* [mdk-re] изврат
@ 2002-04-08 16:12 Andrew Nazarkin
2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin
2002-04-09 1:29 ` Mikhail Zabaluev
0 siblings, 2 replies; 6+ messages in thread
From: Andrew Nazarkin @ 2002-04-08 16:12 UTC (permalink / raw)
To: MANDRAKE-RUSSIAN
Здравствуйте, MANDRAKE-RUSSIAN.
Нельзя ли сделать так, что когда юзер с определенного айпи заходит
рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли
удобнее), все его действия писались в лог? Причем именно с этого айпи,
со всех остальных игнорируется.
--
С уважением,
Alting mailto:alting@mail.ru
^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат
2002-04-08 16:12 [mdk-re] изврат Andrew Nazarkin
@ 2002-04-08 22:02 ` Michael Shigorin
2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin
2002-04-09 1:29 ` Mikhail Zabaluev
1 sibling, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2002-04-08 22:02 UTC (permalink / raw)
To: MANDRAKE-RUSSIAN
On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote:
> Нельзя ли сделать так, что когда юзер с определенного айпи заходит
> рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли
> удобнее),
А он Большой Начальник? А то я бы дважды подумал, прежде чем
давать рута человеку, которому Так Удобнее. При необходимости
личные предпочтения можно подпереть вескими фактами.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат
2002-04-08 16:12 [mdk-re] изврат Andrew Nazarkin
2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin
@ 2002-04-09 1:29 ` Mikhail Zabaluev
1 sibling, 0 replies; 6+ messages in thread
From: Mikhail Zabaluev @ 2002-04-09 1:29 UTC (permalink / raw)
To: MANDRAKE-RUSSIAN
Hello Andrew,
On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote:
>
> Здравствуйте, MANDRAKE-RUSSIAN.
>
> Нельзя ли сделать так, что когда юзер с определенного айпи заходит
> рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли
> удобнее), все его действия писались в лог?
Давайте вдумаемся: предлагается контроль за суперпользователем,
который может этот контроль не только обнаружить (если это делается
тайно, что есть большое "нехорошо" для нормального администратора),
но и отключить. А если данная персона не в состоянии ничего этого
сделать, на кой ей тогда дан root?
--
Stay tuned,
MhZ JID: mookid@jabber.org
___________
I'd be a poorer man if I'd never seen an eagle fly.
-- John Denver
[I saw an eagle fly once. Fortunately, I had my eagle fly swatter handy. Ed.]
^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: [mdk-re] Re: изврат
2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin
@ 2002-04-09 13:44 ` Andrew Nazarkin
2002-04-10 0:42 ` Mikhail Zabaluev
2002-04-10 11:20 ` Michael Shigorin
0 siblings, 2 replies; 6+ messages in thread
From: Andrew Nazarkin @ 2002-04-09 13:44 UTC (permalink / raw)
To: Michael Shigorin
Здравствуйте, Michael.
Вы писали 8 апреля 2002 г., 21:42:48:
MS> On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote:
>> Нельзя ли сделать так, что когда юзер с определенного айпи заходит
>> рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли
>> удобнее),
MS> А он Большой Начальник? А то я бы дважды подумал, прежде чем
MS> давать рута человеку, которому Так Удобнее. При необходимости
MS> личные предпочтения можно подпереть вескими фактами.
Ну вот, хоть я и написал, НЕ СПРАШИВАТЬ, почему надо сделать именно
так и почему именно человеку так нужно, все ответы на мое письмо
сводились к банальному "Зачем?". Поверьте, если бы можно было убедить
его - ни за что бы рута не дал. Но не могу я! Это от меня вообще не
зависит, а вот если он свернет там что-то - виноват буду я! Затем и
спрашивал, можно ли вести лог? Тому человеку это абсолютно по
барабану! А мне нет. А если он свернет - пострадают люди. И морально и
материально. И хоть виноватым я буду только у него, а не у остальных
пользователей - мне от этого не легче. Я (кстати абсолбютно
безосновательно - просто по доброте душевной) чувствую себя за них в
ответе.
Еще раз прошу, если можете помочь - помогите, пожалуйста. Не спамьте
ненужными вопросами людям майлбоксы.
Еще раз заранее огромное спасибо за любые ответы, которые могут мне
помочь в этом деле.
--
С уважением,
Alting mailto:alting@mail.ru
^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат
2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin
@ 2002-04-10 0:42 ` Mikhail Zabaluev
2002-04-10 11:20 ` Michael Shigorin
1 sibling, 0 replies; 6+ messages in thread
From: Mikhail Zabaluev @ 2002-04-10 0:42 UTC (permalink / raw)
To: Michael Shigorin
Hello Andrew,
On Tue, Apr 09, 2002 at 01:43:14PM +0400, Andrew Nazarkin wrote:
>
> Здравствуйте, Michael.
>
> Вы писали 8 апреля 2002 г., 21:42:48:
>
> MS> On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote:
> >> Нельзя ли сделать так, что когда юзер с определенного айпи заходит
> >> рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли
> >> удобнее),
> MS> А он Большой Начальник? А то я бы дважды подумал, прежде чем
> MS> давать рута человеку, которому Так Удобнее. При необходимости
> MS> личные предпочтения можно подпереть вескими фактами.
>
>
> Ну вот, хоть я и написал, НЕ СПРАШИВАТЬ, почему надо сделать именно
> так и почему именно человеку так нужно, все ответы на мое письмо
> сводились к банальному "Зачем?". Поверьте, если бы можно было убедить
> его - ни за что бы рута не дал. Но не могу я! Это от меня вообще не
> зависит, а вот если он свернет там что-то - виноват буду я!
(Лирическое отступление; конструктив см. ниже)
Не знаю Вашей ситуации. Но я бы не стал работать в коллективе
с такими дремучими отношениями в плане разделения труда
и ответственности.
> Затем и
> спрашивал, можно ли вести лог? Тому человеку это абсолютно по
> барабану! А мне нет. А если он свернет - пострадают люди. И морально и
> материально. И хоть виноватым я буду только у него, а не у остальных
> пользователей - мне от этого не легче. Я (кстати абсолбютно
> безосновательно - просто по доброте душевной) чувствую себя за них в
> ответе.
Ну, как простой вариант -- в .bash_profile определить хост, с которого
пришёл пользователь, если это "объект", поставить нереально большой
HISTFILESIZE (впрочем, 9999 строк и так предостаточно), в .bash_logout
по такому же условию (можно оформить в функцию в общем включаемом
файле) спасти /root/.bash_history.
Это будет хорошо работать, если "объект" пользуется только одним
shell'ом. Но если ваш деятель оттарабанит что-нибудь вроде
"rm -rf /", докладывать об этом действии будет негде.
> Еще раз прошу, если можете помочь - помогите, пожалуйста. Не спамьте
> ненужными вопросами людям майлбоксы.
Просто ситуация заведомо проигрышная, и технические средства здесь вряд
ли сильно помогут.
--
Stay tuned,
MhZ JID: mookid@jabber.org
___________
Each man is his own prisoner, in solitary confinement for life.
^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат
2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin
2002-04-10 0:42 ` Mikhail Zabaluev
@ 2002-04-10 11:20 ` Michael Shigorin
1 sibling, 0 replies; 6+ messages in thread
From: Michael Shigorin @ 2002-04-10 11:20 UTC (permalink / raw)
To: Michael Shigorin
[-- Attachment #1: Type: text/plain, Size: 1219 bytes --]
On Tue, Apr 09, 2002 at 01:43:14PM +0400, Andrew Nazarkin wrote:
> Поверьте, если бы можно было убедить его - ни за что бы рута не
> дал. Но не могу я! Это от меня вообще не зависит, а вот если он
А там нужен ограниченный круг действий или нет? А то, может6
беспарольному sudo на строго определенные задачи человек и больше
обрадуется? :-/
> свернет там что-то - виноват буду я! Затем и спрашивал, можно
Пока в таких ситуациях удавалось ставить вопрос ребром -- или _я_
делаю и _я_ отвечаю, или делайте как хотите, но потом не
нависайте. Вплоть до прекращения сотрудничества -- так себе
дешевле :-/
> ли вести лог? Тому человеку это абсолютно по барабану! А мне
Тогда когда-нить он _обязательно_ что-то свернет %(
> чувствую себя за них в ответе.
Молодец!
> Еще раз заранее огромное спасибо за любые ответы, которые могут
> мне помочь в этом деле.
Помимо HISTFILESIZE, может помочь запускать его сессию под
script -o /var/log/that_host/date_time_of_login.log -- если места
на диске не жалко, так разобраться будет существенно легче.
Окромя rm -rf ...
PS: вспоминается RSBAC, где рут -- ну рут себе, но не более...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2002-04-10 11:20 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-04-08 16:12 [mdk-re] изврат Andrew Nazarkin
2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin
2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin
2002-04-10 0:42 ` Mikhail Zabaluev
2002-04-10 11:20 ` Michael Shigorin
2002-04-09 1:29 ` Mikhail Zabaluev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git