* [mdk-re] multiple root logins @ 2001-01-16 14:37 Artem K. Jouravsky 2001-01-16 20:51 ` Anton I. Karpov 2001-01-17 4:24 ` Dmitry V. Levin 0 siblings, 2 replies; 11+ messages in thread From: Artem K. Jouravsky @ 2001-01-16 14:37 UTC (permalink / raw) To: mandrake-russian -----BEGIN PGP SIGNED MESSAGE----- Hash: MD5 Hello mandrake-russian, Возник вот такой вопрос... У меня на сервере два рутовых логина, по именам двух юзеров их имеющих: r_user1 и r_user2, у обоих, ясное дело, UID=0. Причина простая - каждому удобнее свои собственные пароли помнить Просто логин root у меня забит (в файле /etc/shadow вместо пароля стоит астериск) А проблема вот в чем, уходя на обед запустил vlock, потому что не хотелось совсем сессию закрывать, а вернувшись, обнаружил что кроме пароля root он более ничего видеть не хочет :( Пришлось менять пароль root с другой консоли чтобы разлочить те что оставил... Это можно как-то лечить? - -- Best regards, Artem mailto:ujo@zuzusoft.com -----BEGIN PGP SIGNATURE----- Version: 2.6 iQCVAwUAOmQzYBc3+hTeMWd9AQGr1gP9FdcCxBCrT8R+Sz3PJR1meoWtALYQGa1Q gFaZo5xdPeqn0lOn2wv+Ur8sESvudUyHxkqvMSNX9vhnRlxY7ZGrdZf3jP9Y0CDw rE8B21MRJMkHErKMiVJN70V//gYvY2Qew175HnED/UUU8teDOhfngsGbe+ly4iz7 PIYSLGySTBw= =lV3G -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [mdk-re] multiple root logins 2001-01-16 14:37 [mdk-re] multiple root logins Artem K. Jouravsky @ 2001-01-16 20:51 ` Anton I. Karpov 2001-01-17 12:50 ` Re[2]: " Artem K. Jouravsky 2001-01-17 4:24 ` Dmitry V. Levin 1 sibling, 1 reply; 11+ messages in thread From: Anton I. Karpov @ 2001-01-16 20:51 UTC (permalink / raw) To: Artem K. Jouravsky Добрый день, Artem K. Jouravsky. В ответ на ваше сообщение от 14:41 16.01.2001 по теме: "[mdk-re] multiple root logins" было написано: AKJ> У меня на сервере два рутовых логина, по именам двух юзеров их AKJ> имеющих: Есть такая программа -- sudo. На третьм диске вроде живет -- не знаю, у меня однодисковая версия. Очень полезная вещь, советую обратить внимание. -- Anton I. Karpov e-mail: gi@joker.botik.ru icq: 27857813 www: http://joker.botik.ru/~gi ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re[2]: [mdk-re] multiple root logins 2001-01-16 20:51 ` Anton I. Karpov @ 2001-01-17 12:50 ` Artem K. Jouravsky 0 siblings, 0 replies; 11+ messages in thread From: Artem K. Jouravsky @ 2001-01-17 12:50 UTC (permalink / raw) To: Anton I. Karpov Hello Anton, AKJ>> У меня на сервере два рутовых логина, по именам двух юзеров их AKJ>> имеющих: AIK> Есть такая программа -- sudo. На третьм диске вроде живет -- не знаю, у меня AIK> однодисковая версия. Очень полезная вещь, советую обратить внимание. Знаю, я ее использую, но тут именно случай когда у обоих полные права... Тем не менее, спасибо! -- Best regards, Artem mailto:ujo@zuzusoft.com ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [mdk-re] multiple root logins 2001-01-16 14:37 [mdk-re] multiple root logins Artem K. Jouravsky 2001-01-16 20:51 ` Anton I. Karpov @ 2001-01-17 4:24 ` Dmitry V. Levin 2001-01-17 13:00 ` Re[2]: " Artem K. Jouravsky 2001-01-17 16:47 ` Re[2]: " Maksim Otstavnov 1 sibling, 2 replies; 11+ messages in thread From: Dmitry V. Levin @ 2001-01-17 4:24 UTC (permalink / raw) To: mandrake-russian [-- Attachment #1: Type: text/plain, Size: 1652 bytes --] On Tue, Jan 16, 2001 at 02:41:04PM +0300, Artem K. Jouravsky wrote: > Возник вот такой вопрос... > У меня на сервере два рутовых логина, по именам двух юзеров их > имеющих: > r_user1 и r_user2, у обоих, ясное дело, UID=0. > Причина простая - каждому удобнее свои собственные пароли помнить > Просто логин root у меня забит (в файле /etc/shadow вместо пароля > стоит астериск) > А проблема вот в чем, уходя на обед запустил vlock, потому что не > хотелось совсем сессию закрывать, а вернувшись, обнаружил что кроме > пароля root он более ничего видеть не хочет :( Пришлось менять > пароль root с другой консоли чтобы разлочить те что оставил... Это можно > как-то лечить? Во первых, проблему надо лечить в корне; в данном случае корень проблемы - "два _рутовых_ логина по именам двух _юзеров_". Надо работать непривилегированным пользователем. Что касается описанной Вами ситуации с vlock, то Вы ее не сможете решить корректно своими силами. Таково поведение /sbin/{pwdb,unix}_chkpwd, и во всех дистрибутивах, где vlock работает с использованием авторизации через PAM >= 0.72, Вы будете наблюдать эту картину. Есть шанс, что в Sisyphus раньше или позже это будет исправлено. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re[2]: [mdk-re] multiple root logins 2001-01-17 4:24 ` Dmitry V. Levin @ 2001-01-17 13:00 ` Artem K. Jouravsky 2001-01-17 14:15 ` Dmitry V. Levin 2001-01-17 16:47 ` Re[2]: " Maksim Otstavnov 1 sibling, 1 reply; 11+ messages in thread From: Artem K. Jouravsky @ 2001-01-17 13:00 UTC (permalink / raw) To: Dmitry V. Levin Hello Dmitry, Wednesday, January 17, 2001, 3:44:16 AM, you wrote: DVL> Во первых, проблему надо лечить в корне; в данном случае корень проблемы - DVL> "два _рутовых_ логина по именам двух _юзеров_". Надо работать DVL> непривилегированным пользователем. А я так и работаю, то есть имеется пользователь user1 и есть r_user1, есть user2 и r_user2. Сие сделано исключительно для разделения домашних каталогов и паролей у двух рутов... Если не оглядываться на правило "Если тайну знают двое то это уже не тайна" то часто удобно, например каждый следит за своим мусором в ~/tmp и он там не копится ну и вообще у нас настройки разные... А обычная работа происходит обычным пользователем, как и дОлжно. DVL> Что касается описанной Вами ситуации с vlock, то Вы ее не сможете решить DVL> корректно своими силами. Таково поведение /sbin/{pwdb,unix}_chkpwd, и во DVL> всех дистрибутивах, где vlock работает с использованием авторизации через PAM >>= 0.72, Вы будете наблюдать эту картину. Есть шанс, что в Sisyphus DVL> раньше или позже это будет исправлено. Спасибо! -- Best regards, Artem mailto:ujo@zuzusoft.com ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [mdk-re] multiple root logins 2001-01-17 13:00 ` Re[2]: " Artem K. Jouravsky @ 2001-01-17 14:15 ` Dmitry V. Levin 0 siblings, 0 replies; 11+ messages in thread From: Dmitry V. Levin @ 2001-01-17 14:15 UTC (permalink / raw) To: Linux-Mandrake Russian Edition Mailing List [-- Attachment #1: Type: text/plain, Size: 1349 bytes --] On Wed, Jan 17, 2001 at 01:04:40PM +0300, Artem K. Jouravsky wrote: > DVL> Во первых, проблему надо лечить в корне; в данном случае корень проблемы - > DVL> "два _рутовых_ логина по именам двух _юзеров_". Надо работать > DVL> непривилегированным пользователем. > А я так и работаю, то есть имеется пользователь user1 и есть r_user1, > есть user2 и r_user2. Сие сделано исключительно для разделения домашних каталогов > и паролей у двух рутов... Если не оглядываться на правило "Если тайну > знают двое то это уже не тайна" то часто удобно, например каждый следит за > своим мусором в ~/tmp и он там не копится ну и вообще у нас настройки > разные... > А обычная работа происходит обычным пользователем, как и дОлжно. Это все понятно, но Вы сами проговорились: "уходя на обед запустил vlock" - если бы Вы работали в тот момент непривилегированным пользователем, то и проблемы бы не возникло. :) Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re[2]: [mdk-re] multiple root logins 2001-01-17 4:24 ` Dmitry V. Levin 2001-01-17 13:00 ` Re[2]: " Artem K. Jouravsky @ 2001-01-17 16:47 ` Maksim Otstavnov 2001-01-17 17:48 ` Re[3]: " Artem K. Jouravsky 1 sibling, 1 reply; 11+ messages in thread From: Maksim Otstavnov @ 2001-01-17 16:47 UTC (permalink / raw) To: Dmitry V. Levin Hello Dmitry, Wednesday, January 17, 2001, 3:44:16 AM, you wrote: DVL> Во первых, проблему надо лечить в корне; в данном случае корень проблемы - DVL> "два _рутовых_ логина по именам двух _юзеров_". Надо работать DVL> непривилегированным пользователем. DVL> Что касается описанной Вами ситуации с vlock, то Вы ее не сможете решить DVL> корректно своими силами. Таково поведение /sbin/{pwdb,unix}_chkpwd, и во DVL> всех дистрибутивах, где vlock работает с использованием авторизации через PAM >>= 0.72, Вы будете наблюдать эту картину. Есть шанс, что в Sisyphus DVL> раньше или позже это будет исправлено. Возможно, разумнее однозначно трактовать ситуацию с двумя пользователями под одним UID как некорректную. А ситуацию с двумя UID==0 как серьезную дыру в безопасности хоста. Если "проблема" в том, что vlock/chkpwd использует UID, а не его мнемонику ("имя пользователя"), так, по-моему, это очень полезная фича, а не баг. (Извините, если что не так сказал, я в Linux новичок, но под старыми юниксами это трактовалось так, и я не помню серьезных проблем, с этим связанных). -- -- Maksim ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re[3]: [mdk-re] multiple root logins 2001-01-17 16:47 ` Re[2]: " Maksim Otstavnov @ 2001-01-17 17:48 ` Artem K. Jouravsky 2001-01-17 18:41 ` Re[4]: " Maksim Otstavnov 0 siblings, 1 reply; 11+ messages in thread From: Artem K. Jouravsky @ 2001-01-17 17:48 UTC (permalink / raw) To: Maksim Otstavnov Hello Maksim, Wednesday, January 17, 2001, 3:23:50 PM, you wrote: MO> Возможно, разумнее однозначно трактовать ситуацию с двумя MO> пользователями под одним UID как некорректную. Это же особенный UID.. В идеале конечно, root должен быть один, но на практике так не бывает, а такое решение дает свои преимущества MO> А ситуацию с двумя MO> UID==0 как серьезную дыру в безопасности хоста. Почему? Я согласен, что это ослабление безопасности по человеческому фактору, т.е. вдвое увеличивается вероятность слабого пароля например и т.д., но почему сразу - дыра? MO> Если "проблема" в том, MO> что vlock/chkpwd использует UID, а не его мнемонику ("имя MO> пользователя"), так, по-моему, это очень полезная фича, а не баг. Ну... Я и не говорил, что баг, ясно же что большинство проверок в системе по UID/GID идет, а не по имени. MO> (Извините, если что не так сказал, я в Linux новичок, но под старыми MO> юниксами это трактовалось так, и я не помню серьезных проблем, с этим MO> связанных). Я тоже новичок... А идею подсмотрел у админов одного московского провайдера -- Best regards, Artem mailto:ujo@zuzusoft.com ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re[4]: [mdk-re] multiple root logins 2001-01-17 17:48 ` Re[3]: " Artem K. Jouravsky @ 2001-01-17 18:41 ` Maksim Otstavnov 2001-01-18 2:30 ` Dmitry V. Levin 0 siblings, 1 reply; 11+ messages in thread From: Maksim Otstavnov @ 2001-01-17 18:41 UTC (permalink / raw) To: Artem K. Jouravsky Hello Artem, Wednesday, January 17, 2001, 5:53:06 PM, you wrote: AKJ> Hello Maksim, AKJ> Wednesday, January 17, 2001, 3:23:50 PM, you wrote: MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя MO>> пользователями под одним UID как некорректную. AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на AKJ> практике так не бывает, а такое решение дает свои преимущества Вполне возможно, что они кажущиеся. Практически в любой ситуации можно найти решение делегированием прав на отдельные каталоги/файлы администраторам, не являющимся суперпользователями, через механизм групп. Я не говорил "в любой", я сказал "практически в любой", обратите внимание. MO>> А ситуацию с двумя MO>> UID==0 как серьезную дыру в безопасности хоста. AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например AKJ> и т.д., но почему сразу - дыра? "Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы напугать собеседника/клиента. По большому счету, проблем от того, что в юниксах есть _один_ рут - уже достаточно. Это само по себе большая... ослабление. MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим MO>> связанных). AKJ> Я тоже новичок... А идею подсмотрел у админов одного московского AKJ> провайдера В аду уже для московских провайдеров, говорят, завели отдельный круг. ;) -- -- Maksim ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [mdk-re] multiple root logins 2001-01-17 18:41 ` Re[4]: " Maksim Otstavnov @ 2001-01-18 2:30 ` Dmitry V. Levin 2001-01-18 15:58 ` Re[2]: " Artem K. Jouravsky 0 siblings, 1 reply; 11+ messages in thread From: Dmitry V. Levin @ 2001-01-18 2:30 UTC (permalink / raw) To: Linux-Mandrake Russian Edition Mailing List [-- Attachment #1: Type: text/plain, Size: 2206 bytes --] On Wed, Jan 17, 2001 at 06:11:11PM +0300, Maksim Otstavnov wrote: > MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя > MO>> пользователями под одним UID как некорректную. > AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на > AKJ> практике так не бывает, а такое решение дает свои преимущества > > Вполне возможно, что они кажущиеся. Практически в любой ситуации можно > найти решение делегированием прав на отдельные каталоги/файлы > администраторам, не являющимся суперпользователями, через механизм > групп. Я не говорил "в любой", я сказал "практически в любой", > обратите внимание. А с применением capabilities и sudo - тем более. > MO>> А ситуацию с двумя > MO>> UID==0 как серьезную дыру в безопасности хоста. > AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому > AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например > AKJ> и т.д., но почему сразу - дыра? > > "Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы > напугать собеседника/клиента. По большому счету, проблем от того, что > в юниксах есть _один_ рут - уже достаточно. Это само по себе > большая... ослабление. Конечно, не дыра, но weakness, на которую будут обращать Ваше внимание при любой возникающей проблеме. > MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми > MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим > MO>> связанных). Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в виду чего используется только одно username, а именно первое с данным UID. Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()). Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re[2]: [mdk-re] multiple root logins 2001-01-18 2:30 ` Dmitry V. Levin @ 2001-01-18 15:58 ` Artem K. Jouravsky 0 siblings, 0 replies; 11+ messages in thread From: Artem K. Jouravsky @ 2001-01-18 15:58 UTC (permalink / raw) To: Dmitry V. Levin Hello! >> Практически в любой ситуации можно >> найти решение делегированием прав на отдельные каталоги/файлы >> администраторам, не являющимся суперпользователями, через механизм >> групп. Я не говорил "в любой", я сказал "практически в любой", >> обратите внимание. DVL> А с применением capabilities и sudo - тем более. Уговорили! :) DVL> Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в DVL> виду чего используется только одно username, а именно первое с данным UID. DVL> Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до DVL> pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()). Отдельное спасибо! Хотя видимо, вряд ли понадобится, раз уж от этого механизма отказываться... DVL> UNIX is user friendly. It's just very selective about who its friends are. истинно так! -- Best regards, Artem mailto:ujo@zuzusoft.com ^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2001-01-18 15:58 UTC | newest] Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2001-01-16 14:37 [mdk-re] multiple root logins Artem K. Jouravsky 2001-01-16 20:51 ` Anton I. Karpov 2001-01-17 12:50 ` Re[2]: " Artem K. Jouravsky 2001-01-17 4:24 ` Dmitry V. Levin 2001-01-17 13:00 ` Re[2]: " Artem K. Jouravsky 2001-01-17 14:15 ` Dmitry V. Levin 2001-01-17 16:47 ` Re[2]: " Maksim Otstavnov 2001-01-17 17:48 ` Re[3]: " Artem K. Jouravsky 2001-01-17 18:41 ` Re[4]: " Maksim Otstavnov 2001-01-18 2:30 ` Dmitry V. Levin 2001-01-18 15:58 ` Re[2]: " Artem K. Jouravsky
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git