* [mdk-re] изврат @ 2002-04-08 16:12 Andrew Nazarkin 2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin 2002-04-09 1:29 ` Mikhail Zabaluev 0 siblings, 2 replies; 6+ messages in thread From: Andrew Nazarkin @ 2002-04-08 16:12 UTC (permalink / raw) To: MANDRAKE-RUSSIAN Здравствуйте, MANDRAKE-RUSSIAN. Нельзя ли сделать так, что когда юзер с определенного айпи заходит рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли удобнее), все его действия писались в лог? Причем именно с этого айпи, со всех остальных игнорируется. -- С уважением, Alting mailto:alting@mail.ru ^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат 2002-04-08 16:12 [mdk-re] изврат Andrew Nazarkin @ 2002-04-08 22:02 ` Michael Shigorin 2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin 2002-04-09 1:29 ` Mikhail Zabaluev 1 sibling, 1 reply; 6+ messages in thread From: Michael Shigorin @ 2002-04-08 22:02 UTC (permalink / raw) To: MANDRAKE-RUSSIAN On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote: > Нельзя ли сделать так, что когда юзер с определенного айпи заходит > рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли > удобнее), А он Большой Начальник? А то я бы дважды подумал, прежде чем давать рута человеку, которому Так Удобнее. При необходимости личные предпочтения можно подпереть вескими фактами. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: [mdk-re] Re: изврат 2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin @ 2002-04-09 13:44 ` Andrew Nazarkin 2002-04-10 0:42 ` Mikhail Zabaluev 2002-04-10 11:20 ` Michael Shigorin 0 siblings, 2 replies; 6+ messages in thread From: Andrew Nazarkin @ 2002-04-09 13:44 UTC (permalink / raw) To: Michael Shigorin Здравствуйте, Michael. Вы писали 8 апреля 2002 г., 21:42:48: MS> On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote: >> Нельзя ли сделать так, что когда юзер с определенного айпи заходит >> рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли >> удобнее), MS> А он Большой Начальник? А то я бы дважды подумал, прежде чем MS> давать рута человеку, которому Так Удобнее. При необходимости MS> личные предпочтения можно подпереть вескими фактами. Ну вот, хоть я и написал, НЕ СПРАШИВАТЬ, почему надо сделать именно так и почему именно человеку так нужно, все ответы на мое письмо сводились к банальному "Зачем?". Поверьте, если бы можно было убедить его - ни за что бы рута не дал. Но не могу я! Это от меня вообще не зависит, а вот если он свернет там что-то - виноват буду я! Затем и спрашивал, можно ли вести лог? Тому человеку это абсолютно по барабану! А мне нет. А если он свернет - пострадают люди. И морально и материально. И хоть виноватым я буду только у него, а не у остальных пользователей - мне от этого не легче. Я (кстати абсолбютно безосновательно - просто по доброте душевной) чувствую себя за них в ответе. Еще раз прошу, если можете помочь - помогите, пожалуйста. Не спамьте ненужными вопросами людям майлбоксы. Еще раз заранее огромное спасибо за любые ответы, которые могут мне помочь в этом деле. -- С уважением, Alting mailto:alting@mail.ru ^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат 2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin @ 2002-04-10 0:42 ` Mikhail Zabaluev 2002-04-10 11:20 ` Michael Shigorin 1 sibling, 0 replies; 6+ messages in thread From: Mikhail Zabaluev @ 2002-04-10 0:42 UTC (permalink / raw) To: Michael Shigorin Hello Andrew, On Tue, Apr 09, 2002 at 01:43:14PM +0400, Andrew Nazarkin wrote: > > Здравствуйте, Michael. > > Вы писали 8 апреля 2002 г., 21:42:48: > > MS> On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote: > >> Нельзя ли сделать так, что когда юзер с определенного айпи заходит > >> рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли > >> удобнее), > MS> А он Большой Начальник? А то я бы дважды подумал, прежде чем > MS> давать рута человеку, которому Так Удобнее. При необходимости > MS> личные предпочтения можно подпереть вескими фактами. > > > Ну вот, хоть я и написал, НЕ СПРАШИВАТЬ, почему надо сделать именно > так и почему именно человеку так нужно, все ответы на мое письмо > сводились к банальному "Зачем?". Поверьте, если бы можно было убедить > его - ни за что бы рута не дал. Но не могу я! Это от меня вообще не > зависит, а вот если он свернет там что-то - виноват буду я! (Лирическое отступление; конструктив см. ниже) Не знаю Вашей ситуации. Но я бы не стал работать в коллективе с такими дремучими отношениями в плане разделения труда и ответственности. > Затем и > спрашивал, можно ли вести лог? Тому человеку это абсолютно по > барабану! А мне нет. А если он свернет - пострадают люди. И морально и > материально. И хоть виноватым я буду только у него, а не у остальных > пользователей - мне от этого не легче. Я (кстати абсолбютно > безосновательно - просто по доброте душевной) чувствую себя за них в > ответе. Ну, как простой вариант -- в .bash_profile определить хост, с которого пришёл пользователь, если это "объект", поставить нереально большой HISTFILESIZE (впрочем, 9999 строк и так предостаточно), в .bash_logout по такому же условию (можно оформить в функцию в общем включаемом файле) спасти /root/.bash_history. Это будет хорошо работать, если "объект" пользуется только одним shell'ом. Но если ваш деятель оттарабанит что-нибудь вроде "rm -rf /", докладывать об этом действии будет негде. > Еще раз прошу, если можете помочь - помогите, пожалуйста. Не спамьте > ненужными вопросами людям майлбоксы. Просто ситуация заведомо проигрышная, и технические средства здесь вряд ли сильно помогут. -- Stay tuned, MhZ JID: mookid@jabber.org ___________ Each man is his own prisoner, in solitary confinement for life. ^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат 2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin 2002-04-10 0:42 ` Mikhail Zabaluev @ 2002-04-10 11:20 ` Michael Shigorin 1 sibling, 0 replies; 6+ messages in thread From: Michael Shigorin @ 2002-04-10 11:20 UTC (permalink / raw) To: Michael Shigorin [-- Attachment #1: Type: text/plain, Size: 1219 bytes --] On Tue, Apr 09, 2002 at 01:43:14PM +0400, Andrew Nazarkin wrote: > Поверьте, если бы можно было убедить его - ни за что бы рута не > дал. Но не могу я! Это от меня вообще не зависит, а вот если он А там нужен ограниченный круг действий или нет? А то, может6 беспарольному sudo на строго определенные задачи человек и больше обрадуется? :-/ > свернет там что-то - виноват буду я! Затем и спрашивал, можно Пока в таких ситуациях удавалось ставить вопрос ребром -- или _я_ делаю и _я_ отвечаю, или делайте как хотите, но потом не нависайте. Вплоть до прекращения сотрудничества -- так себе дешевле :-/ > ли вести лог? Тому человеку это абсолютно по барабану! А мне Тогда когда-нить он _обязательно_ что-то свернет %( > чувствую себя за них в ответе. Молодец! > Еще раз заранее огромное спасибо за любые ответы, которые могут > мне помочь в этом деле. Помимо HISTFILESIZE, может помочь запускать его сессию под script -o /var/log/that_host/date_time_of_login.log -- если места на диске не жалко, так разобраться будет существенно легче. Окромя rm -rf ... PS: вспоминается RSBAC, где рут -- ну рут себе, но не более... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* [mdk-re] Re: изврат 2002-04-08 16:12 [mdk-re] изврат Andrew Nazarkin 2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin @ 2002-04-09 1:29 ` Mikhail Zabaluev 1 sibling, 0 replies; 6+ messages in thread From: Mikhail Zabaluev @ 2002-04-09 1:29 UTC (permalink / raw) To: MANDRAKE-RUSSIAN Hello Andrew, On Mon, Apr 08, 2002 at 04:14:28PM +0400, Andrew Nazarkin wrote: > > Здравствуйте, MANDRAKE-RUSSIAN. > > Нельзя ли сделать так, что когда юзер с определенного айпи заходит > рутом по ssh (не спрашивайте, почему рутом - ему так, видите ли > удобнее), все его действия писались в лог? Давайте вдумаемся: предлагается контроль за суперпользователем, который может этот контроль не только обнаружить (если это делается тайно, что есть большое "нехорошо" для нормального администратора), но и отключить. А если данная персона не в состоянии ничего этого сделать, на кой ей тогда дан root? -- Stay tuned, MhZ JID: mookid@jabber.org ___________ I'd be a poorer man if I'd never seen an eagle fly. -- John Denver [I saw an eagle fly once. Fortunately, I had my eagle fly swatter handy. Ed.] ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2002-04-10 11:20 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-04-08 16:12 [mdk-re] изврат Andrew Nazarkin 2002-04-08 22:02 ` [mdk-re] изврат Michael Shigorin 2002-04-09 13:44 ` [mdk-re] " Andrew Nazarkin 2002-04-10 0:42 ` Mikhail Zabaluev 2002-04-10 11:20 ` Michael Shigorin 2002-04-09 1:29 ` Mikhail Zabaluev
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git