ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Запрет удалённого исполнения некоторых команд.
@ 2004-04-22  2:53 harlan
  2004-04-22  6:27 ` [Comm] " Anton V. Boyarshinov
                   ` (2 more replies)
  0 siblings, 3 replies; 5+ messages in thread
From: harlan @ 2004-04-22  2:53 UTC (permalink / raw)
  To: community

Есть сервер ALM 2.2, который стоит в нескольких десятках километрах от меня. Я его администрирую через ssh.
Возникла необходимость запретить исполнение некоторых команд с удалённого терминала (например halt, shutdown -h)
даже от имени root, а с локального терминала разрешить эти команды только для root. Подскажите, как это можно 
сделать? Нутром чую, что через sudo, но можно узнать конкретнее - КАК? Желательно с примерами.


^ permalink raw reply	[flat|nested] 5+ messages in thread
* [Comm] Re: Запрет удалённого исполнения некоторых команд.
  2004-04-22  2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
@ 2004-04-22  6:27 ` Anton V. Boyarshinov
  2004-04-22  6:30 ` [Comm] " Sodom
  2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
  2 siblings, 0 replies; 5+ messages in thread
From: Anton V. Boyarshinov @ 2004-04-22  6:27 UTC (permalink / raw)
  To: community

On Thu, 22 Apr 2004 09:53:58 +0700 harlan
 wrote:

> Есть сервер ALM 2.2, который стоит в нескольких десятках
> километрах от меня. Я его администрирую через ssh. Возникла
> необходимость запретить исполнение некоторых команд с
> удалённого терминала (например halt, shutdown -h) даже от имени
> root, а с локального терминала разрешить эти команды только для
> root. Подскажите, как это можно сделать? Нутром чую, что через
> sudo, но можно узнать конкретнее - КАК?

Надёжно -- никак. По крайней мере без RSBAC или чего-нибудь
подобного.

Антон
-- 
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
 10:24:00  up 10 days, 22:20,  9 users,  load average: 1.00,
1.03, 1.06


^ permalink raw reply	[flat|nested] 5+ messages in thread
* Re: [Comm] Запрет удалённого исполнения некоторых команд.
  2004-04-22  2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
  2004-04-22  6:27 ` [Comm] " Anton V. Boyarshinov
@ 2004-04-22  6:30 ` Sodom
  2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
  2 siblings, 0 replies; 5+ messages in thread
From: Sodom @ 2004-04-22  6:30 UTC (permalink / raw)
  To: harlan

Здравствуйте, harlan.

Вы писали 22 апреля 2004 г., 6:53:58:

h> Есть сервер ALM 2.2, который стоит в нескольких десятках
h> километрах от меня. Я его администрирую через ssh.
h> Возникла необходимость запретить исполнение некоторых команд с
h> удалённого терминала (например halt, shutdown -h)
h> даже от имени root, а с локального терминала разрешить эти
h> команды только для root. Подскажите, как это можно 
h> сделать? Нутром чую, что через sudo, но можно узнать конкретнее - КАК? Желательно с примерами.

Знаете, я в подобных случаях просто делаю chmod -x на подобные файлы.
Чтобы уж 100% даже я сам по ошибке не мог случайно остановить сервер.
Если приспичивает - ставлю исполнимый бит обратно.
Наверное, в Вашем случае, необходимо все же локальному руту разрешить
принципиально?

h> _______________________________________________
h> Community mailing list
h> Community@altlinux.ru
h> http://lists.altlinux.ru/mailman/listinfo/community



-- 
С уважением,
 Sodom                          mailto:sodom@sodom.ru

Origin:  Сколько голов, столько умов. Но первых всегда больше.



^ permalink raw reply	[flat|nested] 5+ messages in thread
* [Comm] Re: Запрет удалённого исполнения некоторых команд.
  2004-04-22  2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
  2004-04-22  6:27 ` [Comm] " Anton V. Boyarshinov
  2004-04-22  6:30 ` [Comm] " Sodom
@ 2004-04-22 10:24 ` Vitaly Ostanin
  2004-04-22 11:03   ` Antonio
  2 siblings, 1 reply; 5+ messages in thread
From: Vitaly Ostanin @ 2004-04-22 10:24 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 922 bytes --]

harlan пишет:
> Есть сервер ALM 2.2, который стоит в нескольких десятках километрах от меня. Я его администрирую через ssh.
> Возникла необходимость запретить исполнение некоторых команд с удалённого терминала (например halt, shutdown -h)
> даже от имени root, а с локального терминала разрешить эти команды только для root. Подскажите, как это можно 
> сделать? Нутром чую, что через sudo, но можно узнать конкретнее - КАК? Желательно с примерами.

Если не работать под root вообще - ни локально, ни удалённо - то 
можно через sudo. Для администрирования достаточно выдать себе 
sudo на текстовый редактор и /sbin/service. А sudo действительно 
умеет смотреть на тип подключения. Про КАК написано в man sudoers.

Более правильный подход при удалённом администрировании - не 
запретить некоторые команды, а наоборот, разрешить некоторые команды.

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread
* Re: [Comm] Re: Запрет удалённого исполнения некоторых команд.
  2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
@ 2004-04-22 11:03   ` Antonio
  0 siblings, 0 replies; 5+ messages in thread
From: Antonio @ 2004-04-22 11:03 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Thu, 22 Apr 2004, Vitaly Ostanin wrote:

> Если не работать под root вообще - ни локально, ни удалённо - то
> можно через sudo. Для администрирования достаточно выдать себе
> sudo на текстовый редактор

Угу. Выдать sudo на vi (или любую команду, из которой можно
запустить ещё какую-либо внешнюю команду) и здравствуй, новый
root (в vi :!sh)... ;-)

- -- 
Best regards,
	Tony.			mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQFAh6Z72gaLrWRbr5URAgfUAKCer8frTXriVX3ne1YHPzGS2PU5QACdEw+3
4zVSlwqXsKwwhmj2yLGD5Dk=
=8+9d
-----END PGP SIGNATURE-----






^ permalink raw reply	[flat|nested] 5+ messages in thread
end of thread, other threads:[~2004-04-22 11:03 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-22  2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
2004-04-22  6:27 ` [Comm] " Anton V. Boyarshinov
2004-04-22  6:30 ` [Comm] " Sodom
2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
2004-04-22 11:03   ` Antonio

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git