Dansguardia sperrt internetzugang

[fat-lobyte]

ich will genauer gesagt die Dateien von Squid und Dansguardian sperren. Damit keiner und ich selbst nicht diese Dateien ausversehen löschen. Ich habe lange gegoogelt,aber nach langen Suchen habe ich keine vernünftige Lösung gefunden. Zusätzlich will ich Dansguardian und Squid vor dem Deinstallieren verhindern. Das heißt keiner soll in der Lage sein diese Programme zu deinstallieren um damit später den Filter nicht zu umgehen.

Hier ist es wichtig, dass Du, und nur Du Root-Rechte besitzt. Überprüfe das durch folgende Maßnahmen:

• Code: Alles auswählen

  $ grep '^root' /etc/group

  Am Ende darf nur "root" stehen, und kein weiterer Benutzer.

• Code: Alles auswählen

  $ grep '^admin' /etc/group

  Am Ende darf nur "root" und dein Benutzername stehen, und kein weiterer Benutzer.
  Überprüfe, ob in /etc/sudoers nur "root" und "%admin" (und "%wheel"?) alles Ausführen dürfen, also dass nur bei diesen Benutzern und Gruppen alles Erlaubt ist:

  Code: Alles auswählen

  root    ALL=(ALL)       ALL

Weiters musst du überprüfen, ob die Konfigurationsdateien für Squid, Dansguardian und ebenfalls deren Startskripte mit den richtigen Rechten und Besitzern versetzt sind, das bedeutet dass nur root darauf schreiben darf und die Dateien auch dem "root"-User gehören.
Siehe hier: http://wiki.ubuntuusers.de/Benutzer_und_Gruppen

Welche Dateien und Verzeichnisse zu überprüfen sind findest du mit

Code: Alles auswählen

dpkg -S | grep ^/etc

ACHTUNG! All das was ich jetzt geschrieben habe sollte Standardmäßig aktiviert und richtig gesetzt sein. Hast du nichts verändert, kannst du alles so lassen.

[kaltaberwiekalt]

Mal eine andere Frage.

Wie kann ich ein Standard Benutzer alle Rechte geben wie ein root Benutzer,außer dass er auf Dansguardian,Squid, und dessen Dateien kein Zugriff hat.

[fat-lobyte]

Mal eine andere Frage.

Wie kann ich ein Standard Benutzer alle Rechte geben wie ein root Benutzer,außer dass er auf Dansguardian,Squid, und dessen Dateien kein Zugriff hat.

Ich glaube nicht dass das Möglich ist. Wenn du sagst "alle Rechte", dann gehören dazu auch die Rechte die man braucht um Besitzer und Zugriffsrechte von Dateien zu verändern.
Verwehrst du dem root-user das Recht auf deine Konfigurationsdateien zuzugreifen, aber lässt ihm das Recht Rechte und Besitzer zu verändern, dann hindert ihn nichts daran sich die Rechte wieder zu beschaffen. Verwehrst du dem Root-User das Recht Rechte und Besitzer zu veränder ist er kein richtiger root-user mehr, und du kriegst zusätzlich noch ziemliche Stabilitätsprobleme.

Eine Möglichkeit wäre, genau zu definieren was der "Administrator" darf, und was nicht. Das wird allerdings ziemlich schwierig.


Darf ich Fragen woher diese Paranoia kommt? Reicht es nicht einfach, Root-User und Login-User zu trennen? Wenn ich an deiner Stelle wäre, würde ich
1) Mich selbst aus der "admin"-Gruppe antfernen, somit funktioniert "sudo" auch für dich nicht mehr
2) Für Systemadministration dich immer mit "su root" einzuloggen,
3) Den grafischen Login für Root zu sperren
4) Den ssh-Login für root zu sperren (Option "PermitRootLogin no" in /etc/ssh/sshd_config)

ps.:
Noch eine persönliche Frage, musst nicht Antworten wenn du nicht willst:
Wieso willst du denn überhaupt "erotische, pornographische,Inhalte" Sperren? Was ist an Pornographie so schlimmes dran?
Ich persönlich bin gegen Internetzensur jeglicher Art, und wenn ich einer deiner User wäre, würde ich rein aus Prinzip alles daran Setzen hinter die große Firewall zu kommen.

pps.: Wenn einer deiner User hier mitliest: Installiert euch TOR (The Onion Router) und Polipo, und surft anonym. Kompiliert ihr euch das Programm aus den Quellen, könnt ihr es lokal (in eurem User-Account) installieren und konfigurieren. Wird die Firewall restriktiver, könnt ihr mit der option "ReachableAddresses" (siehe man 8 tor) solange die Benutzten Ports beschneiden, bis euch der Internetzugang ganz gekappt wird.

[kaltaberwiekalt]

1) Mich selbst aus der "admin"-Gruppe antfernen, somit funktioniert "sudo" auch für dich nicht mehr
2) Für Systemadministration dich immer mit "su root" einzuloggen,
3) Den grafischen Login für Root zu sperren
4) Den ssh-Login für root zu sperren (Option "PermitRootLogin no" in /etc/ssh/sshd_config)

wie meinst du das genau ?

[fat-lobyte]

1) Mich selbst aus der "admin"-Gruppe antfernen, somit funktioniert "sudo" auch für dich nicht mehr
2) Für Systemadministration dich immer mit "su root" einzuloggen,
3) Den grafischen Login für Root zu sperren
4) Den ssh-Login für root zu sperren (Option "PermitRootLogin no" in /etc/ssh/sshd_config)

wie meinst du das genau ?

Wie meinst du das genau? Sag mir bitte was du nicht verstanden hast, sonst wird es schwierig auf die Frage zu antworten.

[kaltaberwiekalt]

1) Mich selbst aus der "admin"-Gruppe antfernen, somit funktioniert "sudo" auch für dich nicht mehr
2) Für Systemadministration dich immer mit "su root" einzuloggen,
3) Den grafischen Login für Root zu sperren
4) Den ssh-Login für root zu sperren (Option "PermitRootLogin no" in /etc/ssh/sshd_config)

wie meinst du das genau ?

Wie meinst du das genau? Sag mir bitte was du nicht verstanden hast, sonst wird es schwierig auf die Frage zu antworten.

Es tut mir leid. Ich bein ein Neuling. Ich wollte nur die Einzelnen Schritt noch detailliert erklärt bekomme.

[fat-lobyte]

1) Mich selbst aus der "admin"-Gruppe antfernen, somit funktioniert "sudo" auch für dich nicht mehr
2) Für Systemadministration dich immer mit "su root" einzuloggen,
3) Den grafischen Login für Root zu sperren
4) Den ssh-Login für root zu sperren (Option "PermitRootLogin no" in /etc/ssh/sshd_config)

Es tut mir leid. Ich bein ein Neuling. Ich wollte nur die Einzelnen Schritt noch detailliert erklärt bekomme.

Ok. Als erstes mal ist es ganz ganz wichtig zu verstehen, was Benutzer und Gruppen sind, und wie auf einem System ohne SELinux (wie zum Beispiel dein Ubuntu) die Rechte vergeben werden.

Dafür lies dir bitte folgende Links durch:
http://wiki.ubuntuusers.de/Shell/Einf%C3%BChrung
https://help.ubuntu.com/11.10/servergui ... ement.html
https://help.ubuntu.com/community/FilePermissions

Dann musst du wissen, dass jegliche Software die über den Paketmanager installiert wird, standardmäßig mit dem "root" benutzer als Besitzer installiert wird - dazu gehören auch alle Konfigurationsdateien. Hast du den zweiten Link gelesen, weißt du wie du Besitzer ändern und abfragen kannst. Hast du den dritten Link gelesen, weißt du wie du verhindern kannst, dass andere User die Dateien sehen oder verändern können.

Wie kann ich ein Standard Benutzer alle Rechte geben wie ein root Benutzer,außer dass er auf Dansguardian,Squid, und dessen Dateien kein Zugriff hat.

Ich glaube nicht das das möglich ist. (wenn jemandem was einfällt, nur zu!) Bitte vergiss diese Idee wieder, wenn sie Umsetzbar ist, ist sie für dich als Neuling zu kompliziert und deswegen unsicher.
Im Endeffekt liegt die Sicherheit deines Systems in deiner Verantwortung und darin, wie gut du das Root-Passwort geheim hältst.


Wenn du über die Sache nachgedacht hast, Stelle deine Frage noch einmal. Dabei solltest du entweder:
A) Deinen Vorschlag zu deiner Sicherheitsrichtlinie präsentieren und fragen ob das eine gute Idee ist, und nach Details Fragen
oder
B) Dein tatsächliches Ziel und deine Umgebung beschreiben, damit wir eine Ahnung haben was du eigentlich brauchst.