chodzi mi o to, bo nie pamietam
, jak zalozyc konto z uprawnieniami roota ?
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| sudo su i zakladanie kont http://forum.freesco.pl/viewtopic.php?f=22&t=10671 |
Strona 1 z 2 |
| Autor: | Nova [ środa, 11 stycznia 2006, 21:33 ] |
| Tytuł: | sudo su i zakladanie kont |
chodzi mi o to, bo nie pamietam , jak zalozyc konto z uprawnieniami roota ?
|
|
| Autor: | pablo2k5 [ środa, 11 stycznia 2006, 22:03 ] |
| Tytuł: | |
no to chyba: useradd -g root -d /home/katalog_usera -s /bin/bash nazwausera oczywiście potem: passwd nazwausera by założyć hasło ale po co ? nie wystarczy ci root ? |
|
| Autor: | Nova [ poniedziałek, 8 maja 2006, 21:24 ] |
| Tytuł: | |
zeby uzupełnić lukę w pamięci , thx
nalezy pamietac ze trza dodac usera do /etc/sudoers [edit] jak uniemożliwić logowaine sie na konto root ? chce zrobic tak, żeby na serwer mozna było się logować na admina tylko z wyznaczonych kont. np. su login1 passwd ***** sudo su passwd ***** # |
|
| Autor: | dawidmo [ poniedziałek, 8 maja 2006, 22:21 ] |
| Tytuł: | |
 normalnie i tak nie możesz, a jeśli chodzi o SSH to w pliku /etc/ssh/sshd_conf znajdz linijkę PermitRootLogon i zamien Wsiono i małe sprostowanie, możesz to zrobić zakładając odpowiednie uprawnienia na "su" (chodzi o logowanie z wyznaczonych kont). Tworzysz nowa grupe, dodajesz tam userów którzy będą mogli zalogować się na roota, i zmieniasz uprawnienia |
|
| Autor: | Maciek [ wtorek, 9 maja 2006, 00:20 ] |
| Tytuł: | Re: sudo su i zakladanie kont |
Nova pisze: chodzi mi o to, bo nie pamietam
, jak zalozyc konto z uprawnieniami roota ?A weź tak logicznie wytłumacz po jaką cholerę??? Za bezpieczny serwer masz? Chcesz ułatwić życie włamywaczom? |
|
| Autor: | Nova [ wtorek, 9 maja 2006, 11:02 ] |
| Tytuł: | |
chce wywalic konto "root" i moc logowac sie z tylko jednego konta. Nie tak, że jak ktos sie zaloguje na byle jakie konto wpisze "su root" i potem haslo, tylko tak ze na administratora mozna sie dostac tylko z jednego wybranego konta. Wydaje mi sie, że jest to utrudnienie a nie ułatwienie. |
|
| Autor: | Maciek [ wtorek, 9 maja 2006, 16:14 ] |
| Tytuł: | |
Bożesz ty mój, kolejny genialny wynalazek. Nie przyszło ci do głowy, że konto roota jest potrzebne? Że przez ponad 10 lat rozwijania linuksa, coś pożytecznego wymyślono? Że gdyby to konto nie było potrzebne to by go nie było? Przykład: Domyślnie w nnd, zabronione jest logowanie roota przez ssh i na konsoli. Jest to bardzo istotne utrudnienie, zabezpieczające nie tylko przed włamaniami, ale również przed głupimi posunięciami użytkownika zrobionymi w sposób mimowolny. Jeśli zlikwidujesz roota, a dasz jego uprawnienia innemu serowi, ten element zabezpieczający zniknie samoistnie. Pomijając już to, że prawdopodobnie system ci się sypnie. |
|
| Autor: | dawidmo [ wtorek, 9 maja 2006, 17:03 ] |
| Tytuł: | |
Wiec możesz dodatkowo zabrać uprawnienia z /bin/su i nikt sie nie zaloguje, tzn nie użyje su Możesz to zrobić z użyciem grup użytkowników pisałem o tym wyżej |
|
| Autor: | jarek_1313 [ wtorek, 9 maja 2006, 19:13 ] |
| Tytuł: | |
Mam pytanie podobnej tematyki, ale trochę inne: czy wystarczy zmienić uprawnienia do plików i czy to czegoś nie popsuje. Chodzi mi o to, żeby użytkownik zalogowany przez putty nie mógł przeglądać zawartości innych katalogów niż home/dany user, bo teraz jak się loguje, to nie ma uprawnień, by coś zmieniać, ale może to podglądać. Chcę to uniemożliwić mu, ale nie chcę mu odbierać możliwości logowania się przez putty.[/url] |
|
| Autor: | tasiorek [ wtorek, 9 maja 2006, 19:23 ] |
| Tytuł: | |
Temat walkowany wiele razy. Jest cos takiego jak klatka (jail), ale z tego co sie orientuje nikt sie tym nie chwalil na NND. Sama zmiana praw dostepu nic nie da, bo niby jak gosc chocby wyswietli liste katalogow, skoro nie bedzie mial dostepu do /bin, a co za tym idzie do ls. To tylko taki prosty przyklad. Musialbys namieszac bardzo duzo w prawach dostepu i moglyby nie dzialac daemony uruchamiane na prawach zwyklego uzytkownika. To nie jest dobry pomysl. |
|
| Autor: | jarek_1313 [ wtorek, 9 maja 2006, 19:31 ] |
| Tytuł: | |
No właśnie się tego bałem, że coś się sknoci przy okazji, ale z drugiej strony nie kojarzę, bym miał coś uruchamiane spod usera, wszystko raczej robię na root, więc w tym wypadku chyba można by to zrobić ??? |
|
| Autor: | tasiorek [ wtorek, 9 maja 2006, 19:39 ] |
| Tytuł: | |
Nie. A to, ze wszystko robisz na roocie, to blad. Dla bezpieczenstwa im mniej jest robione spod roota, tym lepiej, |
|
| Autor: | jarek_1313 [ wtorek, 9 maja 2006, 20:16 ] |
| Tytuł: | |
Tzn, że mam usługi typu apache, exim, proftpd, itp uruchamiać z użytkownika i to się tak da wogóle??? |
|
| Autor: | Maciek [ wtorek, 9 maja 2006, 20:25 ] |
| Tytuł: | |
Spróbuję dodać kilka informacji. Po pierwsze jest jail, ale na nnd jeszcze tego nie ćwiczyliśmy. Jest to rozwiązanie mało przydatne w przypadku małych serwerków. Jeśli bowiem dajemy komuś shella, to chyba dlatego, że mamy zaufanie, że człowiek będzie się umiał nim posługiwać. Nie zobaczy poczty, ani plików innych userów, bo takie są ustawienia. Nie zobaczy części plików konfiguracyjnych, bo takie są ustawienia. Nie zobaczy plików roota, bo też są takie ustawienia. W rezultacie może sobie niektóre programy uruchamiać o ile nie wymagają dostępu do czegoś co zawarowane jest dla roota, czyli np. nie zrestartuje połączenia. Jeśli ktoś bardzo się dopomina, bo chciałby ircować z irssi (to jest cool), to możemy mu dać jako powłokę irssi i koniec. Jeśli chcemy, żeby zmieniał hasło, to /bin/passwd. A userów ftp i poczty nie dopisujemy do allow users w sshd_config i mamy spokój. Na dodatek sugeruję używanie paczki do zmiany hasła z poziomu www, co wymusza stosowanie bardziej skomplikowanych haseł niż romek dla usera romek. Na roota przez su należy wchodzić tylko w celu wykonania czynności administracyjnych tego wymagających. Zabronić rootowi logowania przez ssh, to jest duże zabezpieczenie. Uważać na skrypty php na własnym serwerze, dziurawe są często sposobem na włamanie się. Unikać przedstawiania się serwera (poczta, www), to często jest pierwsza rzecz jaką będzie sprawdzał doświadczony włamywacz. Likwidacja konta roota jest ostatnią rzeczą, która by pomogła zwiększyć stopień bezpieczeństwa. |
|
| Autor: | tasiorek [ wtorek, 9 maja 2006, 21:03 ] |
| Tytuł: | |
Apache jest uruchamiane z prawami uzytkownika nobody, reszta raczej nie. |
|
| Autor: | jarek_1313 [ wtorek, 9 maja 2006, 21:10 ] |
| Tytuł: | |
Maciek napisałeś, że nie zobaczymy plików konfiguracyjnych. Zalogowałem się na usera i wchodzę normalnie w katalog/etc/ i podglądam wszystkie pliki w nim. Nie mogę tylko ich zmieniać, ale oglądać ich zawartośc mogę. Dlatego chciałem zablokować dostęp do niego m.in. ograniczając uprawnienia, tylko nie chcę tego robić nie mając pewności, że czegoś to nie popsuje. |
|
| Autor: | Maciek [ wtorek, 9 maja 2006, 23:03 ] |
| Tytuł: | |
Cytuj: Nie zobaczy części plików konfiguracyjnych, bo takie są ustawienia.
Dokładnie tak napisałem. Jakie ma znaczenie, czy user zobaczy plik konfiguracyjny apacza?? Przecież w necie znajdzie tysiące przykładów takich plików. Jakie twoim zdaniem ma to znaczenie, żeby to ukryć? |
|
| Autor: | jarek_1313 [ środa, 10 maja 2006, 09:30 ] |
| Tytuł: | |
Apache żadne, ale np. widzi eters i mac adresy klientów, passwd itp |
|
| Autor: | MAC!EK [ środa, 10 maja 2006, 11:20 ] |
| Tytuł: | |
jarek_1313 pisze: Apache żadne, ale np. widzi eters i mac adresy klientów, passwd itp
w passwd przecież nic nie ma, może oprócz loginów, a eters możesz przecież dać prawa 600 ? albo 660 i nie zobaczy jeśli jest w odpowiedzniej grupie (nie root) |
|
| Autor: | Maciek [ środa, 10 maja 2006, 15:29 ] |
| Tytuł: | |
Zasadnicze pytanie. Po co dawać dostęp do shella komuś, kogo się obawiam, bo jak zobaczy plik ethers, to może coś złego zrobić? |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|