Доменные пользователи в качестве root

[Aleksey Shimanov]

Сервер Alt 9.2, DHCP, введен в домен Windows AD, доменные пользователи на него заходят без вопросов.
1.Так как это сервер, то всех пускать не надо, нужно пускать только избранных пользователей. Конкретно это сисадмины предприятия. Есть доменная глобальная группа в AD для этих пользователей.
2. Пользователей из этой группы (можно просто пользователей, их всего 5), нужно сделать "суперпользователями". Т.е. чтобы можно было настраивать и управлять сервером без ввода пароля root.

P.S. В линуксе новичёк.

[berkut_174]

sudo

[Aleksey Shimanov]

sudo

sudo
В нем есть примечание 1:
Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
Я пока в этом можно сказать не разбираюсь, насколько это правда?

А другой вариант подойдет?
Отображение глобальных групп на локальные

До того как железо придет есть ~2 месяца, нужно мат.часть оваивать...
Страшно...

[gosts 87]

Я пока в этом можно сказать не разбираюсь, насколько это правда?

Отчасти - да. При вводе команды sudo пользователь повышает привилегии до root на определённый срок (около 15 минут). При вводе пароля root через команду su- привилегии повышаются ровно на время, пока открыта программа, для запуска которой вводился пароль root. Как только программа закрыта - уровень доступа понижается до обычного пользователя.

Страшно...

Не бойтесь, но будьте осторожны!

[Skull]

Не забудььте сделать маппинг доменной группы администраторов на wheel по http://altlinux.org/ActiveDirectory/Login

[Aleksey Shimanov]

Не бойтесь, но будьте осторожны!

Сейчас на "кошках" экспериментирую - виртуалка. Так что не особо страшно, в крайнем случае придется образ жеского диска восстановить.
Страшно будет когда железо приедет...

Не забудььте сделать маппинг доменной группы администраторов на wheel по http://altlinux.org/ActiveDirectory/Login

Здесь пока не уверен, что админы домена нужны на этой машине... Линуксоидов у нас нет нифига... Опасно просто их туда пускать. На железе будет SQL для 1С крутиться, т.е. довольно критичная система к простоям.
Есть отдельная группа где прописаны кто будет заходить на альт с админовскими правами, но сомнения меня гложут, наверное буду делать на уровне пользователей. Иначе любой админ (или чел у которого есть соответствующие права) может себя забросить в эту группу и получить полный доступ над машиной...
Хожу и думаю как лучше сделать, а пока буду эту группу маппировать для экспериментов.

[Aleksey Shimanov]

Группу смапировал, все хорошо:

Код: [Выделить]

[root@alt-srv-test ~]# id usr1
uid=1787407175(usr1),[b][SKIP][/b]101(localadmins),10(wheel),455(remote),482(vboxusers),
446(vboxadd),441(vboxsf),100(users),80(cdwriter),22(cdrom),81(audio),19(proc),83(radio),
452(camera),71(floppy),468(xgrp),469(scanner),14(uucp),484(fuse),488(video)

Возникла проблема, не могу доменного пользователя добавить в нужные группы...

Код: [Выделить]

[root@alt-srv-test ~]# usermod -a wheel,remote usr2
Использование: usermod [параметры] ПОЛЬЗОВАТЕЛЬ
[SKIP]

roleadd тоже ругается...

Код: [Выделить]

[root@alt-srv-test ~]# roleadd 'usr2' localadmins remote
Error 156: No such group
Судя по всему roleadd только с группами работает.

[Aleksey Shimanov]

Поправка, с usermode разобрался, но все равно ругается...

Код: [Выделить]

usermod -a -G gp_test usr3
usermod: не удалось заблокировать /etc/tcb/usr3/shadow; попробуйте ещё раз позже.
При этом в /etc/tcb каталога usr3 нет.

[Aleksey Shimanov]

Создал нужный файлик (/etc/tcb/usr3/shadow) и все заработало. 
Бред какой-то... Почему так и зачем? Не понимаю...

[gosts 87]

Бред какой-то... Почему так и зачем? Не понимаю...

Линукс от форточек тем и отличается, что в нём многое нужно делать "ручками".
Терминал - наше всё!!!

[Skull]

Устанавливайте пароли и группы у доменных пользователей на КД, а не локально. Бред – ваши привычки.

[Aleksey Shimanov]

Линукс от форточек тем и отличается, что в нём многое нужно делать "ручками".
Терминал - наше всё!!!

Дело не в терминале, в командной строке работаю очень давно - не привыкать. Возмущение вызвало, что команда могла создать этот файл сама...

Устанавливайте пароли и группы у доменных пользователей на КД, а не локально. Бред – ваши привычки.

Я собственно уже расписывал ситуацию.
Есть  сисадмин/работник тех.поддержки который имеет право назначать группы пользователям. Ему на данной машине делать нечего, однако возможность добавить себя в нужную группу есть, как есть и любопытство. Добавит себя, зайдет, что-нить сделает, и все сервак встанет...
Безопасность должна быть безопасной...

Пытаюсь рассмотреть все возможные  варианты...
Если есть опыт и идеи по реализации красивой схемы - поделитесь. :)
Моих знаний по линуксу пока хватает только для решения задачи "в лоб".

[gosts 87]

Возмущение вызвало, что команда могла создать этот файл сама...

Вы же эту команду вводили из под root? А root (Суперпользователь) в Linux может всё.

[gosts 87]

Вот статья о том, что такое su и sudo. И в чём между этими командами разница: http://rus-linux.net/MyLDP/admin/sudo-su.html
Кстати, предлагаю обратить внимание вот на эту фразу:

Sudo запускает с правами root только одну команду. При выполнении команды sudo система запросит у ваш текущий пользовательский пароль, а затем запустит команду на выполнение от имени root. По умолчанию Ubuntu помнит введенный пароль 15 минут, и в течение этого времени при повторном использовании не будет запрашивать его.

Это означает, что после ввода пароля для повышений превелегий с помощью команды sudo этот самый пароль в течении примерно 15 минут повторно вводить не нужно. А это в свою очередь подвергает потенциальному риску вторжения в систему со стороны в течение этих 15 минут. А вот пароль при вводе команды su- нужно вводить каждый раз при получении превелегий "Суперпользователя".

[Aleksey Shimanov]

Спасибо.
Я это уже читал, вернее подобную статью. 
А запускал команду из под доменного пользователя, основная задача была в этом, и успешно решена. Правда потратилось 5 дней на эксперименты...