Re: sudo ws root
В Вто, 09/12/2008 в 16:20 +0300, Victor Wagner пишет:
> On 2008.12.09 at 11:17:05 +0300, Grey Fenrir wrote:
>
> > Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
> > никакого выигрыша от неиспользования root password мы не получим.
>
> Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
> ALL, то при увольнении одного из них нужно только deluser сделать.
> А если бы использовалось su, то пришлось бы менять рутовый пароль и всем
> остальным админам заучивать новый.
Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
временное превышение полномочий, как тут кто-то недавно сказал??? Я
вообще ни ситуации такой представить не могу ни смысл самого понятия не
могу понять. Кроме конечно того, что это такой себе мега-костыль.
Я понимаю так, что если тебе иногда надо выполнять команды с другими
привилегиями - меняй привилегии с подтверждением их обладания (su), в
остальных случаях права правильно надо настраивать. Иначе отслеживать у
кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет
ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за
компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может
пол страны.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: