https://www.opennet.ru/openforum/vsluhforumID10/4689.html Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы его права полностью соответствовали пользователю root?<br><br>Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а каждому свой.<br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#13 Sat, 11 Sep 2010 16:28:15 GMT &gt;Да, в /var/log/auth.log именно такая информация и сохраняется. <br>&gt;А дальше что? <br>&gt;Я, видимо не могу корректно указать, что я хочу получить в итоге. <br><br>Есть такое :)<br><br>&gt;Мне необходимо журналирование действий админов. <br>&gt;В итоге: <br>&gt;user логинится по ssh, делает su -, открывает в mc файл с <br>&gt;конфигом фаера, делает правку, сохраняет и отключается. <br>&gt;В случае с одним админом всё просто. Но когда на сервере в <br>&gt;одно и то же время висит их несколько, то непонятно, кто <br>&gt;же всё-таки подправил конфиг фаера и в какое время. <br><br>Ну ?! B думаешь что создав пачку аккаунтов с UID=0 ты _эту_ проблему как то решишь?<br>Ты парень неимоверно глуп, да чего церемонится - просто дурак! Полистай любую дирекорию чтобы вместо имён показывало uid guid и помедетируй над увиденным.<br><br>Вобщем сколько бы ты не слепил аккаунтов с одинаковым uid - ls будет показывать владельцем того что выше в /etc/passwd :)))<br><br><br>\\Warhead Wardick<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#12 Sat, 11 Sep 2010 16:22:56 GMT &gt;&gt;&gt;Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые и немыслимые каноны! <br>&gt;&gt;Сорри, а в чём канонизм? <br>&gt;Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло. <br>&gt;Как минимум, в системе может сломаться что угодно, так как все <br>&gt;скрипты и ПО пишутся из расчета единственности аккаунта с UID=0. <br><br>Shaggy - ты шыряться чтоли начала? :( Во всех *BSD с тех ещё лет что стоит второй строчкой в /etc/passwd ? И ничего - как то работает :)<br><br>\\WarheadWardick<br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#11 Fri, 10 Sep 2010 11:04:14 GMT &gt;В случае с одним админом всё просто. Но когда на сервере в <br>&gt;одно и то же время висит их несколько, то непонятно, кто <br>&gt;же всё-таки подправил конфиг фаера и в какое время. <br><br>1. Административное решение - админ обязан протоколировать свои действия в общей базе знаний, нарушивший штрафуется, если кто нарушил непонятно, штрафуются все.<br>2. Техническое решение - настраивается sudo так, чтобы можно было выполнять от рута только определенные команды (перегрузить файрвол, сервис), а редактирование конфигов пусть делают от себя (для этого надо правами дать доступ на запись в эти файлы), тогда будет видно кто и когда трогал сервисы.<br>3. Логичное решение - доверять администраторам, регламентировать их работу и не мешать им выполнять свои обязанности, возможно повысить зарплату и набрать адекватных людей вместо неадекватных.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#10 Fri, 10 Sep 2010 07:36:29 GMT <br>&gt;[оверквотинг удален]<br>&gt;[shaggycat@ovz06u ~]$ sudo -s <br>&gt;[root@ovz06u ~]# <br>&gt;<br>&gt;<br>&gt;Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port <br>&gt;37505 ssh2 <br>&gt;Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by <br>&gt;(uid=0) <br>&gt;Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root <br>&gt;; COMMAND=/bin/bash <br><br>Да, в /var/log/auth.log именно такая информация и сохраняется.<br>А дальше что?<br><br>Я, видимо не могу корректно указать, что я хочу получить в итоге.<br>Конечно далеко уже ушли от названия этой темы.<br><br>Мне необходимо журналирование действий админов.<br>В итоге: <br>user логинится по ssh, делает su -, открывает в mc файл с конфигом фаера, делает правку, сохраняет и отключается.<br><br>В случае с одним админом всё просто. Но когда на сервере в одно и то же время висит их несколько, то непонятно, кто же всё-таки подправил конфиг фаера и в какое время.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#9 Fri, 10 Sep 2010 07:21:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы <br>&gt;&gt;&gt;его права полностью соответствовали пользователю root? <br>&gt;<br>&gt;Система FreeBSD, как и было написано изначально. <br>&gt;<br>&gt;<br>&gt;Сейчас, например удалённый заход на сервер делается под user и потом, при <br>&gt;необходимости, делается su -. <br>&gt;В /var/log/messages в этом случае записывается <br>&gt;su: user to root on /dev/ttyp0 и всё. <br><br>[shaggycat@laptop ~]$ ssh ovz06u<br>Last login: Fri Sep 10 11:17:06 2010 from ***<br>[shaggycat@ovz06u ~]$ <br>[shaggycat@ovz06u ~]$ sudo -s<br>[root@ovz06u ~]# <br><br><br>Sep 10 11:17:24 ovz06u sshd[13083]: Accepted publickey for shaggycat from *** port 37505 ssh2<br>Sep 10 11:17:24 ovz06u sshd[13083]: pam_unix(sshd:session): session opened for user shaggycat by (uid=0)<br>Sep 10 11:17:31 ovz06u sudo: shaggycat : TTY=pts/5 ; PWD=/home/shaggycat ; USER=root ; COMMAND=/bin/bash<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#8 Fri, 10 Sep 2010 07:07:04 GMT <br>&gt;Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите, <br>&gt;понятно, что их нет совсем! Лучше бы Вы спросили одного из <br>&gt;своих админов!), но в, например(но не только!) RHEL/CentOS в /var/log/secure (и <br>&gt;на rsyslog сервер, если настроен, или в логчек) пишутся по-дефольту судовые <br>&gt;команды, в том числе после sudo -s <br><br>Для того и спрашиваю, чтобы знания получить :)<br>Главное, что я пока свои думки в продакшн не вставил.<br><br>&gt;&gt;Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы <br>&gt;&gt;его права полностью соответствовали пользователю root? <br><br>Система FreeBSD, как и было написано изначально.<br><br><br>Сейчас, например удалённый заход на сервер делается под user и потом, при необходимости, делается su -.<br>В /var/log/messages в этом случае записывается <br>su: user to root on /dev/ttyp0 и всё.<br><br>И вот как узнать потом, кто конкретно осуществил правку конфига фаервола и в какое время?<br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#7 Fri, 10 Sep 2010 06:50:12 GMT &gt;&gt;&gt;как в FreeBSD можно сделать пользователя<br>&gt;&gt;&gt;полностью соответствовали пользователю root?<br>&gt;&gt;делать пользователя с UID=0, значит нарушить все мыслимые<br>&gt;&gt;и немыслимые каноны!<br>&gt;верно ) <br><br>http://google.ru/search?q=freebsd+root+toor<br><br>Англичане ро^Hужья кирпичём _теперь не чистят?<br><br>(И да, я видел, что toor "там" типа выключен по умолчанию.)<br> https://www.opennet.ru/openforum/vsluhforumID10/4689.html#6 Fri, 10 Sep 2010 06:41:11 GMT <br>&gt;&gt;Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые <br>&gt;&gt;и немыслимые каноны! <br>&gt;<br>&gt;Сорри, а в чём канонизм? <br><br>Почитайте, что ли, книжки классиков :) Читали бы, такого вопроса не возникло. Как минимум, в системе может сломаться что угодно, так как все скрипты и ПО пишутся из расчета единственности аккаунта с UID=0.<br><br>Зачем в систему, отлаженную в течение десятилетий (а UNIX модель DAC существует с начала семидесятых) таким вот грубым, и виндузятным образом вмешиваться? На любой платформе следует вести себя правильным, для этой платформы оборазом, если, конечно, не хочется обеспечить себе проблем.<br><br>&gt;Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы <br>&gt;в логах персонифицированно отображалось кто и что сделал, а не просто <br>&gt;root. <br>&gt;И как это делать при помощи sudo, мне пока непонятно. <br><br>Не знаю, что у Вас за дистрибутив или ОС(только насчет знаний, простите, понятно, что их нет совсем! Лучше бы Вы спросили одного из своих админов!), но в, например https://www.opennet.ru/openforum/vsluhforumID10/4689.html#5 Fri, 10 Sep 2010 06:31:42 GMT &gt;&gt;Господа, подскажите плиз, как в FreeBSD можно сделать пользователя, например Вася, чтобы <br>&gt;&gt;его права полностью соответствовали пользователю root? <br>&gt;&gt;<br>&gt;&gt;Интересует для того, чтобы дать нескольким админам не обезличенный логин root, а <br>&gt;&gt;каждому свой. <br>&gt;<br>&gt;Для этого придумали sudo: делать пользователя с UID=0, значит нарушить все мыслимые <br>&gt;и немыслимые каноны! <br><br>Сорри, а в чём канонизм?<br><br>Главная цель моего вопроса в том, чтобы вести контроль за админами. Чтобы в логах персонифицированно отображалось кто и что сделал, а не просто root.<br>И как это делать при помощи sudo, мне пока непонятно.<br>