Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы его права полностью соответствовали пользователю root?Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а каждому свой.
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.а может sudo?
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.дать уид 0
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны!
>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?
>>
>>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>>каждому свой.
>
>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>и немыслимые каноны!верно )
>>>как в FreeBSD можно сделать пользователя
>>>полностью соответствовали пользователю root?
>>делать пользователя с UID=0, значит нарушить все мыслимые
>>и немыслимые каноны!
>верно )http://google.ru/search?q=freebsd+root+toor
Англичане ро^Hужья кирпичём _теперь не чистят?
(И да, я видел, что toor "там" типа выключен по умолчанию.)
>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?
>>
>>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>>каждому свой.
>
>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>и немыслимые каноны!Сорри, а в чём канонизм?
Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы в логах персонифицированно отображалось кто и что сделал, а не просто root.
И как это делать при помощи sudo, мне пока непонятно.
>>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>>и немыслимые каноны!
>
>Сорри, а в чём канонизм?Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло. Как минимум, в системе может сломаться что угодно, так как все скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.
Зачем в систему, отлаженную в течение десятилетий (а UNIX модель DAC существует с начала семидесятых) таким вот грубым, и виндузятным образом вмешиваться? На любой платформе следует вести себя правильным, для этой платформы оборазом, если, конечно, не хочется обеспечить себе проблем.
>Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы
>в логах персонифицированно отображалось кто и что сделал, а не просто
>root.
>И как это делать при помощи sudo, мне пока непонятно.Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите, понятно, что их нет совсем! Лучше бы Вы спросили одного из своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые команды, в том числе после sudo -s
>Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите,
>понятно, что их нет совсем! Лучше бы Вы спросили одного из
>своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и
>на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые
>команды, в том числе после sudo -sДля того и спрашиваю, чтобы знания получить :)
Главное, что я пока свои думки в продакшн не вставил.>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?Система FreeBSD, как и было написано изначально.
Сейчас, например удалённый заход на сервер делается под user и потом, при необходимости, делается su -.
В /var/log/messages в этом случае записывается
su: user to root on /dev/ttyp0 и всё.И вот как узнать потом, кто конкретно осуществил правку конфига фаервола и в какое время?
>[оверквотинг удален]
>>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>>его права полностью соответствовали пользователю root?
>
>Система FreeBSD, как и было написано изначально.
>
>
>Сейчас, например удалённый заход на сервер делается под user и потом, при
>необходимости, делается su -.
>В /var/log/messages в этом случае записывается
>su: user to root on /dev/ttyp0 и всё.[shaggycat@laptop ~]$ ssh ovz06u
Last login: Fri Sep 10 11:17:06 2010 from ***
[shaggycat@ovz06u ~]$
[shaggycat@ovz06u ~]$ sudo -s
[root@ovz06u ~]#
Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port 37505 ssh2
Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by (uid=0)
Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root ; COMMAND=/bin/bash
>[оверквотинг удален]
>[shaggycat@ovz06u ~]$ sudo -s
>[root@ovz06u ~]#
>
>
>Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port
>37505 ssh2
>Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by
>(uid=0)
>Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root
>; COMMAND=/bin/bashДа, в /var/log/auth.log именно такая информация и сохраняется.
А дальше что?Я, видимо не могу корректно указать, что я хочу получить в итоге.
Конечно далеко уже ушли от названия этой темы.Мне необходимо журналирование действий админов.
В итоге:
user логинится по ssh, делает su -, открывает в mc файл с конфигом фаера, делает правку, сохраняет и отключается.В случае с одним админом всё просто. Но когда на сервере в одно и то же время висит их несколько, то непонятно, кто же всё-таки подправил конфиг фаера и в какое время.
>В случае с одним админом всё просто. Но когда на сервере в
>одно и то же время висит их несколько, то непонятно, кто
>же всё-таки подправил конфиг фаера и в какое время.1. Административное решение - админ обязан протоколировать свои действия в общей базе знаний, нарушивший штрафуется, если кто нарушил непонятно, штрафуются все.
2. Техническое решение - настраивается sudo так, чтобы можно было выполнять от рута только определенные команды (перегрузить файрвол, сервис), а редактирование конфигов пусть делают от себя (для этого надо правами дать доступ на запись в эти файлы), тогда будет видно кто и когда трогал сервисы.
3. Логичное решение - доверять администраторам, регламентировать их работу и не мешать им выполнять свои обязанности, возможно повысить зарплату и набрать адекватных людей вместо неадекватных.
>Да, в /var/log/auth.log именно такая информация и сохраняется.
>А дальше что?
>Я, видимо не могу корректно указать, что я хочу получить в итоге.Есть такое :)
>Мне необходимо журналирование действий админов.
>В итоге:
>user логинится по ssh, делает su -, открывает в mc файл с
>конфигом фаера, делает правку, сохраняет и отключается.
>В случае с одним админом всё просто. Но когда на сервере в
>одно и то же время висит их несколько, то непонятно, кто
>же всё-таки подправил конфиг фаера и в какое время.Ну ?! B думаешь что создав пачку аккаунтов с UID=0 ты _эту_ проблему как то решишь?
Ты парень неимоверно глуп, да чего церемонится - просто дурак! Полистай любую дирекорию чтобы вместо имён показывало uid guid и помедетируй над увиденным.Вобщем сколько бы ты не слепил аккаунтов с одинаковым uid - ls будет показывать владельцем того что выше в /etc/passwd :)))
\\Warhead Wardick
>>>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны!
>>Сорри, а в чём канонизм?
>Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло.
>Как минимум, в системе может сломаться что угодно, так как все
>скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.Shaggy - ты шыряться чтоли начала? :( Во всех *BSD с тех ещё лет что стоит второй строчкой в /etc/passwd ? И ничего - как то работает :)
\\WarheadWardick