Jak administrovat server?

Ing. Vlastimil Pospíchal vpospichal na centrum.cz
Úterý Leden 1 15:24:14 CET 2002 

On Tue, Jan 01, 2002 at 02:02:28AM +0100, Zdenek Mazanec wrote:
> > > dam ho do skupiny root, tak stejne potom mam mnoho omezeni, napr. nemohu
> > > vytvaret nove usery atd. Lze pridelit tomu novemu uzivateli prava skoro ke
> > > vsem moznostem, co ma user root?

Otázkou je, zdali potřebuji, aby ostatní administrátoři mohli
všechno nebo jen něco. Kromě sudo se dá využít RSA autentizace,
kterou hojně využívám, zejména pokud potřebuji ze stanice Windows
spustit specifickou akci, např. vyprázdnění tiskové fronty usera
nebo spustit nějaký konkrétní skript. Akce se dají logovat.

> > Muzete vytvorit uzivatele s UID 0

Tuto možnost bych vůbec neuvažoval. Je to pak jen další root
s jiným jménem a jiným heslem. Pouze v případě, že bych jim 100%
důvěřoval. Navíc ten user ztratí identitu, jeho soubory v /home/
jsou pak de facto soubory roota.

> Nebo muzete nejakemu standardnimu uzivateli pridelit pravo na spousteni
> vybranych binaru s pravy roota. Trebas pomoci sudo.

sudo vidím jako dobrou možnost, pokud je nutné předávat parametry.
Pokud nepotřebuji předávat parametry nebo je získávám ve skriptu,
dávám přednost RSA. Pouze je nutné dávat pozor na díry v programech,
např. mutt,vim,less... To AFAIK platí i pro sudo.

> Pres sudo nebo podobneho to svuj smyl mit muze. Ne valny(1), ale muze.
> 
> (1) mysleno pokud jde o plnohodnotnou administraci. Ja na neterych serverech
> prideluji pres sudo nekterym uzivatelum trebas pravo restartovat vybrane
> sluzby, editovat netere konfiguraky...
> Zdenek Mazanec

V případě sudo mi vadí nutnost zadávání hesla v případě elementárního
úkonu, který musí jinak vykonávat root a přitom jeho spuštění nenese
příliš velké riziko zneužití, např. restart některých služeb. V tomto
případě s oblibou využívám RSA. Pokud je bez hesla, uživatel Windows
může mít ikonu na ploše, po poklikání se spustí specifická akce.

Na přidávání uživatelů jsem si napsal skript, který si ode mne vyptá
potřebné informace interaktivně. Vím, že to dělá i adduser, můj skript
toho dělá trochu více. Tento skript volám právě přes RSA z konta
uživatele, mohu tam mít jakékoli heslo a každý oprávněný admin má své.
Jako root se přihlašuji skutečně minimálně.

Bye Kit
-- 
Ing. Vlastimil Pospíchal
http://www.hoteldrnholec.cz

Už nikdy virus, ať žije Linux!

Další informace o konferenci Linux