From: Michael Shigorin <mike@osdn.org.ua> To: sysadmins@lists.altlinux.org Subject: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет Date: Fri, 17 Dec 2010 20:18:12 +0200 Message-ID: <20101217181812.GC10089@osdn.org.ua> (raw) Здравствуйте. Наконец-то узнал пару давно интересовавших вещей о рекомендованных практиках повышения привилегий и использования повышенных. ----- Forwarded message from solardiz ----- Date: Fri, 17 Dec 2010 15:19:09 +0500 (YEKT) From: solardiz Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет Новое сообщение от 'solardiz' в форуме 'Разговоры, обсуждение новостей' Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#19 Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет >А как в системе стать root'ом? Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом делать только то, что реально этого требует, надо сделать два отдельных захода - root и не-root. su и sudo мы использовать не рекомендуем. Это распространенное заблуждение, что заход под пользователем и затем su как-то безопаснее, чем заход под root. Обычно верно обратное. http://www.openwall.com/lists/owl-users/2004/10/20/6 >но su root - bash: /bin/su: Permission denied По умолчанию, su доступен лишь для переключения от root'а под пользователя, но не обратно. Если очень хочется все же соблюсти абсурдную традицию, то можно сказать: control su wheelonly После этого su станет доступен группе wheel. Более этого, эта настройка будет сохранятся при обновлениях системы, так что делать ее заново после обновления не придется. Рекомендую также запустить просто "control" (выдаст список подобных настроек) и "man control". >Или надо из под рута поставить sudo ? Можно, но не советую (за очень редкими исключениями). ----- End forwarded message ----- ----- Forwarded message from Michael Shigorin ----- Date: Fri, 17 Dec 2010 21:46:27 +0500 (YEKT) From: Michael Shigorin Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет Новое сообщение от 'Michael Shigorin' <!mike@osdn.org.ua> в форуме 'Разговоры, обсуждение новостей' Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#21 Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет >Чтобы под root'ом делать только то, что реально этого требует, надо сделать >два отдельных захода - root и не-root. Если два человека (например, сменщика) и требуется/желательно иметь возможность понять, кто допустил ошибку -- то всё-таки использование выделенных аккаунтов ограниченной применимости (например, "только для sudo"), но при этом персональных -- кажется осмысленным. По крайней мере в окрестностях того треда в своё время не нашёл обсуждения подобного use case и удивился. Вообще же да, критика иллюзии скорее справедлива. ----- End forwarded message ----- ----- Forwarded message from solardiz ----- Date: Fri, 17 Dec 2010 21:54:26 +0500 (YEKT) From: solardiz Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет Новое сообщение от 'solardiz' в форуме 'Разговоры, обсуждение новостей' Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#24 Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет >Если два человека (например, сменщика) и требуется/желательно >иметь возможность понять, кто допустил ошибку -- то всё-таки >использование выделенных аккаунтов ограниченной применимости >(например, "только для sudo"), но при этом персональных -- >кажется осмысленным. Мы обычно держим собственно root'а (username root) залоченным, а создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2 - привычные нам "имена" людей). В Owl именно в связи с этим sulogin заменен на msulogin моей разработки - чтобы даже при загрузке в single user можно было выбрать под каким из root'ов зайти. ;-) Всё остальное работает с подобной схемой без проблем и так. (Кстати, мы предложили msulogin для включения в дистрибутивы Red Hat - соответствующий "баг" у них висит открытым уже много лет.) >По крайней мере в окрестностях того треда в своё время не нашёл обсуждения >подобного use case и удивился. Было, но без подробностей. ----- End forwarded message ----- -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
next reply other threads:[~2010-12-17 18:18 UTC|newest] Thread overview: 6+ messages / expand[flat|nested] mbox.gz Atom feed top 2010-12-17 18:18 Michael Shigorin [this message] 2010-12-17 19:57 ` Dmitry Derjavin 2010-12-17 20:10 ` Michael Shigorin 2010-12-17 20:09 ` Slava Dubrovskiy 2010-12-18 6:04 ` Anton Farygin 2010-12-18 9:00 ` Ivan Fedorov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20101217181812.GC10089@osdn.org.ua \ --to=mike@osdn.org.ua \ --cc=shigorin@gmail.com \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git