Jakie uprawnienia nadać

[ask 0]

Witam,

 

wykupiłem serwer dedytowany.

Chcę zewnętrzną firmę poprosić o instalację rozwiązania ale nie dawać jej konta root

 

jakie uprawnienia muszę jej nadać by mogła wykonać instalacje,

względnie co zainstalować bym miał zalogowane wszystkie operacje z takiego konta (zakładając, że np stworzyłbym drugiego użytkownika na prawach root'a)

 

wymagane:

 

- PHP >= 5.3.2
- PostgresSQL >= 8.4 (+PDO driver)
- MongoDB (+MongoDB PHP extension)
- Sqlite3 needs to be enabled
- JSON needs to be enabled
- ctype needs to be enabled
- GD2 needs to be enabled
- Your PHP.ini needs to have the date.timezone setting
- You need to have the PHP-XML module installed
- You need to have at least version 2.6.21 of libxml
- PHP tokenizer needs to be enabled
- mbstring functions need to be enabled
- iconv needs to be enabled
- POSIX needs to be enabled (only on *nix)
- Intl needs to be installed with ICU 4+
- APC 3.0.17+ (or another opcode cache needs to be installed)
- PHP.ini recommended settings
short_open_tag = Off
magic_quotes_gpc = Off
register_globals = Off
session.autostart = Off
- Cron jobs
- Java Runtime Enviroment
- Less
- Git Client
- SSH shell access
- OpenVPN
- Daily Backups
- Secure IMAP/POP/SMTP
- Secure Webmail
- SPAM Filtering
- SSL signature for Java Applications

 

 

Pozdrawiam

 

Adam Skrodzki

[Pan Kot 1535]

Instalacja oprogramowania bez roota nie wyjdzie. Nie mam pojęcia jaki jest sens trzymania takich "logów" skoro user z rootem sam może je usunąć/wyedytować.

 

Ogółem plik nazywa się .bash_profile i jest w home każdego usera. Możesz tam dodać przykładowo coś takiego:

 

 

export HISTSIZE=3000

export HISTFILESIZE=5000

export HISTFILE=/root/jakisfolder/logi/.bash_hist-$(who am i | awk '{print $3.$4.$5.$6}';exit)

Będziesz miał wtedy w tym folderze wszystkie pliczki.

Jeśli chodzi o normalnych userów to można im zabrać możliwość edycji tego pliku (chmod/chown/chattr +i), ale root i tak będzie mógł sobie to zdjąć więc nie widzę absolutnie żadnego sensu w tym co robisz, albo ufasz danej firmie albo nie.

 

Edytowano Marzec 15, 2013 przez Archi (zobacz historię edycji)

[ask 0]

Dzięki za kompletną odpowiedź

 

czyli np dając jej konto na prawach root (sudoers ALL)

 

i wstawiając to co mówisz mam możliwość sprawdzenia kto jakie wykonał operacje?

[Pan Kot 1535]

Powtarzam, że user z rootem ma nieograniczone możliwości, a dla sprawnego admina pozbycie się czegoś takiego nie wymaga niczego poza tym, co musisz userowi dać, żeby Ci zainstalował i skonfigurował rzeczy z postu #1. Sudo to nic innego jak root do konkretnych komend/poleceń, a jak mu ustawisz ALL to i tak dostanie pełnego roota, tyle że bez hasła do samego roota. Zresztą to było główne założenie sudo - żeby dać userowi prawa roota do konkretnych rzeczy jednocześnie nie zdradzając hasła samego roota.

 

Także powtarzam, iż nie ma sensu się w to bawić i nic poza tym przekierowaniem nie ma sensu bo co byś nie zrobił to i tak można to zdjąć bądź ominąć. Jakbyś rzeczywiście był zainteresowany to musiałbyś się wyposażyć w jakąś zaawansowaną kontrolę, która ogranicza samego roota (np. grsecurity) i w nim ograniczyć wszystkim (nawet rootowi) dostęp do tego pliku, a dać jedynie adminowi całego grsec'a. Ale wnioskuję, że jeżeli nie możesz sobie poradzić z tym co sam napisałeś to nawet nie dotykaj się tego tematu na własną rękę.

 

P.S. Nawet w tym wypadku ja osobiście z poziomu roota z sudo miałbym pomysł jak to ominąć, ale to temat na kiedy indziej.

Edytowano Marzec 15, 2013 przez Archi (zobacz historię edycji)

[Jarosław Szmańda 42]

Podejść z innej strony. Zlecić to osobie do której można mieć zaufanie.

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)

[Pan Kot 1535]

Swoją drogą... @samu Jest jakaś inna opcja na logowanie tego typu rzeczy? Bez pośredniczenia się third-party softem?

[Gość]

Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji)