[Sysadmins] Fwd: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

[Michael Shigorin]

	Здравствуйте.
Наконец-то узнал пару давно интересовавших вещей
о рекомендованных практиках повышения привилегий
и использования повышенных.

----- Forwarded message from solardiz -----

Date: Fri, 17 Dec 2010 15:19:09 +0500 (YEKT)
From: solardiz
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

Новое сообщение от 'solardiz'  в форуме 'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#19
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

>А как в системе стать root'ом?

Лучше - зайти root'ом с консоли или по ssh. Чтобы под root'ом
делать только то, что реально этого требует, надо сделать два
отдельных захода - root и не-root.  su и sudo мы использовать не
рекомендуем. Это распространенное заблуждение, что заход под
пользователем и затем su как-то безопаснее, чем заход под root.
Обычно верно обратное.

http://www.openwall.com/lists/owl-users/2004/10/20/6

>но su root - bash: /bin/su: Permission denied

По умолчанию, su доступен лишь для переключения от root'а под
пользователя, но не обратно. Если очень хочется все же соблюсти
абсурдную традицию, то можно сказать:

control su wheelonly

После этого su станет доступен группе wheel. Более этого, эта
настройка будет сохранятся при обновлениях системы, так что
делать ее заново после обновления не придется.  Рекомендую также
запустить просто "control" (выдаст список подобных настроек) и
"man control".

>Или надо из под рута поставить sudo ?

Можно, но не советую (за очень редкими исключениями).

----- End forwarded message -----
----- Forwarded message from Michael Shigorin -----

Date: Fri, 17 Dec 2010 21:46:27 +0500 (YEKT)
From: Michael Shigorin
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

Новое сообщение от 'Michael Shigorin' <!mike на osdn.org.ua> в форуме 
'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#21
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

>Чтобы под root'ом делать только то, что реально этого требует, надо сделать
>два отдельных захода - root и не-root.

Если два человека (например, сменщика) и требуется/желательно
иметь возможность понять, кто допустил ошибку -- то всё-таки
использование выделенных аккаунтов ограниченной применимости
(например, "только для sudo"), но при этом персональных --
кажется осмысленным.  По крайней мере в окрестностях того треда в
своё время не нашёл обсуждения подобного use case и удивился.

Вообще же да, критика иллюзии скорее справедлива.

----- End forwarded message -----
----- Forwarded message from solardiz -----

Date: Fri, 17 Dec 2010 21:54:26 +0500 (YEKT)
From: solardiz
Subject: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

Новое сообщение от 'solardiz'  в форуме 'Разговоры, обсуждение новостей'
Посмотреть: http://www.opennet.ru/openforum/vsluhforumID3/73378.html#24
Тема: Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет

>Если два человека (например, сменщика) и требуется/желательно
>иметь возможность понять, кто допустил ошибку -- то всё-таки
>использование выделенных аккаунтов ограниченной применимости
>(например, "только для sudo"), но при этом персональных --
>кажется осмысленным.

Мы обычно держим собственно root'а (username root) залоченным, а
создаем аккаунты вида r_admin1 и r_admin2 (вместо admin1 и admin2
- привычные нам "имена" людей).  В Owl именно в связи с этим
sulogin заменен на msulogin моей разработки - чтобы даже при
загрузке в single user можно было выбрать под каким из root'ов
зайти. ;-) Всё остальное работает с подобной схемой без проблем и
так. (Кстати, мы предложили msulogin для включения в дистрибутивы
Red Hat - соответствующий "баг" у них висит открытым уже много
лет.)

>По крайней мере в окрестностях того треда в своё время не нашёл обсуждения 
>подобного use case и удивился.

Было, но без подробностей.

----- End forwarded message -----

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/