Konfiguration von sudo im Lan mit nis
nospam
nospam at gr7.com
Don Feb 1 14:13:38 GMT 2007
Dirk Räder escribió:
> soweit ich weiß kann man keine einzelnen Dateien per NFS mounten - nur
> ganze Verzeichnisse.
>
Stimmt!
> Mir fallen spontan zwei Lösungen für Dein Problem ein - eine sicherere
> und eine komfortablere.
> Komfortabel zuerst:
> Du exportierst auf dem Server /etc per NFS und mountest es auf den
> Clients irgendwo, z.B. /etc/server/. Dann legst Du auf den Clients einen
> Symlink von /etc/server/sudoers nach /etc/sudoers an.
> Nachteile: Du musst /etc/ exportieren und gibst damit potentiell
> Passwörter & Co im Netzwerk zum Lesen frei -> große Sicherheitslücke.
> Außerdem könnten bei fehlerhaften Konfigurationen die Nutzer nach
> <Server>/etc/ schreiben, was ebenfalls keine gute Idee ist.
>
Nein, das wäre mir zu unsicher. Ginge nicht folgende Lösung:
Ich erstelle ein neues Verzeichnis auf dem Server und in diesem einen
symbolischen Link zu /etc/sudoers
Dieses neue Verzeichnis exportiere ich auf die Clients? Klingt irgendwie
abenteuerlich, aber wenn's ginge wäre das doch nicht schlecht?
> Dann die sicherere Idee:
> Du richtest auf den Clients Cronjobs ein, die per scp oder rsync die
> jeweils aktuelle /etc/sudoers vom Server holen. Mit entsprechenden
> Schlüsseln geht das ganze vollautomatisch.
>
Da müsste ich mich mal einlesen, klingt aber plausibel. Allerdings würde
ich das lieber beim booten machen, denn die Rechner sind zu so
verschiedenen Zeiten an, dass im ungünstigsten Fall eine Aktualisierung
sehr verzögert erfolgen würde.
Allerdings bin ich mir nicht sicher, ob das überhaupt funktioniert, denn
ich habe schon mal manuell ein /etc/sudoers editiert und sudo
funkionierte nicht. Es passierte einfach garnichts. Müsste das mal in
einem Terminal machen um den error zu sehen, habe aber den Verdacht,
dass sudo nicht in den yp nachschaut, daher also auch ein lokales
/etc/sudoers nichts brächte.
Trotzdem schon mal vielen Dank für die schnelle Antwort!
Grüße, Klaus