Re: sudo ws root
Покотиленко Костик -> debian-russian@lists.debian.org @ Tue, 09 Dec 2008 19:18:20 +0200:
>> > Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
>> > никакого выигрыша от неиспользования root password мы не получим.
>>
>> Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
>> ALL, то при увольнении одного из них нужно только deluser сделать.
>> А если бы использовалось su, то пришлось бы менять рутовый пароль и всем
>> остальным админам заучивать новый.
ПК> Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
ПК> временное превышение полномочий, как тут кто-то недавно сказал??? Я
ПК> вообще ни ситуации такой представить не могу ни смысл самого понятия не
ПК> могу понять. Кроме конечно того, что это такой себе мега-костыль.
Пример. У меня есть сервер в Интернете, и машина в локальной сети,
которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh
юзером backup по ключу и запускает собственно команду бэкапа, сливающую
результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую
другую.
Предложи другой способ это сделать. Без необходимости открывать доступ
снаружи на бэкапящую машину и, следовательно, в локальную сеть.
Бэкапящая машина еще много для чего используется, и защищена она в
результате не в пример слабее того сервера.
ПК> Я понимаю так, что если тебе иногда надо выполнять команды с другими
ПК> привилегиями - меняй привилегии с подтверждением их обладания (su), в
ПК> остальных случаях права правильно надо настраивать. Иначе отслеживать у
ПК> кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
ПК> анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет
ПК> ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за
ПК> компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может
ПК> пол страны.
Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers.
Остальное - его проблемы.
За моим компом пол-офиса может сидеть. Но не под моим логином. У них
на нем свои логины есть.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта
Reply to: