Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Artem Chuprina <ran@ran.pp.ru>
Date: Tue, 09 Dec 2008 21:58:56 +0300
Message-id: <[🔎] 80334255@wizzle.medvedkovo.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 1228843100.4315.34.camel@casper.meteor.dp.ua> ("Покотиленко Костик"'s message of "Tue\, 09 Dec 2008 19\:18\:20 +0200")
References: <[🔎] 493D6766.9020305@yandex.ru> <[🔎] 20081208183946.GH25098@work.uvw.ru> <[🔎] 493D6C1B.1040801@gmail.com> <[🔎] 493D9363.2000407@gmail.com> <[🔎] 493D991E.9060207@gmail.com> <[🔎] 20081209111705.3648ab1a@ibem> <[🔎] 20081209132012.GB22054@wagner.pp.ru> <[🔎] 1228843100.4315.34.camel@casper.meteor.dp.ua>

Покотиленко Костик -> debian-russian@lists.debian.org  @ Tue, 09 Dec 2008 19:18:20 +0200:

 >> > Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
 >> > никакого выигрыша от неиспользования root password мы не получим.
 >> 
 >> Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
 >> ALL, то при увольнении одного из них нужно только deluser сделать.
 >> А если бы использовалось su, то пришлось бы менять рутовый пароль и всем
 >> остальным админам заучивать новый.

 ПК> Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
 ПК> временное превышение полномочий, как тут кто-то недавно сказал??? Я
 ПК> вообще ни ситуации такой представить не могу ни смысл самого понятия не
 ПК> могу понять. Кроме конечно того, что это такой себе мега-костыль.

Пример.  У меня есть сервер в Интернете, и машина в локальной сети,
которая его бэкапит.  В автопилоте.  Она, натурально, идет туда по ssh
юзером backup по ключу и запускает собственно команду бэкапа, сливающую
результат в этот ssh.  По sudo без пароля.  Ровно эту команду и никакую
другую.

Предложи другой способ это сделать.  Без необходимости открывать доступ
снаружи на бэкапящую машину и, следовательно, в локальную сеть.
Бэкапящая машина еще много для чего используется, и защищена она в
результате не в пример слабее того сервера.

 ПК> Я понимаю так, что если тебе иногда надо выполнять команды с другими
 ПК> привилегиями - меняй привилегии с подтверждением их обладания (su), в
 ПК> остальных случаях права правильно надо настраивать. Иначе отслеживать у
 ПК> кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
 ПК> анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет
 ПК> ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за
 ПК> компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может
 ПК> пол страны.

Похрен.  Яйца отрывать будем Васе.  Вместе с записями в sudoers.
Остальное - его проблемы.

За моим компом пол-офиса может сидеть.  Но не под моим логином.  У них
на нем свои логины есть.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Может, тебе еще секретный ключ от шкатулки с сильмариллами?
	(С)энта

Reply to:

Follow-Ups:
- Re[2]: sudo ws root
  - From: Konstantin Tokar <Konstantin@Tokar.RU>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: sudo ws root
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: sudo ws root
  - From: Alexey Pechnikov <pechnikov@sandy.ru>

References:
- sudo ws root
  - From: "russian-linuxoid@yandex.ru" <russian-linuxoid@yandex.ru>
- Re: sudo ws root
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: sudo ws root
  - From: "Eugene V. Lyubimkin" <jackyf.devel@gmail.com>
- Re: sudo ws root
  - From: Stanislav Kruchinin <stanislav.kruchinin@gmail.com>
- Re: sudo ws root
  - From: "Eugene V. Lyubimkin" <jackyf.devel@gmail.com>
- Re: sudo ws root
  - From: Grey Fenrir <grey.fenrir@gmail.com>
- Re: sudo ws root
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: sudo ws root
  - From: Покотиленко Костик <casper@meteor.dp.ua>

Prev by Date: Re: Debian -> Ubuntu Server ?
Next by Date: Re: Медленная загрузка GRUB
Previous by thread: Re: sudo ws root
Next by thread: Re[2]: sudo ws root
Index(es):
- Date
- Thread