forum.opennet.ru - "доступ к команде su" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"доступ к команде su"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"доступ к команде su"
Сообщение от Vit on 18-Дек-01, 15:34 (MSK)
приветствую вас!!! помогите чайнику с толстым слоем накепи!!! Хочется сделать так, чтобы юзера из группы XYZ вводя команду su получали root-access без запроса пароля пользователя root. А пользователи из группы ABC не могли получить доступ к аккаунту root даже если они знают его пароль, т.е. вводя правильный пароль пользователя root на приглашение комманды su они бы получали отказ в доступе. Думается мне это можно сделать при помощи PAM. Может кто подскажет? Спасибо!!!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

А на фига такая заморочка?, Vlad, 15:40 , 18-Дек-01, (1)
- для увеличения безопасности девелоперских серверов, Vit, 15:46 , 18-Дек-01, (2)
  - RE: для увеличения безопасности девелоперских серверов, Vit, 15:55 , 18-Дек-01, (3)
    - Хорошо, вопрос следующий..., Vlad, 15:58 , 18-Дек-01, (5)
  - RE: для увеличения безопасности девелоперских серверов, lavr, 15:57 , 18-Дек-01, (4)
    - RE: для увеличения безопасности девелоперских серверов, Vit, 16:02 , 18-Дек-01, (6)
      - Не быть тебе B.O.F.H'ом никогда...., Vlad, 16:52 , 18-Дек-01, (7)
      - RE: для увеличения безопасности девелоперских серверов, lavr, 19:40 , 18-Дек-01, (8)
        
        RE: для увеличения безопасности девелоперских серверов, Vit, 20:47 , 18-Дек-01, (9)
RE: доступ к команде su, ilya, 01:16 , 19-Дек-01, (10)
- RE: доступ к команде su, lavr, 01:23 , 19-Дек-01, (11)
  - RE: доступ к команде su, Vit, 12:04 , 19-Дек-01, (13)
- RE: доступ к команде su, Vit, 12:01 , 19-Дек-01, (12)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "А на фига такая заморочка?"

Сообщение от Vlad on 18-Дек-01, 15:40  (MSK)

>приветствую вас!!! помогите чайнику с толстым
>слоем накепи!!!
>
>Хочется сделать так, чтобы юзера из
>группы XYZ вводя команду su
>получали root-access без запроса пароля
>пользователя root. А пользователи из
>группы ABC не могли получить
>доступ к аккаунту root даже
>если они знают его пароль,
>т.е. вводя правильный пароль пользователя
>root на приглашение комманды su
>они бы получали отказ в
>доступе. Думается мне это можно
>сделать при помощи PAM.
>Может кто подскажет?
>
>Спасибо!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "для увеличения безопасности девелоперских серверов"

Сообщение от Vit on 18-Дек-01, 15:46  (MSK)

понимаешь ли, если приходится постоянно набирать пароли, это снижает безопасность.... а еще есть болтуны, расказывающие рутовае пароли коллеггам-друзьям, и вообще это просто удобно...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: для увеличения безопасности девелоперских серверов"

Сообщение от Vit on 18-Дек-01, 15:55  (MSK)

первое я победил командой
auth       sufficient   /lib/security/pam_wheel.so trust use_uid
теперь все кто входит в группу wheel могут пользоваться su без пароля остальные тоже могут но с паролем... осталось запретить пользоваться ей юзерам из группы ABC.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Хорошо, вопрос следующий..."

Сообщение от Vlad on 18-Дек-01, 15:58  (MSK)

А зачем девелоперам рутовый доступ? А что подслушать пароль девелопера труднее, чем рута? Зайти и сделать su. Эффект тот же. Не логично.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: для увеличения безопасности девелоперских серверов"

Сообщение от lavr on 18-Дек-01, 15:57  (MSK)

>понимаешь ли, если приходится постоянно набирать
>пароли, это снижает безопасность.... а
>еще есть болтуны, расказывающие рутовае
>пароли коллеггам-друзьям, и вообще это
>просто удобно...
не помню чья, китайская или японская мудрость:
"тайна - это то чего не знает НИКТО,
если ее знает один, это уже не тайна"
по делу: административный пароль должны знать
- один или два администратора, на случай страховки
и они должны быть подготовленными, ответственными
людьми, пользователям root'овый пароль знать
строго запрещено, все что нужно, должно быть
сделано без их участия или технология должна
позволять им выполнять задачи без root'овых
привелегий.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: для увеличения безопасности девелоперских серверов"

Сообщение от Vit on 18-Дек-01, 16:02  (MSK)

Однако для инсталяции софта уже нужен рутовый пароль... програмиры достаточно умные чтоб такими мелочами заниматься самим и не дергать админов по пустякам. Если нужна натуральная защита можно попробовать lids.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Не быть тебе B.O.F.H'ом никогда...."

Сообщение от Vlad on 18-Дек-01, 16:52  (MSK)

>Однако для инсталяции софта уже нужен
>рутовый пароль... програмиры достаточно умные
>чтоб такими мелочами заниматься самим
>и не дергать админов по
>пустякам. Если нужна натуральная защита
>можно попробовать lids.
Админ должен знать, что твориться на его сервере, на то он и админ. Это что получается, раз им нужно ставить Oracle, я им должен свой пароль дать, пусть вместе со мной ставят - все необходимое я сделаю, на то я админ, я выше любого пользователя моего сервера.
P.S.: "А какое ваше регистрационное имя?..."

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: для увеличения безопасности девелоперских серверов"

Сообщение от lavr on 18-Дек-01, 19:40  (MSK)

>Однако для инсталяции софта уже нужен
>рутовый пароль... програмиры достаточно умные
>чтоб такими мелочами заниматься самим
>и не дергать админов по
>пустякам. Если нужна натуральная защита
>можно попробовать lids.
"пустяк" - поставть soft, гы-гы-гы... :)))
если программеры начнут сами ставить софт,
сервер не только превратится в помойку, он
сперва окривеет, окосеет и в скорости свалится
в down.
Демократия - вещь сложная и требует достижения
определенного уровня культуры и цивилизации. :-?
Пусть в Выне сами ставят погремушки, в серьезных
системах - ВСЕ через администратора, за редким
исключением того, что не требует привилегий.
Пример:
-------
Soft - 1.5GB(tgz)(lhcxx - более четырех продуктов,
из них один некоммерческий, требует от установки
и настройки двух компиллеров и четырех пакетов, до
установки и настройки лицензионных менеджеров,
среды и кучи графических приложений на разных
платформах, занимает время от двух суток до пары недель) Уровень софта: Ojectivity C, Objectivity
DB, Irix Eplorer...
Хоть бы одна ссука из программеров, которым это
было нужно помогла или предложила помочь, нет же,
пришлось ковыряться в NT/2000 чтобы этим тупорезам
настроить клиентскую часть для работы с license
manager. Ни хрена не хотят знать, учиться и
развиваться. Конечно подразумевалась помощь
тестовая: что работает, что нет и почему, логи,
сообщение об ошибках. Программеры в Unix, среду
элементарно не могут себе настроить, хотя под
всеми *nix клиентами ВСЕ было настроено, самому
пришлось гонять тесты и делать тестовые примеры.
Программеры, млин... - delphi, более этого они
не знают, привыкли в M$ писать некорректный код
без понятия об инициализации переменных и выделения памяти. Поубивал бы :)))

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: для увеличения безопасности девелоперских серверов"

Сообщение от Vit on 18-Дек-01, 20:47  (MSK)

Я сам програмер работаю на линуксе и большенство моих коллег и друзей работают на линуксе. У каждого на машине свой необходимый ему софт и каждый ставит его себе сам. Каждый сам по необходимости (возможности) делает свою машину частью общего кластера. Но не все можно сделать локально, например собрать экземпляр уже готовой системы можно только на сервере, если сделать это на чей то машине - "хозяену" будет трудно работать. Потом нет смысла ставить себе много юниксов, если тебе надо проверить как твое чудо работает под соляркой - зайди на девелоперский сервер. Но рутовый акаунт нужен - никуда от этого не денешься - так уж устроин этот юникс. И дергать админов - достойно чайника, не более! Иначе придется увеличить штат оных раза в 4. Все кому надо знают рутовый пароль - их большенство, рут недоступен только суппорту, который кстати тоже в большенстве работает ни линуксе, а один супортер вообще на амиге. Вот так и живем.
Просто хотелось сделать жизнь удобнее и не вводить пароль по 10^10 раз на дню - я своего добился. Теперь надо группе support полностью запретить доступ к руту, даже тем кто знает пароль.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: доступ к команде su"

Сообщение от ilya on 19-Дек-01, 01:16  (MSK)

Что-то тут сложно очень. Не пойму...
А про sudo забыли?
chmod u|g+-s (SUID/SGID) уже не подходит?

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: доступ к команде su"

Сообщение от lavr on 19-Дек-01, 01:23  (MSK)

>Что-то тут сложно очень. Не пойму...
>
>А про sudo забыли?
>chmod u|g+-s (SUID/SGID) уже не подходит?
>
все уже придумано до нас: cvs - весь мир
устраивает, только наши линуксоиды не умеют
проектами пользоваться :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: доступ к команде su"

Сообщение от Vit on 19-Дек-01, 12:04  (MSK)

>все уже придумано до нас: cvs
>- весь мир
>устраивает, только наши линуксоиды не умеют
>
>проектами пользоваться :(
что-то вы гоните господа! у нас если ты не умеешь администрить cvs расчитывать на должность младшего програмера очень трудно! максимум это суппорт!

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: доступ к команде su"

Сообщение от Vit on 19-Дек-01, 12:01  (MSK)

ага надо будет просто воткнуть дискету с той же прогой но с рабочими правами...

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "А на фига такая заморочка?"
Сообщение от Vlad on 18-Дек-01, 15:40 (MSK)
>приветствую вас!!! помогите чайнику с толстым >слоем накепи!!! > >Хочется сделать так, чтобы юзера из >группы XYZ вводя команду su >получали root-access без запроса пароля >пользователя root. А пользователи из >группы ABC не могли получить >доступ к аккаунту root даже >если они знают его пароль, >т.е. вводя правильный пароль пользователя >root на приглашение комманды su >они бы получали отказ в >доступе. Думается мне это можно >сделать при помощи PAM. >Может кто подскажет? > >Спасибо!!!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "для увеличения безопасности девелоперских серверов"
	Сообщение от Vit on 18-Дек-01, 15:46 (MSK)
	понимаешь ли, если приходится постоянно набирать пароли, это снижает безопасность.... а еще есть болтуны, расказывающие рутовае пароли коллеггам-друзьям, и вообще это просто удобно...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: для увеличения безопасности девелоперских серверов"
	Сообщение от Vit on 18-Дек-01, 15:55 (MSK)
	первое я победил командой auth sufficient /lib/security/pam_wheel.so trust use_uid теперь все кто входит в группу wheel могут пользоваться su без пароля остальные тоже могут но с паролем... осталось запретить пользоваться ей юзерам из группы ABC.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Хорошо, вопрос следующий..."
	Сообщение от Vlad on 18-Дек-01, 15:58 (MSK)
	А зачем девелоперам рутовый доступ? А что подслушать пароль девелопера труднее, чем рута? Зайти и сделать su. Эффект тот же. Не логично.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: для увеличения безопасности девелоперских серверов"
	Сообщение от lavr on 18-Дек-01, 15:57 (MSK)
	>понимаешь ли, если приходится постоянно набирать >пароли, это снижает безопасность.... а >еще есть болтуны, расказывающие рутовае >пароли коллеггам-друзьям, и вообще это >просто удобно... не помню чья, китайская или японская мудрость: "тайна - это то чего не знает НИКТО, если ее знает один, это уже не тайна" по делу: административный пароль должны знать - один или два администратора, на случай страховки и они должны быть подготовленными, ответственными людьми, пользователям root'овый пароль знать строго запрещено, все что нужно, должно быть сделано без их участия или технология должна позволять им выполнять задачи без root'овых привелегий.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: для увеличения безопасности девелоперских серверов"
	Сообщение от Vit on 18-Дек-01, 16:02 (MSK)
	Однако для инсталяции софта уже нужен рутовый пароль... програмиры достаточно умные чтоб такими мелочами заниматься самим и не дергать админов по пустякам. Если нужна натуральная защита можно попробовать lids.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Не быть тебе B.O.F.H'ом никогда...."
	Сообщение от Vlad on 18-Дек-01, 16:52 (MSK)
	>Однако для инсталяции софта уже нужен >рутовый пароль... програмиры достаточно умные >чтоб такими мелочами заниматься самим >и не дергать админов по >пустякам. Если нужна натуральная защита >можно попробовать lids. Админ должен знать, что твориться на его сервере, на то он и админ. Это что получается, раз им нужно ставить Oracle, я им должен свой пароль дать, пусть вместе со мной ставят - все необходимое я сделаю, на то я админ, я выше любого пользователя моего сервера. P.S.: "А какое ваше регистрационное имя?..."
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: для увеличения безопасности девелоперских серверов"
	Сообщение от lavr on 18-Дек-01, 19:40 (MSK)
	>Однако для инсталяции софта уже нужен >рутовый пароль... програмиры достаточно умные >чтоб такими мелочами заниматься самим >и не дергать админов по >пустякам. Если нужна натуральная защита >можно попробовать lids. "пустяк" - поставть soft, гы-гы-гы... :))) если программеры начнут сами ставить софт, сервер не только превратится в помойку, он сперва окривеет, окосеет и в скорости свалится в down. Демократия - вещь сложная и требует достижения определенного уровня культуры и цивилизации. :-? Пусть в Выне сами ставят погремушки, в серьезных системах - ВСЕ через администратора, за редким исключением того, что не требует привилегий. Пример: ------- Soft - 1.5GB(tgz)(lhcxx - более четырех продуктов, из них один некоммерческий, требует от установки и настройки двух компиллеров и четырех пакетов, до установки и настройки лицензионных менеджеров, среды и кучи графических приложений на разных платформах, занимает время от двух суток до пары недель) Уровень софта: Ojectivity C, Objectivity DB, Irix Eplorer... Хоть бы одна ссука из программеров, которым это было нужно помогла или предложила помочь, нет же, пришлось ковыряться в NT/2000 чтобы этим тупорезам настроить клиентскую часть для работы с license manager. Ни хрена не хотят знать, учиться и развиваться. Конечно подразумевалась помощь тестовая: что работает, что нет и почему, логи, сообщение об ошибках. Программеры в Unix, среду элементарно не могут себе настроить, хотя под всеми *nix клиентами ВСЕ было настроено, самому пришлось гонять тесты и делать тестовые примеры. Программеры, млин... - delphi, более этого они не знают, привыкли в M$ писать некорректный код без понятия об инициализации переменных и выделения памяти. Поубивал бы :)))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: для увеличения безопасности девелоперских серверов"
	Сообщение от Vit on 18-Дек-01, 20:47 (MSK)
	Я сам програмер работаю на линуксе и большенство моих коллег и друзей работают на линуксе. У каждого на машине свой необходимый ему софт и каждый ставит его себе сам. Каждый сам по необходимости (возможности) делает свою машину частью общего кластера. Но не все можно сделать локально, например собрать экземпляр уже готовой системы можно только на сервере, если сделать это на чей то машине - "хозяену" будет трудно работать. Потом нет смысла ставить себе много юниксов, если тебе надо проверить как твое чудо работает под соляркой - зайди на девелоперский сервер. Но рутовый акаунт нужен - никуда от этого не денешься - так уж устроин этот юникс. И дергать админов - достойно чайника, не более! Иначе придется увеличить штат оных раза в 4. Все кому надо знают рутовый пароль - их большенство, рут недоступен только суппорту, который кстати тоже в большенстве работает ни линуксе, а один супортер вообще на амиге. Вот так и живем. Просто хотелось сделать жизнь удобнее и не вводить пароль по 10^10 раз на дню - я своего добился. Теперь надо группе support полностью запретить доступ к руту, даже тем кто знает пароль.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

10. "RE: доступ к команде su"
Сообщение от ilya on 19-Дек-01, 01:16 (MSK)
Что-то тут сложно очень. Не пойму... А про sudo забыли? chmod u\|g+-s (SUID/SGID) уже не подходит?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: доступ к команде su"
	Сообщение от lavr on 19-Дек-01, 01:23 (MSK)
	>Что-то тут сложно очень. Не пойму... > >А про sudo забыли? >chmod u\|g+-s (SUID/SGID) уже не подходит? > все уже придумано до нас: cvs - весь мир устраивает, только наши линуксоиды не умеют проектами пользоваться :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: доступ к команде su"
	Сообщение от Vit on 19-Дек-01, 12:04 (MSK)
	>все уже придумано до нас: cvs >- весь мир >устраивает, только наши линуксоиды не умеют > >проектами пользоваться :( что-то вы гоните господа! у нас если ты не умеешь администрить cvs расчитывать на должность младшего програмера очень трудно! максимум это суппорт!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: доступ к команде su"
	Сообщение от Vit on 19-Дек-01, 12:01 (MSK)
	ага надо будет просто воткнуть дискету с той же прогой но с рабочими правами...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх