, nicht schön...

  • verfasst: 04.12.2006, 10:06
       
    Lars
    Forenrang:
    Site Admin Site Admin
    registriert:
     November 2003
    Status:
    offline
    letzter Besuch:
    27.11.09
    Beiträge:
    526
    FlagDie normale Anmeldung klappt über LDAP ganz vorzüglich. /home /home/groups und eine weitere Freigabe werden über NFS gemountet. Lehrer und Schüler haben damit unter den Windosen und Linuxen die gleliche Netzwerkumgebung und der Austausch von Daten im normalen Unterricht klappt.



    NFS ist und bleibt nun einmal "evil" (die Gefahren sind ja auch hier beschrieben) und sollte bei deiner Nutzung abgeschaltet werden.

    Lösungsvorschläge:

    1)
    Du könntest anstelle von NFS auf cifs bzw. pam_mount umsteigen. In der neuen 10.2 ist dafür extra ein Punkt ("anmelden an Windows-Domäne") direkt bei der Installation vorgesehen. Dann können die Schüler vom OSS nur die Ordner beziehen, mit deren Nutzernamen und Passwort Sie sich verbinden (ein reines "su" ohne Passwort hilft da nicht mehr).
    Also: Am OSS NFS ganz abschalten und die Laufwerke von den Linuxclients aus nur über Samba machen. Dazu solltest du dich ein wenig mit pam auseinandersetzen (Stichworte: http://sourceforge.net/projects/pam-cifs , http://pam-mount.sourceforge.net/ )

    2)
    Warum immer wieder das "Live-System" kaputt schieÃ?en? Ich kenne eine Schule, die machen das wie folgt:
    - Lehrer richtet in einer VMWare eine "Lernmaschine" ein
    - Lehrer kopiert das VMWare-Image auf den OSS in einen speziellen Ordner
    - Clients booten ein Minimal-Linux
    - Clients kopieren das VMWare-Image auf ihre lokale Platte
    - Clients booten (dank VMWare-Player) das VMWare-Lernimage
    - Schüler und Lehrer können so recht schnell zwischen verschiedenen Windows- und Linuxversionen wechseln
    Auch hier würde ich NFS am OSS generell abschalten (oder höchstens für die Minimal-Linuxe der Clients freigeben) und mit lokalen Nutzern arbeiten. Wenn die Schüler Daten sichern möchten, können sie sich dennoch bequem (z.B. über den Konqueror mit der Adresszeile "smb:///") mit den Samba-Freigaben des OSS verbinden und ihre Daten speichern.

    CU,
    Lars
  • verfasst: 04.12.2006, 14:38
       
    Flag
    Forenrang:
    Profi Profi
    registriert:
     Dezember 2006
    Status:
    offline
    letzter Besuch:
    09.09.09
    Beiträge:
    18
    Danke, damit komm ich hin.

    GruÃ? Ralf
  • verfasst: 30.01.2007, 12:37
       
    Flag
    Forenrang:
    Profi Profi
    registriert:
     Dezember 2006
    Status:
    offline
    letzter Besuch:
    09.09.09
    Beiträge:
    18
    Hallo,

    zu früh gefreut. Seit der Umstellung auf pam_mount, laufen einige Sachen hier nicht mehr so einfach.
    Mit openSUSE 10.1 schien es zu laufen, nur nicht mehr so performant. Jetz haben wir auch OpenSuSE 10.2 ausprobiert (auch weil es bei eingen Klienten nicht so laufen wollte) und KDE läuft nicht mehr, auch keine KDE-Anwendung.

    Solange nichts konfiguriert wird - au�er der Anmeldung über LDAP - klappt das grafische Login und KDE weil für jeden neuen Benutzer kurzerhand ein /home/students/$USER neu erststellt wird. Nur hat er dann kein /home im Netz sondern ein lokales. Klappt das pam_mount bei der Anmeldung an der konsole kommt nach dem startx nach einigen Meldungen:

    Problem deleting stale lockfile /home/students/$USER/.kde/share/config/kconf_updaterc.lock

    auf der Konsole.

    Das kommt auch, wenn man Gnome startet und dann eine KDE-Anwendung starten will.

    Unter der grafischen Oberfläche bekommt man davon nichts mit, es passiert einfach nichts.

    Hat jemand Ideen?

    GruÃ? Ralf



  • verfasst: 08.10.2007, 09:40
       
    Flag
    Forenrang:
    Profi Profi
    registriert:
     Dezember 2006
    Status:
    offline
    letzter Besuch:
    09.09.09
    Beiträge:
    18
    Hallo,

    Problem zwar nicht gelöst, aber als Workaround:
    in
    /etc/security/pam_mount.conf
    nicht smb oder smbfs oder cifs als Dateisystemtyp verwenden sondern nfs für's homefileset also:

    volume * nfs admin ~ ~ - - -

    GruÃ? Ralf


 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

If God had intended Man to smoke, He would have set him on Fire!

-- anonymous