* [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
@ 2010-12-17 18:18 Michael Shigorin
2010-12-17 19:57 ` Dmitry Derjavin
0 siblings, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2010-12-17 18:18 UTC (permalink / raw)
To: sysadmins
Здравствуйте.
Наконец-то узнал пару давно интересовавших вещей
о рекомендованных практиках повышения привилегий
и использования повышенных.
----- Forwarded message from solardiz -----
Date: Fri, 17 Dec 2010 15:19:09 +0500 (YEKT)
From: solardiz
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Новое сообщение от 'solardiz' в форуме 'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#19
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
>А как в системе стать root'ом?
Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом
делать только то, что реально этого требует, надо сделать два
отдельных захода - root и не-root. su и sudo мы использовать не
рекомендуем. Это распространенное заблуждение, что заход под
пользователем и затем su как-то безопаснее, чем заход под root.
Обычно верно обратное.
http://www.openwall.com/lists/owl-users/2004/10/20/6
>но su root - bash: /bin/su: Permission denied
По умолчанию, su доступен лишь для переключения от root'а под
пользователя, но не обратно. Если очень хочется все же соблюсти
абсурдную традицию, то можно сказать:
control su wheelonly
После этого su станет доступен группе wheel. Более этого, эта
настройка будет сохранятся при обновлениях системы, так что
делать ее заново после обновления не придется. Рекомендую также
запустить просто "control" (выдаст список подобных настроек) и
"man control".
>Или надо из под рута поставить sudo ?
Можно, но не советую (за очень редкими исключениями).
----- End forwarded message -----
----- Forwarded message from Michael Shigorin -----
Date: Fri, 17 Dec 2010 21:46:27 +0500 (YEKT)
From: Michael Shigorin
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Новое сообщение от 'Michael Shigorin' <!mike@osdn.org.ua> в форуме
'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#21
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
>Чтобы под root'ом делать только то, что реально этого требует, надо сделать
>два отдельных захода - root и не-root.
Если два человека (например, сменщика) и требуется/желательно
иметь возможность понять, кто допустил ошибку -- то всё-таки
использование выделенных аккаунтов ограниченной применимости
(например, "только для sudo"), но при этом персональных --
кажется осмысленным. По крайней мере в окрестностях того треда в
своё время не нашёл обсуждения подобного use case и удивился.
Вообще же да, критика иллюзии скорее справедлива.
----- End forwarded message -----
----- Forwarded message from solardiz -----
Date: Fri, 17 Dec 2010 21:54:26 +0500 (YEKT)
From: solardiz
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
Новое сообщение от 'solardiz' в форуме 'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#24
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
>Если два человека (например, сменщика) и требуется/желательно
>иметь возможность понять, кто допустил ошибку -- то всё-таки
>использование выделенных аккаунтов ограниченной применимости
>(например, "только для sudo"), но при этом персональных --
>кажется осмысленным.
Мы обычно держим собственно root'а (username root) залоченным, а
создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
- привычные нам "имена" людей). В Owl именно в связи с этим
sulogin заменен на msulogin моей разработки - чтобы даже при
загрузке в single user можно было выбрать под каким из root'ов
зайти. ;-) Всё остальное работает с подобной схемой без проблем и
так. (Кстати, мы предложили msulogin для включения в дистрибутивы
Red Hat - соответствующий "баг" у них висит открытым уже много
лет.)
>По крайней мере в окрестностях того треда в своё время не нашёл обсуждения
>подобного use case и удивился.
Было, но без подробностей.
----- End forwarded message -----
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
2010-12-17 18:18 [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет Michael Shigorin
@ 2010-12-17 19:57 ` Dmitry Derjavin
2010-12-17 20:10 ` Michael Shigorin
2010-12-18 6:04 ` Anton Farygin
0 siblings, 2 replies; 6+ messages in thread
From: Dmitry Derjavin @ 2010-12-17 19:57 UTC (permalink / raw)
To: sysadmins
On Fri, Dec 17 2010 at 21:18, Michael Shigorin wrote:
> Мы обычно держим собственно root'а (username root) залоченным, а
> создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
> - привычные нам "имена" людей).
Интересно, а у нас корректно работают несколько аккаунтов с uid=0 ?
В смысле -- проверить-то не сложно, я про "подводные грабли".
--
~dd
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
2010-12-17 20:10 ` Michael Shigorin
@ 2010-12-17 20:09 ` Slava Dubrovskiy
0 siblings, 0 replies; 6+ messages in thread
From: Slava Dubrovskiy @ 2010-12-17 20:09 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
[-- Attachment #1: Type: text/plain, Size: 717 bytes --]
17.12.2010 22:10, Michael Shigorin пишет:
> On Fri, Dec 17, 2010 at 10:57:22PM +0300, Dmitry Derjavin wrote:
>>> Мы обычно держим собственно root'а (username root) залоченным, а
>>> создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
>>> - привычные нам "имена" людей).
>> Интересно, а у нас корректно работают несколько аккаунтов с uid=0 ?
> Да, конечно.
Супер! А я мозги парил как сделать так чтобы и под root и в логах было
видно кто что запустил.
--
WBR,
Dubrovskiy Vyacheslav
[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 5525 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
2010-12-17 19:57 ` Dmitry Derjavin
@ 2010-12-17 20:10 ` Michael Shigorin
2010-12-17 20:09 ` Slava Dubrovskiy
2010-12-18 6:04 ` Anton Farygin
1 sibling, 1 reply; 6+ messages in thread
From: Michael Shigorin @ 2010-12-17 20:10 UTC (permalink / raw)
To: sysadmins
On Fri, Dec 17, 2010 at 10:57:22PM +0300, Dmitry Derjavin wrote:
> > Мы обычно держим собственно root'а (username root) залоченным, а
> > создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
> > - привычные нам "имена" людей).
> Интересно, а у нас корректно работают несколько аккаунтов с uid=0 ?
Да, конечно.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
2010-12-17 19:57 ` Dmitry Derjavin
2010-12-17 20:10 ` Michael Shigorin
@ 2010-12-18 6:04 ` Anton Farygin
2010-12-18 9:00 ` Ivan Fedorov
1 sibling, 1 reply; 6+ messages in thread
From: Anton Farygin @ 2010-12-18 6:04 UTC (permalink / raw)
To: sysadmins
17.12.2010 22:57, Dmitry Derjavin пишет:
> On Fri, Dec 17 2010 at 21:18, Michael Shigorin wrote:
>
>> Мы обычно держим собственно root'а (username root) залоченным, а
>> создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
>> - привычные нам "имена" людей).
>
> Интересно, а у нас корректно работают несколько аккаунтов с uid=0 ?
>
> В смысле -- проверить-то не сложно, я про "подводные грабли".
Конечно корректно. Пользуюсь этим (при необходимости) ещё с 1998-ого
года, когда и альта то не было ;)
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет
2010-12-18 6:04 ` Anton Farygin
@ 2010-12-18 9:00 ` Ivan Fedorov
0 siblings, 0 replies; 6+ messages in thread
From: Ivan Fedorov @ 2010-12-18 9:00 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1071 bytes --]
Anton Farygin <rider-u2l5PoMzF/VWk0Htik3J/w@public.gmane.org> writes:
> 17.12.2010 22:57, Dmitry Derjavin пишет:
>> On Fri, Dec 17 2010 at 21:18, Michael Shigorin wrote:
>>
>>> Мы обычно держим собственно root'а (username root) залоченным, а
>>> создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
>>> - привычные нам "имена" людей).
>>
>> Интересно, а у нас корректно работают несколько аккаунтов с uid=0 ?
>>
>> В смысле -- проверить-то не сложно, я про "подводные грабли".
>
> Конечно корректно. Пользуюсь этим (при необходимости) ещё с 1998-ого
> года, когда и альта то не было ;)
Не то osec, не то какой-то ещё проверяльщик системы раньше ругался на
"лишних" рутов. :)
А так всё работало...
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2010-12-18 9:00 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-12-17 18:18 [Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет Michael Shigorin
2010-12-17 19:57 ` Dmitry Derjavin
2010-12-17 20:10 ` Michael Shigorin
2010-12-17 20:09 ` Slava Dubrovskiy
2010-12-18 6:04 ` Anton Farygin
2010-12-18 9:00 ` Ivan Fedorov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git