Freesco, NND, CDN, EOS

chodzi mi o to, bo nie pamietam , jak zalozyc konto z uprawnieniami roota ?

no to chyba:
useradd -g root -d /home/katalog_usera -s /bin/bash nazwausera
oczywiście potem: passwd nazwausera by założyć hasło
ale po co ? nie wystarczy ci root ?

_________________

http://stats.opskozienice.pl

zeby uzupełnić lukę w pamięci , thx
nalezy pamietac ze trza dodac usera do /etc/sudoers

[edit]

jak uniemożliwić logowaine sie na konto root ?
chce zrobic tak, żeby na serwer mozna było się logować na admina tylko z wyznaczonych kont.

np.
su login1
passwd *****

sudo su
passwd *****

#

normalnie i tak nie możesz, a jeśli chodzi o SSH to w pliku /etc/ssh/sshd_conf znajdz linijkę PermitRootLogon i zamien Wsio

no i małe sprostowanie, możesz to zrobić zakładając odpowiednie uprawnienia na "su"
(chodzi o logowanie z wyznaczonych kont). Tworzysz nowa grupe, dodajesz tam userów którzy będą mogli zalogować się na roota, i zmieniasz uprawnienia

_________________
Wszystko powinno się robić tak prosto,
jak tylko to jest możliwe - ale nigdy nie prościej.

A weź tak logicznie wytłumacz po jaką cholerę??? Za bezpieczny serwer masz? Chcesz ułatwić życie włamywaczom?

_________________
Belfer.one.PL
Audio Cafe

chce wywalic konto "root" i moc logowac sie z tylko jednego konta. Nie tak, że jak ktos sie zaloguje na byle jakie konto wpisze "su root" i potem haslo, tylko tak ze na administratora mozna sie dostac tylko z jednego wybranego konta. Wydaje mi sie, że jest to utrudnienie a nie ułatwienie.

Bożesz ty mój, kolejny genialny wynalazek. Nie przyszło ci do głowy, że konto roota jest potrzebne? Że przez ponad 10 lat rozwijania linuksa, coś pożytecznego wymyślono? Że gdyby to konto nie było potrzebne to by go nie było?
Przykład: Domyślnie w nnd, zabronione jest logowanie roota przez ssh i na konsoli. Jest to bardzo istotne utrudnienie, zabezpieczające nie tylko przed włamaniami, ale również przed głupimi posunięciami użytkownika zrobionymi w sposób mimowolny. Jeśli zlikwidujesz roota, a dasz jego uprawnienia innemu serowi, ten element zabezpieczający zniknie samoistnie. Pomijając już to, że prawdopodobnie system ci się sypnie.

_________________
Belfer.one.PL
Audio Cafe

Wiec możesz dodatkowo zabrać uprawnienia z /bin/su i nikt sie nie zaloguje, tzn nie użyje su

Możesz to zrobić z użyciem grup użytkowników pisałem o tym wyżej

_________________
Wszystko powinno się robić tak prosto,
jak tylko to jest możliwe - ale nigdy nie prościej.

Mam pytanie podobnej tematyki, ale trochę inne: czy wystarczy zmienić uprawnienia do plików i czy to czegoś nie popsuje. Chodzi mi o to, żeby użytkownik zalogowany przez putty nie mógł przeglądać zawartości innych katalogów niż home/dany user, bo teraz jak się loguje, to nie ma uprawnień, by coś zmieniać, ale może to podglądać. Chcę to uniemożliwić mu, ale nie chcę mu odbierać możliwości logowania się przez putty.[/url]

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

Temat walkowany wiele razy. Jest cos takiego jak klatka (jail), ale z tego co sie orientuje nikt sie tym nie chwalil na NND. Sama zmiana praw dostepu nic nie da, bo niby jak gosc chocby wyswietli liste katalogow, skoro nie bedzie mial dostepu do /bin, a co za tym idzie do ls. To tylko taki prosty przyklad. Musialbys namieszac bardzo duzo w prawach dostepu i moglyby nie dzialac daemony uruchamiane na prawach zwyklego uzytkownika. To nie jest dobry pomysl.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

No właśnie się tego bałem, że coś się sknoci przy okazji, ale z drugiej strony nie kojarzę, bym miał coś uruchamiane spod usera, wszystko raczej robię na root, więc w tym wypadku chyba można by to zrobić ???

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

Nie. A to, ze wszystko robisz na roocie, to blad. Dla bezpieczenstwa im mniej jest robione spod roota, tym lepiej,

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Tzn, że mam usługi typu apache, exim, proftpd, itp uruchamiać z użytkownika i to się tak da wogóle???

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

Spróbuję dodać kilka informacji.
Po pierwsze jest jail, ale na nnd jeszcze tego nie ćwiczyliśmy. Jest to rozwiązanie mało przydatne w przypadku małych serwerków. Jeśli bowiem dajemy komuś shella, to chyba dlatego, że mamy zaufanie, że człowiek będzie się umiał nim posługiwać. Nie zobaczy poczty, ani plików innych userów, bo takie są ustawienia. Nie zobaczy części plików konfiguracyjnych, bo takie są ustawienia. Nie zobaczy plików roota, bo też są takie ustawienia. W rezultacie może sobie niektóre programy uruchamiać o ile nie wymagają dostępu do czegoś co zawarowane jest dla roota, czyli np. nie zrestartuje połączenia. Jeśli ktoś bardzo się dopomina, bo chciałby ircować z irssi (to jest cool), to możemy mu dać jako powłokę irssi i koniec. Jeśli chcemy, żeby zmieniał hasło, to /bin/passwd.
A userów ftp i poczty nie dopisujemy do allow users w sshd_config i mamy spokój. Na dodatek sugeruję używanie paczki do zmiany hasła z poziomu www, co wymusza stosowanie bardziej skomplikowanych haseł niż romek dla usera romek.
Na roota przez su należy wchodzić tylko w celu wykonania czynności administracyjnych tego wymagających. Zabronić rootowi logowania przez ssh, to jest duże zabezpieczenie. Uważać na skrypty php na własnym serwerze, dziurawe są często sposobem na włamanie się. Unikać przedstawiania się serwera (poczta, www), to często jest pierwsza rzecz jaką będzie sprawdzał doświadczony włamywacz.
Likwidacja konta roota jest ostatnią rzeczą, która by pomogła zwiększyć stopień bezpieczeństwa.

_________________
Belfer.one.PL
Audio Cafe

Apache jest uruchamiane z prawami uzytkownika nobody, reszta raczej nie.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Maciek napisałeś, że nie zobaczymy plików konfiguracyjnych. Zalogowałem się na usera i wchodzę normalnie w katalog/etc/ i podglądam wszystkie pliki w nim. Nie mogę tylko ich zmieniać, ale oglądać ich zawartośc mogę.
Dlatego chciałem zablokować dostęp do niego m.in. ograniczając uprawnienia, tylko nie chcę tego robić nie mając pewności, że czegoś to nie popsuje.

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

Dokładnie tak napisałem.
Jakie ma znaczenie, czy user zobaczy plik konfiguracyjny apacza?? Przecież w necie znajdzie tysiące przykładów takich plików. Jakie twoim zdaniem ma to znaczenie, żeby to ukryć?

_________________
Belfer.one.PL
Audio Cafe

Apache żadne, ale np. widzi eters i mac adresy klientów, passwd itp

_________________
nnd-linux-0.1-2005.07.10 Pentium II 400 Ram-256 2XHDD-10GB

w passwd przecież nic nie ma, może oprócz loginów, a eters możesz przecież dać prawa 600 ? albo 660 i nie zobaczy jeśli jest w odpowiedzniej grupie (nie root)

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Zasadnicze pytanie. Po co dawać dostęp do shella komuś, kogo się obawiam, bo jak zobaczy plik ethers, to może coś złego zrobić?

_________________
Belfer.one.PL
Audio Cafe