 Вход под su с разрешения другого админа.,  mrsol, 06-Сен-07, 15:16 [смотреть все]Интересует следующая возможность. Есть ли реализации нижеописанного или в каком направлении копать.
Задача, чтобы в системе были залогинены мимнимум два разных админы под рута. Которые должны следить за действиями друг-друга. Нужно чтобы админ который зашол по сети получал права рута по su только с разрешения другого админа, который тоже входит в группу wheel.
То есть приблизительно это я вижу так, админ логинется под своим логином. Пытается получить рут доступ через su, его спрашивает пароль и если всё нормально, то остальным админам, которые зарегены на сервере высылаются сообщения (email, sms и т.д.), что кто-то хочет получить рута. Кто-то из них логинется, и подтверждает его правомочия получения рута. При этом он сам заходит под рута. И находится в системе. Если же другие админы уже залогинены в системе, то могут подтвердить его правомочия на рута оттуда.
Также при этом чтобы каждый из админов мог видеть лог другого админа, в данной сессии. И эти логи сохранялись. Все логи, вплоть до открытия файла на чтение.
Если в системе остается залогинено менее двух админов, то этот единственный автоматически должен выйти из подрута.
Может быть есть какие-то реализации, приложения в таком духе, но непонятно в какую сторону капать.
Операционка freebsd, но также интересует под linux
|
- Вход под su с разрешения другого админа., maxsvet, 15:40 , 06-Сен-07 (1)
>[оверквотинг удален]
>админы уже залогинены в системе, то могут подтвердить его правомочия на
>рута оттуда.
>Также при этом чтобы каждый из админов мог видеть лог другого админа,
>в данной сессии. И эти логи сохранялись. Все логи, вплоть до
>открытия файла на чтение.
>Если в системе остается залогинено менее двух админов, то этот единственный автоматически
>должен выйти из подрута.
>Может быть есть какие-то реализации, приложения в таком духе, но непонятно в
>какую сторону капать.
>Операционка freebsd, но также интересует под linux уж слишком все запутано,
sudo
и нужные настройки (man sudo)
- Вход под su с разрешения другого админа., parad, 17:50 , 06-Сен-07 (2)
>[оверквотинг удален]
>админы уже залогинены в системе, то могут подтвердить его правомочия на
>рута оттуда.
>Также при этом чтобы каждый из админов мог видеть лог другого админа,
>в данной сессии. И эти логи сохранялись. Все логи, вплоть до
>открытия файла на чтение.
>Если в системе остается залогинено менее двух админов, то этот единственный автоматически
>должен выйти из подрута.
>Может быть есть какие-то реализации, приложения в таком духе, но непонятно в
>какую сторону капать.
>Операционка freebsd, но также интересует под linux Если нет доверия к людям с правами рута, то лучше их отобрать. Даже если есть доверие - тоже лучше отобрать (по опыту могу сказать - эти люди опустят систему, потом еще будут возникать почему не придусмотено что среди нас есть те, кто способен в корне набрать по-ошибке rm -R ./) - и никакой мониторинг действий не поможет. Как вариант ограничить действия при помощи sudo - чаще всего необходимость прав рута определена 2-3 командами.
- Вход под su с разрешения другого админа., mrsol, 16:27 , 07-Сен-07 (3)
>[оверквотинг удален]
>>какую сторону капать.
>>Операционка freebsd, но также интересует под linux
>
>Если нет доверия к людям с правами рута, то лучше их отобрать.
>Даже если есть доверие - тоже лучше отобрать (по опыту могу
>сказать - эти люди опустят систему, потом еще будут возникать почему
>не придусмотено что среди нас есть те, кто способен в корне
>набрать по-ошибке rm -R ./) - и никакой мониторинг действий не
>поможет. Как вариант ограничить действия при помощи sudo - чаще всего
>необходимость прав рута определена 2-3 командами. Я же не спрашивал о кадровой политике, или политике доверия людям. Просто есть такая задача, и как её реализовать я в данный момент я не знаю.
|
Версия для распечатки
