forum.opennet.ru - "Вход под su с разрешения другого админа." (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вход под su с разрешения другого админа."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вход под su с разрешения другого админа."
Сообщение от mrsol (ok) on 06-Сен-07, 15:16
Интересует следующая возможность. Есть ли реализации нижеописанного или в каком направлении копать. Задача, чтобы в системе были залогинены мимнимум два разных админы под рута. Которые должны следить за действиями друг-друга. Нужно чтобы админ который зашол по сети получал права рута по su только с разрешения другого админа, который тоже входит в группу wheel. То есть приблизительно это я вижу так, админ логинется под своим логином. Пытается получить рут доступ через su, его спрашивает пароль и если всё нормально, то остальным админам, которые зарегены на сервере высылаются сообщения (email, sms и т.д.), что кто-то хочет получить рута. Кто-то из них логинется, и подтверждает его правомочия получения рута. При этом он сам заходит под рута. И находится в системе. Если же другие админы уже залогинены в системе, то могут подтвердить его правомочия на рута оттуда. Также при этом чтобы каждый из админов мог видеть лог другого админа, в данной сессии. И эти логи сохранялись. Все логи, вплоть до открытия файла на чтение. Если в системе остается залогинено менее двух админов, то этот единственный автоматически должен выйти из подрута. Может быть есть какие-то реализации, приложения в таком духе, но непонятно в какую сторону капать. Операционка freebsd, но также интересует под linux
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Вход под su с разрешения другого админа., maxsvet, 15:40 , 06-Сен-07, (1)
Вход под su с разрешения другого админа., parad, 17:50 , 06-Сен-07, (2)

Вход под su с разрешения другого админа., mrsol, 16:27 , 07-Сен-07, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Вход под su с разрешения другого админа."

Сообщение от maxsvet (??) on 06-Сен-07, 15:40

>[оверквотинг удален]
>админы уже залогинены в системе, то могут подтвердить его правомочия на
>рута оттуда.
>Также при этом чтобы каждый из админов мог видеть лог другого админа,
>в данной сессии. И эти логи сохранялись. Все логи, вплоть до
>открытия файла на чтение.
>Если в системе остается залогинено менее двух админов, то этот единственный автоматически
>должен выйти из подрута.
>Может быть есть какие-то реализации, приложения в таком духе, но непонятно в
>какую сторону капать.
>Операционка freebsd, но также интересует под linux
уж слишком все запутано,
sudo
и нужные настройки (man sudo)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вход под su с разрешения другого админа."

Сообщение от parad on 06-Сен-07, 17:50

>[оверквотинг удален]
>админы уже залогинены в системе, то могут подтвердить его правомочия на
>рута оттуда.
>Также при этом чтобы каждый из админов мог видеть лог другого админа,
>в данной сессии. И эти логи сохранялись. Все логи, вплоть до
>открытия файла на чтение.
>Если в системе остается залогинено менее двух админов, то этот единственный автоматически
>должен выйти из подрута.
>Может быть есть какие-то реализации, приложения в таком духе, но непонятно в
>какую сторону капать.
>Операционка freebsd, но также интересует под linux
Если нет доверия к людям с правами рута, то лучше их отобрать. Даже если есть доверие - тоже лучше отобрать (по опыту могу сказать - эти люди опустят систему, потом еще будут возникать почему не придусмотено что среди нас есть те, кто способен в корне набрать по-ошибке rm -R ./) - и никакой мониторинг действий не поможет. Как вариант ограничить действия при помощи sudo - чаще всего необходимость прав рута определена 2-3 командами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вход под su с разрешения другого админа."

Сообщение от mrsol (ok) on 07-Сен-07, 16:27

>[оверквотинг удален]
>>какую сторону капать.
>>Операционка freebsd, но также интересует под linux
>
>Если нет доверия к людям с правами рута, то лучше их отобрать.
>Даже если есть доверие - тоже лучше отобрать (по опыту могу
>сказать - эти люди опустят систему, потом еще будут возникать почему
>не придусмотено что среди нас есть те, кто способен в корне
>набрать по-ошибке rm -R ./) - и никакой мониторинг действий не
>поможет. Как вариант ограничить действия при помощи sudo - чаще всего
>необходимость прав рута определена 2-3 командами.
Я же не спрашивал о кадровой политике, или политике доверия людям. Просто есть такая задача, и как её реализовать я в данный момент я не знаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вход под su с разрешения другого админа."
Сообщение от maxsvet (??) on 06-Сен-07, 15:40
>[оверквотинг удален] >админы уже залогинены в системе, то могут подтвердить его правомочия на >рута оттуда. >Также при этом чтобы каждый из админов мог видеть лог другого админа, >в данной сессии. И эти логи сохранялись. Все логи, вплоть до >открытия файла на чтение. >Если в системе остается залогинено менее двух админов, то этот единственный автоматически >должен выйти из подрута. >Может быть есть какие-то реализации, приложения в таком духе, но непонятно в >какую сторону капать. >Операционка freebsd, но также интересует под linux уж слишком все запутано, sudo и нужные настройки (man sudo)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Вход под su с разрешения другого админа."
Сообщение от parad on 06-Сен-07, 17:50
>[оверквотинг удален] >админы уже залогинены в системе, то могут подтвердить его правомочия на >рута оттуда. >Также при этом чтобы каждый из админов мог видеть лог другого админа, >в данной сессии. И эти логи сохранялись. Все логи, вплоть до >открытия файла на чтение. >Если в системе остается залогинено менее двух админов, то этот единственный автоматически >должен выйти из подрута. >Может быть есть какие-то реализации, приложения в таком духе, но непонятно в >какую сторону капать. >Операционка freebsd, но также интересует под linux Если нет доверия к людям с правами рута, то лучше их отобрать. Даже если есть доверие - тоже лучше отобрать (по опыту могу сказать - эти люди опустят систему, потом еще будут возникать почему не придусмотено что среди нас есть те, кто способен в корне набрать по-ошибке rm -R ./) - и никакой мониторинг действий не поможет. Как вариант ограничить действия при помощи sudo - чаще всего необходимость прав рута определена 2-3 командами.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Вход под su с разрешения другого админа."
	Сообщение от mrsol (ok) on 07-Сен-07, 16:27
	>[оверквотинг удален] >>какую сторону капать. >>Операционка freebsd, но также интересует под linux > >Если нет доверия к людям с правами рута, то лучше их отобрать. >Даже если есть доверие - тоже лучше отобрать (по опыту могу >сказать - эти люди опустят систему, потом еще будут возникать почему >не придусмотено что среди нас есть те, кто способен в корне >набрать по-ошибке rm -R ./) - и никакой мониторинг действий не >поможет. Как вариант ограничить действия при помощи sudo - чаще всего >необходимость прав рута определена 2-3 командами. Я же не спрашивал о кадровой политике, или политике доверия людям. Просто есть такая задача, и как её реализовать я в данный момент я не знаю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]