Erstellen eines Administrators ohne Zugriff auf andere Administratorkonten

476
Jonathan Winger-Lang

Ich möchte auf meinem Laptop ein Administratorkonto erstellen, das keinen Zugriff auf andere Administratorkonten hat.

In der sudo visudoDatei

# root and users in group wheel can run anything on any machine as any user root ALL = (ALL) ALL #%admin ALL = (ALL) ALL my-user ALL = (ALL) ALL

Was ich hier versuche, ist, nur Sudo von meinem Konto und nicht den anderen Administrator zuzulassen. Das habe ich bisher getan, aber ich bin mir nicht sicher, ob es genug ist (oder sogar arbeiten wird, um ehrlich zu sein).

2
Grundsätzlich kann jeder Benutzer in der sudoers-Datei Zugriff auf Programme und Dateien erhalten. Sie können beispielsweise Dateiberechtigungen einschränken, um das gelegentliche Durchsuchen von eingeschränkten Dateien zu blockieren. Wenn jedoch ein Benutzer in sudoers vorhanden ist, können Sie einfach "sudo su" ausführen, um vollen Zugriff zu haben. Was ist Ihr Ziel: den Zugriff auf bestimmte Dateien / Ordner zu verhindern? Um zu verhindern, dass bestimmte Anwendungen ausgeführt werden? Christopher Hostage vor 5 Jahren 2
Der Benutzer in meinem Beispiel ist nicht vorhanden. Ich habe ein drittes Konto namens "PseudoAdmin". Ich habe nur root und my-user in der Sudo-Datei als Whitelist aufgeführt. Das Ziel besteht im Wesentlichen darin, ein Konto zu erstellen, das wie ein Administrator aussieht, meine persönlichen Dateien jedoch nicht anzeigen kann. Jonathan Winger-Lang vor 5 Jahren 0
Es wäre hilfreich, wenn OP die Umstände erklären würde. Ist diese öffentliche Mac-Eigenschaft, die mit jemandem geteilt wird, oder nur mit OPs? Wenn es nur OPs ist, ist es in einem abschließbaren Raum? Wenn PsuedoAdmin freigegeben ist, kann ein Freund physisch auf Mac, Remote Desktop, Dateifreigabe oder SSH zugreifen? Was bedeutet "sieht aus wie ein Administrator" für Sie? Stellen Sie sich vor, Sie sind ein Angreifer. Welche Tests würden Sie durchführen, um den Administratorstatus zu ermitteln? Wenn OP hofft, dass ein Angreifer einen kurzen Blick darauf werfen wird, wichtige Dateien nicht sieht und aufgibt, schlage ich vor, "Sicherheit durch Unbekanntheit" zu googeln. Christopher Hostage vor 5 Jahren 0
Schön genug, tut mir leid. Grundsätzlich handelt es sich hierbei um einen gemeinsam genutzten Laptop, bei dem Person A mich aus Sicherheitsgründen zur Erstellung eines Administratorkontos aufgefordert hat. Ich, Person B, möchte die Richtlinien befolgen und dabei verhindern, dass dieses Konto möglicherweise in meinen eigenen privaten Bereich des Laptops greift. Es kann erwähnenswert sein, dass niemand das neue Konto verwenden würde, dies ist ausschließlich aus politischen Gründen. Die ursprüngliche Absicht des Kontos bestand darin, ein separates Konto zu erstellen, das gesichert werden würde (dies ist wiederum alles Politik), während unsere persönlichen Konten in Ruhe gelassen werden. Jonathan Winger-Lang vor 5 Jahren 1
Gut. Die Antwort von music2myear ist korrekt. Jeder Administrator kann alle Dateien auf dem Computer anzeigen. Daher müssen Sie allen Personen vertrauen, die über dieses Kennwort verfügen. Wenn Sie ein wenig Privatsphäre wünschen, benötigen Sie eine Maschine, die Sie allein besitzen. Es gibt viele andere Sicherheitsaspekte, aber das ist der Anfang. Christopher Hostage vor 5 Jahren 0
Okay, danke für die Kommentare. Jonathan Winger-Lang vor 5 Jahren 0
Schreiben Sie eine neue Frage mit Ihrer neu geklärten Frage. Wir haben diese Frage beantwortet, aber anscheinend lag Ihre "echte" Frage darunter und wir haben sie gerade herausgefunden. Es verdient einen eigenen Platz. music2myear vor 5 Jahren 0

1 Antwort auf die Frage

8
music2myear

Administrator sein bedeutet im Wesentlichen die Möglichkeit, Berechtigungen zu ändern, einschließlich ihrer eigenen.

Das bedeutet, wenn Sie jemandem einen Administrator gewähren, aber versuchen, ihre Berechtigungen auf bestimmte Teile des Systems einzuschränken, kann er diese Berechtigungen selbst nach Ihren Wünschen ändern.

Anstatt zu versuchen, Administratorrechte einzuhalten oder einzuschränken und zu steuern, sollten Sie die eingeschränkten / normalen Benutzerrechte für diese Benutzer erweitern, um die erforderlichen Aspekte einzubeziehen, während Sie die vollständige Administration verhindern.

OK danke. Um die Frage umzudrehen. Angenommen, mein Konto wurde in der Sudo-Datei auf die schwarze Liste gesetzt. Wie könnte ich das umgehen? Jonathan Winger-Lang vor 5 Jahren 0
Post das als neue Frage. Stellen Sie sicher, dass Sie relevante Informationen angeben, z. B. ob es sich um einen Firmencomputer handelt und welche Rechte Sie normalerweise auf dem Gerät haben. music2myear vor 5 Jahren 0

Verwandte Probleme