* [Comm] Запрет удалённого исполнения некоторых команд.
@ 2004-04-22 2:53 harlan
2004-04-22 6:27 ` [Comm] " Anton V. Boyarshinov
` (2 more replies)
0 siblings, 3 replies; 5+ messages in thread
From: harlan @ 2004-04-22 2:53 UTC (permalink / raw)
To: community
Есть сервер ALM 2.2, который стоит в нескольких десятках километрах от меня. Я его администрирую через ssh.
Возникла необходимость запретить исполнение некоторых команд с удалённого терминала (например halt, shutdown -h)
даже от имени root, а с локального терминала разрешить эти команды только для root. Подскажите, как это можно
сделать? Нутром чую, что через sudo, но можно узнать конкретнее - КАК? Желательно с примерами.
^ permalink raw reply [flat|nested] 5+ messages in thread
* [Comm] Re: Запрет удалённого исполнения некоторых команд.
2004-04-22 2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
@ 2004-04-22 6:27 ` Anton V. Boyarshinov
2004-04-22 6:30 ` [Comm] " Sodom
2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
2 siblings, 0 replies; 5+ messages in thread
From: Anton V. Boyarshinov @ 2004-04-22 6:27 UTC (permalink / raw)
To: community
On Thu, 22 Apr 2004 09:53:58 +0700 harlan
wrote:
> Есть сервер ALM 2.2, который стоит в нескольких десятках
> километрах от меня. Я его администрирую через ssh. Возникла
> необходимость запретить исполнение некоторых команд с
> удалённого терминала (например halt, shutdown -h) даже от имени
> root, а с локального терминала разрешить эти команды только для
> root. Подскажите, как это можно сделать? Нутром чую, что через
> sudo, но можно узнать конкретнее - КАК?
Надёжно -- никак. По крайней мере без RSBAC или чего-нибудь
подобного.
Антон
--
mailto:boyarsh@mail.ru
mailto:boyarsh@ru.echo.fr
10:24:00 up 10 days, 22:20, 9 users, load average: 1.00,
1.03, 1.06
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] Запрет удалённого исполнения некоторых команд.
2004-04-22 2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
2004-04-22 6:27 ` [Comm] " Anton V. Boyarshinov
@ 2004-04-22 6:30 ` Sodom
2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
2 siblings, 0 replies; 5+ messages in thread
From: Sodom @ 2004-04-22 6:30 UTC (permalink / raw)
To: harlan
Здравствуйте, harlan.
Вы писали 22 апреля 2004 г., 6:53:58:
h> Есть сервер ALM 2.2, который стоит в нескольких десятках
h> километрах от меня. Я его администрирую через ssh.
h> Возникла необходимость запретить исполнение некоторых команд с
h> удалённого терминала (например halt, shutdown -h)
h> даже от имени root, а с локального терминала разрешить эти
h> команды только для root. Подскажите, как это можно
h> сделать? Нутром чую, что через sudo, но можно узнать конкретнее - КАК? Желательно с примерами.
Знаете, я в подобных случаях просто делаю chmod -x на подобные файлы.
Чтобы уж 100% даже я сам по ошибке не мог случайно остановить сервер.
Если приспичивает - ставлю исполнимый бит обратно.
Наверное, в Вашем случае, необходимо все же локальному руту разрешить
принципиально?
h> _______________________________________________
h> Community mailing list
h> Community@altlinux.ru
h> http://lists.altlinux.ru/mailman/listinfo/community
--
С уважением,
Sodom mailto:sodom@sodom.ru
Origin: Сколько голов, столько умов. Но первых всегда больше.
^ permalink raw reply [flat|nested] 5+ messages in thread
* [Comm] Re: Запрет удалённого исполнения некоторых команд.
2004-04-22 2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
2004-04-22 6:27 ` [Comm] " Anton V. Boyarshinov
2004-04-22 6:30 ` [Comm] " Sodom
@ 2004-04-22 10:24 ` Vitaly Ostanin
2004-04-22 11:03 ` Antonio
2 siblings, 1 reply; 5+ messages in thread
From: Vitaly Ostanin @ 2004-04-22 10:24 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 922 bytes --]
harlan пишет:
> Есть сервер ALM 2.2, который стоит в нескольких десятках километрах от меня. Я его администрирую через ssh.
> Возникла необходимость запретить исполнение некоторых команд с удалённого терминала (например halt, shutdown -h)
> даже от имени root, а с локального терминала разрешить эти команды только для root. Подскажите, как это можно
> сделать? Нутром чую, что через sudo, но можно узнать конкретнее - КАК? Желательно с примерами.
Если не работать под root вообще - ни локально, ни удалённо - то
можно через sudo. Для администрирования достаточно выдать себе
sudo на текстовый редактор и /sbin/service. А sudo действительно
умеет смотреть на тип подключения. Про КАК написано в man sudoers.
Более правильный подход при удалённом администрировании - не
запретить некоторые команды, а наоборот, разрешить некоторые команды.
<skipped/>
--
Regards, Vyt
mailto: vyt@vzljot.ru
JID: vyt@vzljot.ru
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] Re: Запрет удалённого исполнения некоторых команд.
2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
@ 2004-04-22 11:03 ` Antonio
0 siblings, 0 replies; 5+ messages in thread
From: Antonio @ 2004-04-22 11:03 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Thu, 22 Apr 2004, Vitaly Ostanin wrote:
> Если не работать под root вообще - ни локально, ни удалённо - то
> можно через sudo. Для администрирования достаточно выдать себе
> sudo на текстовый редактор
Угу. Выдать sudo на vi (или любую команду, из которой можно
запустить ещё какую-либо внешнюю команду) и здравствуй, новый
root (в vi :!sh)... ;-)
- --
Best regards,
Tony. mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)
iD8DBQFAh6Z72gaLrWRbr5URAgfUAKCer8frTXriVX3ne1YHPzGS2PU5QACdEw+3
4zVSlwqXsKwwhmj2yLGD5Dk=
=8+9d
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2004-04-22 11:03 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-22 2:53 [Comm] Запрет удалённого исполнения некоторых команд harlan
2004-04-22 6:27 ` [Comm] " Anton V. Boyarshinov
2004-04-22 6:30 ` [Comm] " Sodom
2004-04-22 10:24 ` [Comm] " Vitaly Ostanin
2004-04-22 11:03 ` Antonio
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git