staging.inyokaproject.org

Ein kurzer Artikel zur Abgrenzung der verschiedenen Bedeutung von "root".

Vorgesehen und benötigt zur Verlinkung von anderen Artikeln.

Bitte ins Wiki freigeben.

Vielen Dank für den Artikel, kB

Hallo,

IMHO kann der getestet-Tag weg, weil bei so einem Artikel IMHO überflüssig. Sonst gut geschrieben.

Gruß, noisefloor

Gefällt mir gut, liest sich sehr gut.

Einziger Punkt bei dem ich unsicher bin: Die Generalisierung auf andere Linux/Unix-Systeme. Für Teile des Artikels scheint das zu stimmen, bei anderen ist das ja etwas komplexer:

Beim Zugriff auf Dateien hat dieser Benutzer Sonderrechte, effektiv werden bei diesem Benutzer definierte Zugriffsbeschränkungen nicht beachtet.

Spätestens bei der Verwendung von SELinux und ACLs sieht ja die Welt wieder anders aus. Also man könnte die Gereralisierung zwar andeuten, aber sie nicht als absolut für den Artikel setzen.

kB schrieb:

Vorgesehen und benötigt zur Verlinkung von anderen Artikeln.

Hast du die Verlinkungen hier absichtlich noch nicht eintragen?

Gruß BillMaier

Spätestens bei der Verwendung von SELinux und ACLs sieht ja die Welt wieder anders aus. Also man könnte die Gereralisierung zwar andeuten, aber sie nicht als absolut für den Artikel setzen.

Doofe Frage - Kann man damit root wirklich einschränken?

Ja. Es ist allerdings nicht so, dass ich da schon viel (gute) Erfahrung damit gemacht habe. Eher bin ich im einen oder anderen Setup mal darüber „gestolpert“.

Damit kann es dann sein, dass per Unix-Rechte alles gut aussieht und der user (und eben auch root) doch nicht alles darf.

Mal kurz eine Suchmaschine bemüht:

https://unix.stackexchange.com/questions/106595/myth-or-reality-selinux-can-confine-the-root-user

Kürzlich hatte ich einen interessanten Fall:

Ein Ubuntu-Docker-Container auf einem Fedora Host mit eingehängten Daten vom Host: als root im Container darf ich die Daten nicht mal lesen. Auf dem Host geht es. Und der gleiche Container mit derselben config auf einem Ubuntu-Host - ebenfalls kein Problem. Muss irgendwas mit diesen „Spezial-Mechanismen“ zu tun gehabt haben - wie gesagt, ich kenne mich damit wirklich nicht aus, aber die Effekte gibt es.

Hallo,

BillMaier schrieb:

Beim Zugriff auf Dateien hat dieser Benutzer Sonderrechte, effektiv werden bei diesem Benutzer definierte Zugriffsbeschränkungen nicht beachtet.

Spätestens bei der Verwendung von SELinux und ACLs sieht ja die Welt wieder anders aus. Also man könnte die Gereralisierung zwar andeuten, aber sie nicht als absolut für den Artikel setzen.

Soll der Betreffende Satz noch geändert werden, oder sollen diese Sonderfälle ignoriert werden? Sonst würde ich den Artikel demnächst ins Wiki verschieben.

karzer schrieb:

Hallo,

BillMaier schrieb:

Beim Zugriff auf Dateien hat dieser Benutzer Sonderrechte, effektiv werden bei diesem Benutzer definierte Zugriffsbeschränkungen nicht beachtet.

Spätestens bei der Verwendung von SELinux und ACLs sieht ja die Welt wieder anders aus. Also man könnte die Gereralisierung zwar andeuten, aber sie nicht als absolut für den Artikel setzen.

Soll der Betreffende Satz noch geändert werden

Ich sehe dafür keine Veranlassung. Zwar kann man wohl mit SELinux auch ein Linux so vergewaltigen, dass der Benutzer root eingeschränkt wird, aber dafür gibt es – wie auch die von BillMaier verlinkte Diskussion zeigt – keinen sinnvollen Grund. Wie man so etwas mit ACL erreichen will, bleibt für mich unverständlich.

oder sollen diese Sonderfälle ignoriert werden?

Ja. Eine Berücksichtigung derart esoterischer Sonderfälle liefert keinen Beitrag zur Begriffserklärung. Wenn jemand an anderer Stelle im Wiki das praktische Vorgehen für einer derartige unsinnige Verbiegung von root schreibt, könnte man ja später dies über eine Verlinkung berücksichtigen.

Sonst würde ich den Artikel demnächst ins Wiki verschieben.

Ich bitte darum!

Hallo,

kB schrieb:

Ich sehe dafür keine Veranlassung. Zwar kann man wohl mit SELinux auch ein Linux so vergewaltigen, dass der Benutzer root eingeschränkt wird, ...

Zumal SELinux unter Ubuntu kein Standard ist. Wenn man sich bewusst SELinux installiert, um dann root auszusperren, fällt das IMHO klar in die Kategorie "selber Schuld".

Mit AppArmor kann man sich, soweit ich das verstanden habe, nicht wirklich root aussperren. Bin da aber nicht sicher.

Grundsätzlich gibt es IMHO aber auch nur marginal viele Fälle, wo jemand "ausversehen" root mit SELinux (oder ACL? oder AppArmor?) ausgesperrt hat, dass das in dem Artikel nicht abgedeckt werden müsste.

Gruß, noisefloor

Hallo kB,

dein Artikel ist jetzt im Wiki. Nochmals vielen Dank dafür, die verschiedenen Facetten des Begriffs war mir auch noch nicht richtig klar und er lässt sich als Wissen für Artikel bestimmt gut einsetzen.

Verlinkt ist der Artikel unter System (Abschnitt „Sonstiges“). Passt das für dich?

Hab's noch in den Artikel sudo, PolicyKit und mit Root-Rechten arbeiten eingebaut.

Gruß, noisefloor

noisefloor schrieb:

Hab's noch in den Artikel sudo, PolicyKit und mit Root-Rechten arbeiten eingebaut.

Gruß, noisefloor

👍

noisefloor schrieb:

Hab's noch in den Artikel sudo, PolicyKit und mit Root-Rechten arbeiten eingebaut.

Das war mein Plan. Du bist mir zuvorgekommen, aber ist ok. Ich mache dann mal weiter Urlaub.

Das war mein Plan.

Wir sind halt im Geiste vereint 😉

Gruß, noisefloor