The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Создать полного аналога рута."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Авторизация и аутентификация)
Изначальное сообщение [ Отслеживать ]

"Создать полного аналога рута."  +/
Сообщение от Puk on 08-Сен-10, 17:07 
Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы его права полностью соответствовали пользователю root?

Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а каждому свой.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Создать полного аналога рута."  +/
Сообщение от Кирилл_Н (ok) on 08-Сен-10, 17:23 
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.

а может sudo?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Создать полного аналога рута."  +/
Сообщение от Michael (??) on 08-Сен-10, 17:38 
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.

дать уид 0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Создать полного аналога рута."  +/
Сообщение от sHaggY_caT (ok) on 09-Сен-10, 02:35 
>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>его права полностью соответствовали пользователю root?
>
>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>каждому свой.

Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Создать полного аналога рута."  +/
Сообщение от Michael (??) on 09-Сен-10, 15:24 
>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?
>>
>>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>>каждому свой.
>
>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>и немыслимые каноны!

верно )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "агхиверно, товагищи"  +/
Сообщение от Andrey Mitrofanov on 10-Сен-10, 10:50 
>>>как в FreeBSD можно сделать пользователя
>>>полностью соответствовали пользователю root?
>>делать пользователя с UID=0, значит нарушить все мыслимые
>>и немыслимые каноны!
>верно )

http://google.ru/search?q=freebsd+root+toor

Англичане ро^Hужья кирпичём _теперь не чистят?

(И да, я видел, что toor "там" типа выключен по умолчанию.)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Создать полного аналога рута."  –1 +/
Сообщение от Puk on 10-Сен-10, 10:31 
>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?
>>
>>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а
>>каждому свой.
>
>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>и немыслимые каноны!

Сорри, а в чём канонизм?

Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы в логах персонифицированно отображалось кто и что сделал, а не просто root.
И как это делать при помощи sudo, мне пока непонятно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Создать полного аналога рута."  +/
Сообщение от sHaggY_caT (ok) on 10-Сен-10, 10:41 

>>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые
>>и немыслимые каноны!
>
>Сорри, а в чём канонизм?

Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло. Как минимум, в системе может сломаться что угодно, так как все скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.

Зачем в систему, отлаженную в течение десятилетий (а UNIX модель DAC существует с начала семидесятых) таким вот грубым, и виндузятным образом вмешиваться? На любой платформе следует вести себя правильным, для этой платформы оборазом, если, конечно, не хочется обеспечить себе проблем.

>Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы
>в логах персонифицированно отображалось кто и что сделал, а не просто
>root.
>И как это делать при помощи sudo, мне пока непонятно.

Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите, понятно, что их нет совсем! Лучше бы Вы спросили одного из своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые команды, в том числе после sudo -s

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Создать полного аналога рута."  +/
Сообщение от Puk on 10-Сен-10, 11:07 

>Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите,
>понятно, что их нет совсем! Лучше бы Вы спросили одного из
>своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и
>на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые
>команды, в том числе после sudo -s

Для того и спрашиваю, чтобы знания получить :)
Главное, что я пока свои думки в продакшн не вставил.

>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>его права полностью соответствовали пользователю root?

Система FreeBSD, как и было написано изначально.


Сейчас, например удалённый заход на сервер делается под user и потом, при необходимости, делается su -.
В /var/log/messages в этом случае записывается
su: user to root on /dev/ttyp0 и всё.

И вот как узнать потом, кто конкретно осуществил правку конфига фаервола и в какое время?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Создать полного аналога рута."  +/
Сообщение от sHaggY_caT (ok) on 10-Сен-10, 11:21 
>[оверквотинг удален]
>>>Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы
>>>его права полностью соответствовали пользователю root?
>
>Система FreeBSD, как и было написано изначально.
>
>
>Сейчас, например удалённый заход на сервер делается под user и потом, при
>необходимости, делается su -.
>В /var/log/messages в этом случае записывается
>su: user to root on /dev/ttyp0 и всё.

[shaggycat@laptop ~]$ ssh ovz06u
Last login: Fri Sep 10 11:17:06 2010 from ***
[shaggycat@ovz06u ~]$
[shaggycat@ovz06u ~]$ sudo -s
[root@ovz06u ~]#


Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port 37505 ssh2
Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by (uid=0)
Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root ; COMMAND=/bin/bash

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Создать полного аналога рута."  +/
Сообщение от Puk on 10-Сен-10, 11:36 

>[оверквотинг удален]
>[shaggycat@ovz06u ~]$ sudo -s
>[root@ovz06u ~]#
>
>
>Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port
>37505 ssh2
>Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by
>(uid=0)
>Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root
>; COMMAND=/bin/bash

Да, в /var/log/auth.log именно такая информация и сохраняется.
А дальше что?

Я, видимо не могу корректно указать, что я хочу получить в итоге.
Конечно далеко уже ушли от названия этой темы.

Мне необходимо журналирование действий админов.
В итоге:
user логинится по ssh, делает su -, открывает в mc файл с конфигом фаера, делает правку, сохраняет и отключается.

В случае с одним админом всё просто. Но когда на сервере в одно и то же время висит их несколько, то непонятно, кто же всё-таки подправил конфиг фаера и в какое время.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Создать полного аналога рута."  +/
Сообщение от p0gank (ok) on 10-Сен-10, 15:04 
>В случае с одним админом всё просто. Но когда на сервере в
>одно и то же время висит их несколько, то непонятно, кто
>же всё-таки подправил конфиг фаера и в какое время.

1. Административное решение - админ обязан протоколировать свои действия в общей базе знаний, нарушивший штрафуется, если кто нарушил непонятно, штрафуются все.
2. Техническое решение - настраивается sudo так, чтобы можно было выполнять от рута только определенные команды (перегрузить файрвол, сервис), а редактирование конфигов пусть делают от себя (для этого надо правами дать доступ на запись в эти файлы), тогда будет видно кто и когда трогал сервисы.
3. Логичное решение - доверять администраторам, регламентировать их работу и не мешать им выполнять свои обязанности, возможно повысить зарплату и набрать адекватных людей вместо неадекватных.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Создать полного аналога рута."  +/
Сообщение от anonymous (??) on 11-Сен-10, 20:28 
>Да, в /var/log/auth.log именно такая информация и сохраняется.
>А дальше что?
>Я, видимо не могу корректно указать, что я хочу получить в итоге.

Есть такое :)

>Мне необходимо журналирование действий админов.
>В итоге:
>user логинится по ssh, делает su -, открывает в mc файл с
>конфигом фаера, делает правку, сохраняет и отключается.
>В случае с одним админом всё просто. Но когда на сервере в
>одно и то же время висит их несколько, то непонятно, кто
>же всё-таки подправил конфиг фаера и в какое время.

Ну ?! B думаешь что создав пачку аккаунтов с UID=0 ты _эту_ проблему как то решишь?
Ты парень неимоверно глуп, да чего церемонится - просто дурак! Полистай любую дирекорию чтобы вместо имён показывало uid guid и помедетируй над увиденным.

Вобщем сколько бы ты не слепил аккаунтов с одинаковым uid - ls будет показывать владельцем того что выше в /etc/passwd   :)))


\\Warhead Wardick

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Создать полного аналога рута."  +/
Сообщение от anonymous (??) on 11-Сен-10, 20:22 
>>>Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны!
>>Сорри, а в чём канонизм?
>Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло.
>Как минимум, в системе может сломаться что угодно, так как все
>скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.

Shaggy - ты шыряться чтоли начала? :( Во всех *BSD с тех ещё лет что стоит второй строчкой в /etc/passwd ? И ничего - как то работает :)

\\WarheadWardick

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру