* [Sysadmins] sudo? Как разграничить доступ?
@ 2008-02-26 13:10 Maxim Ivanov
2008-02-26 13:11 ` [Sysadmins] [Comm] " Mikhail Gusarov
` (2 more replies)
0 siblings, 3 replies; 10+ messages in thread
From: Maxim Ivanov @ 2008-02-26 13:10 UTC (permalink / raw)
To: ALT Linux Community general discussions, ALT Linux sysadmin discuss
День добрый!
Прошу сильно не пинать, в манах смотрел, в рассылке искал, ни черта не
нашел.
Если есть ссылка с дельной инструкцией - прошу дать.
Смысл вот в чем:
1) у меня сервера работают больше пяти лет (Alt Linux Master 2.4)
2) я тут один такой был
3) у меня появился помощник
4) ранее, если что было нужно - заходил и правил рутом
5) рутовый пароль не хочу говорить помощнику
6) помощнику нужен полный доступ к /usr/local/tomcat/ и возможность говорить
service tomcat stop
service tomcat start
Само собой, про sudo слышал. Все что удалось найти - совет - "настрой sudo".
Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
что-то иное нужно?
Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
Помогите, а?
_____________________
С уважением,
Максим Иванов
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] [Comm] sudo? Как разграничить доступ?
2008-02-26 13:10 [Sysadmins] sudo? Как разграничить доступ? Maxim Ivanov
@ 2008-02-26 13:11 ` Mikhail Gusarov
2008-02-26 13:27 ` [Sysadmins] " Yurkovsky Andrey
2008-02-27 9:36 ` Денис Смирнов
2 siblings, 0 replies; 10+ messages in thread
From: Mikhail Gusarov @ 2008-02-26 13:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 419 bytes --]
Twas brillig at 16:10:02 26.02.2008 UTC+03 when Maxim Ivanov did gyre and gimble:
MI> Само собой, про sudo слышал. Все что удалось найти - совет -
MI> "настрой sudo". Как?
Прочитать man sudoers. Там всё подробно описано.
MI> Может, под мои задачи что-то иное нужно?
Оно, оно.
--
[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-26 13:10 [Sysadmins] sudo? Как разграничить доступ? Maxim Ivanov
2008-02-26 13:11 ` [Sysadmins] [Comm] " Mikhail Gusarov
@ 2008-02-26 13:27 ` Yurkovsky Andrey
2008-02-27 9:36 ` Денис Смирнов
2 siblings, 0 replies; 10+ messages in thread
From: Yurkovsky Andrey @ 2008-02-26 13:27 UTC (permalink / raw)
To: sysadmins; +Cc: community
Maxim Ivanov wrote:
> Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
> что-то иное нужно?
> Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
> Помогите, а?
Есть большая статья в трех частях "Как обойтись без прав root"
--
Yurkovsky Andrey
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-26 13:10 [Sysadmins] sudo? Как разграничить доступ? Maxim Ivanov
2008-02-26 13:11 ` [Sysadmins] [Comm] " Mikhail Gusarov
2008-02-26 13:27 ` [Sysadmins] " Yurkovsky Andrey
@ 2008-02-27 9:36 ` Денис Смирнов
2008-02-27 9:53 ` Maxim Ivanov
2 siblings, 1 reply; 10+ messages in thread
From: Денис Смирнов @ 2008-02-27 9:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss; +Cc: ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 900 bytes --]
On Tue, Feb 26, 2008 at 04:10:02PM +0300, Maxim Ivanov wrote:
MI> 6) помощнику нужен полный доступ к /usr/local/tomcat/ и возможность говорить
MI> service tomcat stop
MI> service tomcat start
MI> Само собой, про sudo слышал. Все что удалось найти - совет - "настрой sudo".
MI> Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
MI> что-то иное нужно?
MI> Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
MI> Помогите, а?
Разобраться с sudo достаточно просто :)
И нужен именно sudo :)
Вопрос лишь в том, что подразумевается под "полный доступ к
/usr/local/tomcat". Сделать возможность запускать service tomcat
stop/start с помощью sudo это две строчки в sudoers, а вот насчет "полного
доступа" вопрос сложноватый.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-27 9:36 ` Денис Смирнов
@ 2008-02-27 9:53 ` Maxim Ivanov
2008-02-27 10:08 ` Marat Khayrullin
` (2 more replies)
0 siblings, 3 replies; 10+ messages in thread
From: Maxim Ivanov @ 2008-02-27 9:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Денис Смирнов пишет:
> On Tue, Feb 26, 2008 at 04:10:02PM +0300, Maxim Ivanov wrote:
>
> MI> 6) помощнику нужен полный доступ к /usr/local/tomcat/ и возможность говорить
> MI> service tomcat stop
> MI> service tomcat start
> MI> Само собой, про sudo слышал. Все что удалось найти - совет - "настрой sudo".
> MI> Как? Ранее, повторюсь, сей сервис был не нужен. Может, под мои задачи
> MI> что-то иное нужно?
> MI> Понимаю, что не знаю элементарщины, посыпаю голову пеплом и т.д.
> MI> Помогите, а?
>
> Разобраться с sudo достаточно просто :)
> И нужен именно sudo :)
>
> Вопрос лишь в том, что подразумевается под "полный доступ к
> /usr/local/tomcat". Сделать возможность запускать service tomcat
> stop/start с помощью sudo это две строчки в sudoers, а вот насчет "полного
> доступа" вопрос сложноватый.
>
>
-rw-r--r-- 1 tomcat6 tomcat6 11358 Jul 20 2007 LICENSE
-rw-r--r-- 1 tomcat6 tomcat6 556 Jul 20 2007 NOTICE
-rw-r--r-- 1 tomcat6 tomcat6 6656 Jul 20 2007 RELEASE-NOTES
-rw-r--r-- 1 tomcat6 tomcat6 5682 Jul 20 2007 RUNNING.txt
drwxr-xr-x 3 tomcat6 tomcat6 888 Dec 5 15:33 bin
drwxr-xr-x 2 tomcat6 tomcat6 280 Jan 9 12:55 conf
drwxr-xr-x 2 tomcat6 tomcat6 608 Jul 20 2007 lib
drwxr-xr-x 2 tomcat6 tomcat6 80 Dec 5 15:34 logs
drwxr-xr-x 2 tomcat6 tomcat6 80 Jul 20 2007 temp
-rw-r--r-- 1 tomcat6 tomcat6 183282 Jan 9 12:59 warm.log
drwxr-xr-x 8 tomcat6 tomcat6 232 Dec 5 15:38 webapps
drwxr-xr-x 3 tomcat6 tomcat6 72 Dec 5 15:34 work
Собственно, интересует доступ к каталогу
webapps и файлу warm.log.
Программисты должны иметь возможность
выкладывать новую версию своего нетленного творения,
смотреть логи. Ну, может, чего-то еще....
Я в их дела не лезу. Потому и сказал, что на весь каталог.
__________________
С уважением,
Максим Иванов
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-27 9:53 ` Maxim Ivanov
@ 2008-02-27 10:08 ` Marat Khayrullin
2008-02-27 10:23 ` Денис Смирнов
2008-02-27 11:33 ` Alexander Yereschenko
2 siblings, 0 replies; 10+ messages in thread
From: Marat Khayrullin @ 2008-02-27 10:08 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Wednesday 27 February 2008 12:53:52 Maxim Ivanov написал(а):
>
> Собственно, интересует доступ к каталогу
> webapps и файлу warm.log.
> Программисты должны иметь возможность
> выкладывать новую версию своего нетленного творения,
> смотреть логи. Ну, может, чего-то еще....
> Я в их дела не лезу. Потому и сказал, что на весь каталог.
Через sudo разрешить запускать команду "su - tomcat6"
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-27 9:53 ` Maxim Ivanov
2008-02-27 10:08 ` Marat Khayrullin
@ 2008-02-27 10:23 ` Денис Смирнов
2008-02-27 11:33 ` Alexander Yereschenko
2 siblings, 0 replies; 10+ messages in thread
From: Денис Смирнов @ 2008-02-27 10:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1371 bytes --]
On Wed, Feb 27, 2008 at 12:53:52PM +0300, Maxim Ivanov wrote:
MI> -rw-r--r-- 1 tomcat6 tomcat6 11358 Jul 20 2007 LICENSE
MI> -rw-r--r-- 1 tomcat6 tomcat6 556 Jul 20 2007 NOTICE
MI> -rw-r--r-- 1 tomcat6 tomcat6 6656 Jul 20 2007 RELEASE-NOTES
MI> -rw-r--r-- 1 tomcat6 tomcat6 5682 Jul 20 2007 RUNNING.txt
MI> drwxr-xr-x 3 tomcat6 tomcat6 888 Dec 5 15:33 bin
MI> drwxr-xr-x 2 tomcat6 tomcat6 280 Jan 9 12:55 conf
MI> drwxr-xr-x 2 tomcat6 tomcat6 608 Jul 20 2007 lib
MI> drwxr-xr-x 2 tomcat6 tomcat6 80 Dec 5 15:34 logs
MI> drwxr-xr-x 2 tomcat6 tomcat6 80 Jul 20 2007 temp
MI> -rw-r--r-- 1 tomcat6 tomcat6 183282 Jan 9 12:59 warm.log
MI> drwxr-xr-x 8 tomcat6 tomcat6 232 Dec 5 15:38 webapps
MI> drwxr-xr-x 3 tomcat6 tomcat6 72 Dec 5 15:34 work
MI> Собственно, интересует доступ к каталогу
MI> webapps и файлу warm.log.
MI> Программисты должны иметь возможность
MI> выкладывать новую версию своего нетленного творения,
MI> смотреть логи. Ну, может, чего-то еще....
MI> Я в их дела не лезу. Потому и сказал, что на весь каталог.
Раз все это от юзера tomcat6 -- можно им всем просто позволить с помощью
sudo получать привилегии этого самого tomcat6.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-27 9:53 ` Maxim Ivanov
2008-02-27 10:08 ` Marat Khayrullin
2008-02-27 10:23 ` Денис Смирнов
@ 2008-02-27 11:33 ` Alexander Yereschenko
2008-02-27 11:42 ` Alexander Yereschenko
2 siblings, 1 reply; 10+ messages in thread
From: Alexander Yereschenko @ 2008-02-27 11:33 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброе!
В сообщении от 27 февраля 2008 Maxim Ivanov написал(a):
> Денис Смирнов пишет:
> > On Tue, Feb 26, 2008 at 04:10:02PM +0300, Maxim Ivanov wrote:
> > Вопрос лишь в том, что подразумевается под "полный доступ к
> > /usr/local/tomcat". Сделать возможность запускать service tomcat
> > stop/start с помощью sudo это две строчки в sudoers, а вот насчет
> > "полного доступа" вопрос сложноватый.
>
> -rw-r--r-- 1 tomcat6 tomcat6 11358 Jul 20 2007 LICENSE
> -rw-r--r-- 1 tomcat6 tomcat6 556 Jul 20 2007 NOTICE
> -rw-r--r-- 1 tomcat6 tomcat6 6656 Jul 20 2007 RELEASE-NOTES
> -rw-r--r-- 1 tomcat6 tomcat6 5682 Jul 20 2007 RUNNING.txt
> drwxr-xr-x 3 tomcat6 tomcat6 888 Dec 5 15:33 bin
> drwxr-xr-x 2 tomcat6 tomcat6 280 Jan 9 12:55 conf
> drwxr-xr-x 2 tomcat6 tomcat6 608 Jul 20 2007 lib
> drwxr-xr-x 2 tomcat6 tomcat6 80 Dec 5 15:34 logs
> drwxr-xr-x 2 tomcat6 tomcat6 80 Jul 20 2007 temp
> -rw-r--r-- 1 tomcat6 tomcat6 183282 Jan 9 12:59 warm.log
> drwxr-xr-x 8 tomcat6 tomcat6 232 Dec 5 15:38 webapps
> drwxr-xr-x 3 tomcat6 tomcat6 72 Dec 5 15:34 work
>
>
> Собственно, интересует доступ к каталогу
> webapps и файлу warm.log.
> Программисты должны иметь возможность
> выкладывать новую версию своего нетленного творения,
> смотреть логи. Ну, может, чего-то еще....
> Я в их дела не лезу. Потому и сказал, что на весь каталог.
Внести этих программистов в группу tomcat6
И пусть уже несут ответственность за его работоспособность (к вопросу о
случайно измененных/удаленных файлах)
--
Alexander
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-27 11:33 ` Alexander Yereschenko
@ 2008-02-27 11:42 ` Alexander Yereschenko
2008-02-27 15:15 ` Andrey Alexandrov
0 siblings, 1 reply; 10+ messages in thread
From: Alexander Yereschenko @ 2008-02-27 11:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброе!
В сообщении от 27 февраля 2008 Alexander Yereschenko написал(a):
> > -rw-r--r-- 1 tomcat6 tomcat6 183282 Jan 9 12:59 warm.log
> > drwxr-xr-x 8 tomcat6 tomcat6 232 Dec 5 15:38 webapps
> > drwxr-xr-x 3 tomcat6 tomcat6 72 Dec 5 15:34 work
> >
> >
> > Собственно, интересует доступ к каталогу
> > webapps и файлу warm.log.
> > Программисты должны иметь возможность
> > выкладывать новую версию своего нетленного творения,
> > смотреть логи. Ну, может, чего-то еще....
> > Я в их дела не лезу. Потому и сказал, что на весь каталог.
>
> Внести этих программистов в группу tomcat6
> И пусть уже несут ответственность за его работоспособность (к вопросу о
> случайно измененных/удаленных файлах)
Да, и конечно выставить chmod -R g+w warm.log webapps
Может еще им (программистам) придется более внимательно следить за
правами/владельцем-группой созданных самостоятельно файлов...
--
Alexander
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] sudo? Как разграничить доступ?
2008-02-27 11:42 ` Alexander Yereschenko
@ 2008-02-27 15:15 ` Andrey Alexandrov
0 siblings, 0 replies; 10+ messages in thread
From: Andrey Alexandrov @ 2008-02-27 15:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Или как вариант разобраться с setfacl
27.02.08, Alexander Yereschenko<ave@zetetika.com.ua> написал(а):
> Доброе!
> В сообщении от 27 февраля 2008 Alexander Yereschenko написал(a):
>
>
> > > -rw-r--r-- 1 tomcat6 tomcat6 183282 Jan 9 12:59 warm.log
> > > drwxr-xr-x 8 tomcat6 tomcat6 232 Dec 5 15:38 webapps
> > > drwxr-xr-x 3 tomcat6 tomcat6 72 Dec 5 15:34 work
> > >
> > >
> > > Собственно, интересует доступ к каталогу
> > > webapps и файлу warm.log.
> > > Программисты должны иметь возможность
> > > выкладывать новую версию своего нетленного творения,
> > > смотреть логи. Ну, может, чего-то еще....
> > > Я в их дела не лезу. Потому и сказал, что на весь каталог.
> >
> > Внести этих программистов в группу tomcat6
> > И пусть уже несут ответственность за его работоспособность (к вопросу о
> > случайно измененных/удаленных файлах)
>
>
> Да, и конечно выставить chmod -R g+w warm.log webapps
>
> Может еще им (программистам) придется более внимательно следить за
> правами/владельцем-группой созданных самостоятельно файлов...
>
>
> --
> Alexander
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
--
С ув. Андрей Александров
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2008-02-27 15:15 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-02-26 13:10 [Sysadmins] sudo? Как разграничить доступ? Maxim Ivanov
2008-02-26 13:11 ` [Sysadmins] [Comm] " Mikhail Gusarov
2008-02-26 13:27 ` [Sysadmins] " Yurkovsky Andrey
2008-02-27 9:36 ` Денис Смирнов
2008-02-27 9:53 ` Maxim Ivanov
2008-02-27 10:08 ` Marat Khayrullin
2008-02-27 10:23 ` Денис Смирнов
2008-02-27 11:33 ` Alexander Yereschenko
2008-02-27 11:42 ` Alexander Yereschenko
2008-02-27 15:15 ` Andrey Alexandrov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git