From: Michael Shigorin <mike@osdn.org.ua>
To: sysadmins@lists.altlinux.org
Subject: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Date: Fri, 17 Dec 2010 20:18:12 +0200
Message-ID: <20101217181812.GC10089@osdn.org.ua> (raw)
Здравствуйте.
Наконец-то узнал пару давно интересовавших вещей
о рекомендованных практиках повышения привилегий
и использования повышенных.
----- Forwarded message from solardiz -----
Date: Fri, 17 Dec 2010 15:19:09 +0500 (YEKT)
From: solardiz
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Новое сообщение от 'solardiz' в форуме 'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#19
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
>А как в системе стать root'ом?
Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом
делать только то, что реально этого требует, надо сделать два
отдельных захода - root и не-root. su и sudo мы использовать не
рекомендуем. Это распространенное заблуждение, что заход под
пользователем и затем su как-то безопаснее, чем заход под root.
Обычно верно обратное.
http://www.openwall.com/lists/owl-users/2004/10/20/6
>но su root - bash: /bin/su: Permission denied
По умолчанию, su доступен лишь для переключения от root'а под
пользователя, но не обратно. Если очень хочется все же соблюсти
абсурдную традицию, то можно сказать:
control su wheelonly
После этого su станет доступен группе wheel. Более этого, эта
настройка будет сохранятся при обновлениях системы, так что
делать ее заново после обновления не придется. Рекомендую также
запустить просто "control" (выдаст список подобных настроек) и
"man control".
>Или надо из под рута поставить sudo ?
Можно, но не советую (за очень редкими исключениями).
----- End forwarded message -----
----- Forwarded message from Michael Shigorin -----
Date: Fri, 17 Dec 2010 21:46:27 +0500 (YEKT)
From: Michael Shigorin
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Новое сообщение от 'Michael Shigorin' <!mike@osdn.org.ua> в форуме
'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#21
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
>Чтобы под root'ом делать только то, что реально этого требует, надо сделать
>два отдельных захода - root и не-root.
Если два человека (например, сменщика) и требуется/желательно
иметь возможность понять, кто допустил ошибку -- то всё-таки
использование выделенных аккаунтов ограниченной применимости
(например, "только для sudo"), но при этом персональных --
кажется осмысленным. По крайней мере в окрестностях того треда в
своё время не нашёл обсуждения подобного use case и удивился.
Вообще же да, критика иллюзии скорее справедлива.
----- End forwarded message -----
----- Forwarded message from solardiz -----
Date: Fri, 17 Dec 2010 21:54:26 +0500 (YEKT)
From: solardiz
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Новое сообщение от 'solardiz' в форуме 'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#24
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
>Если два человека (например, сменщика) и требуется/желательно
>иметь возможность понять, кто допустил ошибку -- то всё-таки
>использование выделенных аккаунтов ограниченной применимости
>(например, "только для sudo"), но при этом персональных --
>кажется осмысленным.
Мы обычно держим собственно root'а (username root) залоченным, а
создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
- привычные нам "имена" людей). В Owl именно в связи с этим
sulogin заменен на msulogin моей разработки - чтобы даже при
загрузке в single user можно было выбрать под каким из root'ов
зайти. ;-) Всё остальное работает с подобной схемой без проблем и
так. (Кстати, мы предложили msulogin для включения в дистрибутивы
Red Hat - соответствующий "баг" у них висит открытым уже много
лет.)
>По крайней мере в окрестностях того треда в своё время не нашёл обсуждения
>подобного use case и удивился.
Было, но без подробностей.
----- End forwarded message -----
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
next reply other threads:[~2010-12-17 18:18 UTC|newest]
Thread overview: 6+ messages / expand[flat|nested] mbox.gz Atom feed top
2010-12-17 18:18 Michael Shigorin [this message]
2010-12-17 19:57 ` Dmitry Derjavin
2010-12-17 20:10 ` Michael Shigorin
2010-12-17 20:09 ` Slava Dubrovskiy
2010-12-18 6:04 ` Anton Farygin
2010-12-18 9:00 ` Ivan Fedorov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20101217181812.GC10089@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=shigorin@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git