Вход под su с разрешения другого админа., mrsol, 06-Сен-07, 15:16 [смотреть все]Интересует следующая возможность. Есть ли реализации нижеописанного или в каком направлении копать. Задача, чтобы в системе были залогинены мимнимум два разных админы под рута. Которые должны следить за действиями друг-друга. Нужно чтобы админ который зашол по сети получал права рута по su только с разрешения другого админа, который тоже входит в группу wheel. То есть приблизительно это я вижу так, админ логинется под своим логином. Пытается получить рут доступ через su, его спрашивает пароль и если всё нормально, то остальным админам, которые зарегены на сервере высылаются сообщения (email, sms и т.д.), что кто-то хочет получить рута. Кто-то из них логинется, и подтверждает его правомочия получения рута. При этом он сам заходит под рута. И находится в системе. Если же другие админы уже залогинены в системе, то могут подтвердить его правомочия на рута оттуда. Также при этом чтобы каждый из админов мог видеть лог другого админа, в данной сессии. И эти логи сохранялись. Все логи, вплоть до открытия файла на чтение. Если в системе остается залогинено менее двух админов, то этот единственный автоматически должен выйти из подрута. Может быть есть какие-то реализации, приложения в таком духе, но непонятно в какую сторону капать. Операционка freebsd, но также интересует под linux
|
- Вход под su с разрешения другого админа., maxsvet, 15:40 , 06-Сен-07 (1)
>[оверквотинг удален] >админы уже залогинены в системе, то могут подтвердить его правомочия на >рута оттуда. >Также при этом чтобы каждый из админов мог видеть лог другого админа, >в данной сессии. И эти логи сохранялись. Все логи, вплоть до >открытия файла на чтение. >Если в системе остается залогинено менее двух админов, то этот единственный автоматически >должен выйти из подрута. >Может быть есть какие-то реализации, приложения в таком духе, но непонятно в >какую сторону капать. >Операционка freebsd, но также интересует под linux уж слишком все запутано, sudo и нужные настройки (man sudo)
- Вход под su с разрешения другого админа., parad, 17:50 , 06-Сен-07 (2)
>[оверквотинг удален] >админы уже залогинены в системе, то могут подтвердить его правомочия на >рута оттуда. >Также при этом чтобы каждый из админов мог видеть лог другого админа, >в данной сессии. И эти логи сохранялись. Все логи, вплоть до >открытия файла на чтение. >Если в системе остается залогинено менее двух админов, то этот единственный автоматически >должен выйти из подрута. >Может быть есть какие-то реализации, приложения в таком духе, но непонятно в >какую сторону капать. >Операционка freebsd, но также интересует под linux Если нет доверия к людям с правами рута, то лучше их отобрать. Даже если есть доверие - тоже лучше отобрать (по опыту могу сказать - эти люди опустят систему, потом еще будут возникать почему не придусмотено что среди нас есть те, кто способен в корне набрать по-ошибке rm -R ./) - и никакой мониторинг действий не поможет. Как вариант ограничить действия при помощи sudo - чаще всего необходимость прав рута определена 2-3 командами.
- Вход под su с разрешения другого админа., mrsol, 16:27 , 07-Сен-07 (3)
>[оверквотинг удален] >>какую сторону капать. >>Операционка freebsd, но также интересует под linux > >Если нет доверия к людям с правами рута, то лучше их отобрать. >Даже если есть доверие - тоже лучше отобрать (по опыту могу >сказать - эти люди опустят систему, потом еще будут возникать почему >не придусмотено что среди нас есть те, кто способен в корне >набрать по-ошибке rm -R ./) - и никакой мониторинг действий не >поможет. Как вариант ограничить действия при помощи sudo - чаще всего >необходимость прав рута определена 2-3 командами. Я же не спрашивал о кадровой политике, или политике доверия людям. Просто есть такая задача, и как её реализовать я в данный момент я не знаю.
|