В Вто, 09/12/2008 в 21:58 +0300, Artem Chuprina пишет: > Покотиленко Костик -> debian-russian@lists.debian.org @ Tue, 09 Dec 2008 > 19:18:20 +0200: > > >> > Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то > >> > никакого выигрыша от неиспользования root password мы не получим. > >> > >> Получим. Если у нас имеется несколько юзеров, которым разрешено sudo > >> ALL, то при увольнении одного из них нужно только deluser сделать. > >> А если бы использовалось su, то пришлось бы менять рутовый пароль и всем > >> остальным админам заучивать новый. > > ПК> Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться > ПК> временное превышение полномочий, как тут кто-то недавно сказал??? Я > ПК> вообще ни ситуации такой представить не могу ни смысл самого понятия не > ПК> могу понять. Кроме конечно того, что это такой себе мега-костыль. > > Пример. У меня есть сервер в Интернете, и машина в локальной сети, > которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh > юзером backup по ключу и запускает собственно команду бэкапа, сливающую > результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую > другую. > > Предложи другой способ это сделать. Без необходимости открывать доступ > снаружи на бэкапящую машину и, следовательно, в локальную сеть. > Бэкапящая машина еще много для чего используется, и защищена она в > результате не в пример слабее того сервера.
Просто: бэкап на сервере делает ПО от рута в место доступное backup с соответствующими правами. ПО на машине в локальной сети просто этот бэкап слизывает под пользователем backup без всяких повышений привилегий. > ПК> Я понимаю так, что если тебе иногда надо выполнять команды с другими > ПК> привилегиями - меняй привилегии с подтверждением их обладания (su), в > ПК> остальных случаях права правильно надо настраивать. Иначе отслеживать у > ПК> кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический > ПК> анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет > ПК> ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за > ПК> компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может > ПК> пол страны. > > Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers. > Остальное - его проблемы. Понятно, что ответственность лежит на Васе, но в целом такая система *неоправданно* сложнее. > За моим компом пол-офиса может сидеть. Но не под моим логином. У них > на нем свои логины есть. Не все такие правильные как ты. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]