Skocz do zawartości
Zaloguj się, aby obserwować  
ask

Jakie uprawnienia nadać

Polecane posty

Witam,

 

wykupiłem serwer dedytowany.

Chcę zewnętrzną firmę poprosić o instalację rozwiązania ale nie dawać jej konta root

 

jakie uprawnienia muszę jej nadać by mogła wykonać instalacje,

względnie co zainstalować bym miał zalogowane wszystkie operacje z takiego konta (zakładając, że np stworzyłbym drugiego użytkownika na prawach root'a)

 

wymagane:

 

- PHP >= 5.3.2
- PostgresSQL >= 8.4 (+PDO driver)
- MongoDB (+MongoDB PHP extension)
- Sqlite3 needs to be enabled
- JSON needs to be enabled
- ctype needs to be enabled
- GD2 needs to be enabled
- Your PHP.ini needs to have the date.timezone setting
- You need to have the PHP-XML module installed
- You need to have at least version 2.6.21 of libxml
- PHP tokenizer needs to be enabled
- mbstring functions need to be enabled
- iconv needs to be enabled
- POSIX needs to be enabled (only on *nix)
- Intl needs to be installed with ICU 4+
- APC 3.0.17+ (or another opcode cache needs to be installed)
- PHP.ini recommended settings
short_open_tag = Off
magic_quotes_gpc = Off
register_globals = Off
session.autostart = Off
- Cron jobs
- Java Runtime Enviroment
- Less
- Git Client
- SSH shell access
- OpenVPN
- Daily Backups
- Secure IMAP/POP/SMTP
- Secure Webmail
- SPAM Filtering
- SSL signature for Java Applications

 

 

Pozdrawiam

 

Adam Skrodzki

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Instalacja oprogramowania bez roota nie wyjdzie. Nie mam pojęcia jaki jest sens trzymania takich "logów" skoro user z rootem sam może je usunąć/wyedytować.

 

Ogółem plik nazywa się .bash_profile i jest w home każdego usera. Możesz tam dodać przykładowo coś takiego:

 

 

export HISTSIZE=3000

export HISTFILESIZE=5000
export HISTFILE=/root/jakisfolder/logi/.bash_hist-$(who am i | awk '{print $3.$4.$5.$6}';exit)
Będziesz miał wtedy w tym folderze wszystkie pliczki.
Jeśli chodzi o normalnych userów to można im zabrać możliwość edycji tego pliku (chmod/chown/chattr +i), ale root i tak będzie mógł sobie to zdjąć więc nie widzę absolutnie żadnego sensu w tym co robisz, albo ufasz danej firmie albo nie.

 

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za kompletną odpowiedź

 

czyli np dając jej konto na prawach root (sudoers ALL)

 

i wstawiając to co mówisz mam możliwość sprawdzenia kto jakie wykonał operacje?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Powtarzam, że user z rootem ma nieograniczone możliwości, a dla sprawnego admina pozbycie się czegoś takiego nie wymaga niczego poza tym, co musisz userowi dać, żeby Ci zainstalował i skonfigurował rzeczy z postu #1. Sudo to nic innego jak root do konkretnych komend/poleceń, a jak mu ustawisz ALL to i tak dostanie pełnego roota, tyle że bez hasła do samego roota. Zresztą to było główne założenie sudo - żeby dać userowi prawa roota do konkretnych rzeczy jednocześnie nie zdradzając hasła samego roota.

 

Także powtarzam, iż nie ma sensu się w to bawić i nic poza tym przekierowaniem nie ma sensu bo co byś nie zrobił to i tak można to zdjąć bądź ominąć. Jakbyś rzeczywiście był zainteresowany to musiałbyś się wyposażyć w jakąś zaawansowaną kontrolę, która ogranicza samego roota (np. grsecurity) i w nim ograniczyć wszystkim (nawet rootowi) dostęp do tego pliku, a dać jedynie adminowi całego grsec'a. Ale wnioskuję, że jeżeli nie możesz sobie poradzić z tym co sam napisałeś to nawet nie dotykaj się tego tematu na własną rękę.

 

P.S. Nawet w tym wypadku ja osobiście z poziomu roota z sudo miałbym pomysł jak to ominąć, ale to temat na kiedy indziej.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Swoją drogą... @samu Jest jakaś inna opcja na logowanie tego typu rzeczy? Bez pośredniczenia się third-party softem?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×