URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4689
[ Назад ]

Исходное сообщение
"Создать полного аналога рута."

Отправлено Puk , 08-Сен-10 17:07 
Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы его права полностью соответствовали пользователю root?

Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а каждому свой.


Содержание

Сообщения в этом обсуждении
"Создать полного аналога рута."
Отправлено Кирилл_Н , 08-Сен-10 17:23 
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.

а может sudo?


"Создать полного аналога рута."
Отправлено Michael , 08-Сен-10 17:38 
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.

дать уид 0


"Создать полного аналога рута."
Отправлено sHaggY_caT , 09-Сен-10 02:35 
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.

Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны!


"Создать полного аналога рута."
Отправлено Michael , 09-Сен-10 15:24 
>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?
>>
>>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>>каждому свой.
>
>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>и немыслимые каноны!

верно )


"агхиверно, товагищи"
Отправлено Andrey Mitrofanov , 10-Сен-10 10:50 
>>>как в FreeBSD можно сделать пользователя
>>>полностью соответствовали пользователю root?
>>делать пользователя с UID=0, значит нарушить все мыслимые
>>и немыслимые каноны!
>верно )

http://google.ru/search?q=freebsd+root+toor

Англичане ро^Hужья кирпичём _теперь не чистят?

(И да, я видел, что toor "там" типа выключен по умолчанию.)


"Создать полного аналога рута."
Отправлено Puk , 10-Сен-10 10:31 
>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?
>>
>>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>>каждому свой.
>
>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>и немыслимые каноны!

Сорри, а в чём канонизм?

Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы в логах персонифицированно отображалось кто и что сделал, а не просто root.
И как это делать при помощи sudo, мне пока непонятно.


"Создать полного аналога рута."
Отправлено sHaggY_caT , 10-Сен-10 10:41 

>>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>>и немыслимые каноны!
>
>Сорри, а в чём канонизм?

Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло. Как минимум, в системе может сломаться что угодно, так как все скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.

Зачем в систему, отлаженную в течение десятилетий (а UNIX модель DAC существует с начала семидесятых) таким вот грубым, и виндузятным образом вмешиваться? На любой платформе следует вести себя правильным, для этой платформы оборазом, если, конечно, не хочется обеспечить себе проблем.

>Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы
>в логах персонифицированно отображалось кто и что сделал, а не просто
>root.
>И как это делать при помощи sudo, мне пока непонятно.

Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите, понятно, что их нет совсем! Лучше бы Вы спросили одного из своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые команды, в том числе после sudo -s


"Создать полного аналога рута."
Отправлено Puk , 10-Сен-10 11:07 

>Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите,
>понятно, что их нет совсем! Лучше бы Вы спросили одного из
>своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и
>на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые
>команды, в том числе после sudo -s

Для того и спрашиваю, чтобы знания получить :)
Главное, что я пока свои думки в продакшн не вставил.

>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?

Система FreeBSD, как и было написано изначально.


Сейчас, например удалённый заход на сервер делается под user и потом, при необходимости, делается su -.
В /var/log/messages в этом случае записывается
su: user to root on /dev/ttyp0 и всё.

И вот как узнать потом, кто конкретно осуществил правку конфига фаервола и в какое время?


"Создать полного аналога рута."
Отправлено sHaggY_caT , 10-Сен-10 11:21 
>[оверквотинг удален]
>>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>>его права полностью соответствовали пользователю root?
>
>Система FreeBSD, как и было написано изначально.
>
>
>Сейчас, например удалённый заход на сервер делается под user и потом, при
>необходимости, делается su -.
>В /var/log/messages в этом случае записывается
>su: user to root on /dev/ttyp0 и всё.

[shaggycat@laptop ~]$ ssh ovz06u
Last login: Fri Sep 10 11:17:06 2010 from ***
[shaggycat@ovz06u ~]$
[shaggycat@ovz06u ~]$ sudo -s
[root@ovz06u ~]#


Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port 37505 ssh2
Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by (uid=0)
Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root ; COMMAND=/bin/bash


"Создать полного аналога рута."
Отправлено Puk , 10-Сен-10 11:36 

>[оверквотинг удален]
>[shaggycat@ovz06u ~]$ sudo -s
>[root@ovz06u ~]#
>
>
>Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port
>37505 ssh2
>Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by
>(uid=0)
>Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root
>; COMMAND=/bin/bash

Да, в /var/log/auth.log именно такая информация и сохраняется.
А дальше что?

Я, видимо не могу корректно указать, что я хочу получить в итоге.
Конечно далеко уже ушли от названия этой темы.

Мне необходимо журналирование действий админов.
В итоге:
user логинится по ssh, делает su -, открывает в mc файл с конфигом фаера, делает правку, сохраняет и отключается.

В случае с одним админом всё просто. Но когда на сервере в одно и то же время висит их несколько, то непонятно, кто же всё-таки подправил конфиг фаера и в какое время.


"Создать полного аналога рута."
Отправлено p0gank , 10-Сен-10 15:04 
>В случае с одним админом всё просто. Но когда на сервере в
>одно и то же время висит их несколько, то непонятно, кто
>же всё-таки подправил конфиг фаера и в какое время.

1. Административное решение - админ обязан протоколировать свои действия в общей базе знаний, нарушивший штрафуется, если кто нарушил непонятно, штрафуются все.
2. Техническое решение - настраивается sudo так, чтобы можно было выполнять от рута только определенные команды (перегрузить файрвол, сервис), а редактирование конфигов пусть делают от себя (для этого надо правами дать доступ на запись в эти файлы), тогда будет видно кто и когда трогал сервисы.
3. Логичное решение - доверять администраторам, регламентировать их работу и не мешать им выполнять свои обязанности, возможно повысить зарплату и набрать адекватных людей вместо неадекватных.


"Создать полного аналога рута."
Отправлено anonymous , 11-Сен-10 20:28 
>Да, в /var/log/auth.log именно такая информация и сохраняется.
>А дальше что?
>Я, видимо не могу корректно указать, что я хочу получить в итоге.

Есть такое :)

>Мне необходимо журналирование действий админов.
>В итоге:
>user логинится по ssh, делает su -, открывает в mc файл с
>конфигом фаера, делает правку, сохраняет и отключается.
>В случае с одним админом всё просто. Но когда на сервере в
>одно и то же время висит их несколько, то непонятно, кто
>же всё-таки подправил конфиг фаера и в какое время.

Ну ?! B думаешь что создав пачку аккаунтов с UID=0 ты _эту_ проблему как то решишь?
Ты парень неимоверно глуп, да чего церемонится - просто дурак! Полистай любую дирекорию чтобы вместо имён показывало uid guid и помедетируй над увиденным.

Вобщем сколько бы ты не слепил аккаунтов с одинаковым uid - ls будет показывать владельцем того что выше в /etc/passwd   :)))


\\Warhead Wardick


"Создать полного аналога рута."
Отправлено anonymous , 11-Сен-10 20:22 
>>>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны!
>>Сорри, а в чём канонизм?
>Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло.
>Как минимум, в системе может сломаться что угодно, так как все
>скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.

Shaggy - ты шыряться чтоли начала? :( Во всех *BSD с тех ещё лет что стоит второй строчкой в /etc/passwd ? И ничего - как то работает :)

\\WarheadWardick