[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: sudo ws root

В Вто, 09/12/2008 в 21:58 +0300, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org  @ Tue, 09 Dec 2008 19:18:20 +0200:
> 
>  >> > Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
>  >> > никакого выигрыша от неиспользования root password мы не получим.
>  >> 
>  >> Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
>  >> ALL, то при увольнении одного из них нужно только deluser сделать.
>  >> А если бы использовалось su, то пришлось бы менять рутовый пароль и всем
>  >> остальным админам заучивать новый.
> 
>  ПК> Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
>  ПК> временное превышение полномочий, как тут кто-то недавно сказал??? Я
>  ПК> вообще ни ситуации такой представить не могу ни смысл самого понятия не
>  ПК> могу понять. Кроме конечно того, что это такой себе мега-костыль.
> 
> Пример.  У меня есть сервер в Интернете, и машина в локальной сети,
> которая его бэкапит.  В автопилоте.  Она, натурально, идет туда по ssh
> юзером backup по ключу и запускает собственно команду бэкапа, сливающую
> результат в этот ssh.  По sudo без пароля.  Ровно эту команду и никакую
> другую.
> 
> Предложи другой способ это сделать.  Без необходимости открывать доступ
> снаружи на бэкапящую машину и, следовательно, в локальную сеть.
> Бэкапящая машина еще много для чего используется, и защищена она в
> результате не в пример слабее того сервера.

Просто: бэкап на сервере делает ПО от рута в место доступное backup с
соответствующими правами. ПО на машине в локальной сети просто этот
бэкап слизывает под пользователем backup без всяких повышений
привилегий.

>  ПК> Я понимаю так, что если тебе иногда надо выполнять команды с другими
>  ПК> привилегиями - меняй привилегии с подтверждением их обладания (su), в
>  ПК> остальных случаях права правильно надо настраивать. Иначе отслеживать у
>  ПК> кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
>  ПК> анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет
>  ПК> ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за
>  ПК> компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может
>  ПК> пол страны.
> 
> Похрен.  Яйца отрывать будем Васе.  Вместе с записями в sudoers.
> Остальное - его проблемы.

Понятно, что ответственность лежит на Васе, но в целом такая система
*неоправданно* сложнее.

> За моим компом пол-офиса может сидеть.  Но не под моим логином.  У них
> на нем свои логины есть.

Не все такие правильные как ты.

-- 
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: