Автор Тема: Доменные пользователи в качестве root  (Прочитано 310 раз)

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Сервер Alt 9.2, DHCP, введен в домен Windows AD, доменные пользователи на него заходят без вопросов.
1.Так как это сервер, то всех пускать не надо, нужно пускать только избранных пользователей. Конкретно это сисадмины предприятия. Есть доменная глобальная группа в AD для этих пользователей.
2. Пользователей из этой группы (можно просто пользователей, их всего 5), нужно сделать "суперпользователями". Т.е. чтобы можно было настраивать и управлять сервером без ввода пароля root.

P.S. В линуксе новичёк.

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 007
    • Email
sudo
Сноси Винду, переходи на Линукс ! :)

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
sudo
sudo
В нем есть примечание 1:
Существует рекомендация известного эксперта в области ИТ-безопасности Александра Песляка (Solar Designer) не использовать sudo
Я пока в этом можно сказать не разбираюсь, насколько это правда?

А другой вариант подойдет?
Отображение глобальных групп на локальные

До того как железо придет есть ~2 месяца, нужно мат.часть оваивать... :-[
Страшно... ;-D

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 1 061
  • Дмитрий/Dmitry/德米特里/दिमित्री
Я пока в этом можно сказать не разбираюсь, насколько это правда?
Отчасти - да. При вводе команды sudo пользователь повышает привилегии до root на определённый срок (около 15 минут). При вводе пароля root через команду su- привилегии повышаются ровно на время, пока открыта программа, для запуска которой вводился пароль root. Как только программа закрыта - уровень доступа понижается до обычного пользователя.
Страшно... ;-D
Не бойтесь, но будьте осторожны! :-)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 639
    • Домашняя страница
    • Email
Не забудььте сделать маппинг доменной группы администраторов на wheel по http://altlinux.org/ActiveDirectory/Login
Андрей Черепанов (cas@)

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Не бойтесь, но будьте осторожны!
Сейчас на "кошках" экспериментирую - виртуалка. Так что не особо страшно, в крайнем случае придется образ жеского диска восстановить.
Страшно будет когда железо приедет... ;-D :-D

Не забудььте сделать маппинг доменной группы администраторов на wheel по http://altlinux.org/ActiveDirectory/Login
Здесь пока не уверен, что админы домена нужны на этой машине... ;-D Линуксоидов у нас нет нифига... Опасно просто их туда пускать. На железе будет SQL для 1С крутиться, т.е. довольно критичная система к простоям.
Есть отдельная группа где прописаны кто будет заходить на альт с админовскими правами, но сомнения меня гложут, наверное буду делать на уровне пользователей. Иначе любой админ (или чел у которого есть соответствующие права) может себя забросить в эту группу и получить полный доступ над машиной...
Хожу и думаю как лучше сделать, а пока буду эту группу маппировать для экспериментов. 8-)

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Группу смапировал, все хорошо:
[root@alt-srv-test ~]# id usr1
uid=1787407175(usr1),[b][SKIP][/b]101(localadmins),10(wheel),455(remote),482(vboxusers),
446(vboxadd),441(vboxsf),100(users),80(cdwriter),22(cdrom),81(audio),19(proc),83(radio),
452(camera),71(floppy),468(xgrp),469(scanner),14(uucp),484(fuse),488(video)

Возникла проблема, не могу доменного пользователя добавить в нужные группы... 8-|
[root@alt-srv-test ~]# usermod -a wheel,remote usr2
Использование: usermod [параметры] ПОЛЬЗОВАТЕЛЬ
[SKIP]

roleadd тоже ругается...
[root@alt-srv-test ~]# roleadd 'usr2' localadmins remote
Error 156: No such group
Судя по всему roleadd только с группами работает.
« Последнее редактирование: 10.09.2021 09:42:24 от Aleksey Shimanov »

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Поправка, с usermode разобрался, но все равно ругается...

usermod -a -G gp_test usr3
usermod: не удалось заблокировать /etc/tcb/usr3/shadow; попробуйте ещё раз позже.
При этом в /etc/tcb каталога usr3 нет. :-\

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Создал нужный файлик (/etc/tcb/usr3/shadow) и все заработало.  :-\
Бред какой-то... Почему так и зачем? Не понимаю...

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 1 061
  • Дмитрий/Dmitry/德米特里/दिमित्री
Бред какой-то... Почему так и зачем? Не понимаю...
Линукс от форточек тем и отличается, что в нём многое нужно делать "ручками". :-)
Терминал - наше всё!!! ;-D
« Последнее редактирование: 10.09.2021 13:31:46 от gosts 87 »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 639
    • Домашняя страница
    • Email
Устанавливайте пароли и группы у доменных пользователей на КД, а не локально. Бред – ваши привычки.
Андрей Черепанов (cas@)

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Линукс от форточек тем и отличается, что в нём многое нужно делать "ручками".
Терминал - наше всё!!!
Дело не в терминале, в командной строке работаю очень давно - не привыкать. Возмущение вызвало, что команда могла создать этот файл сама...

Устанавливайте пароли и группы у доменных пользователей на КД, а не локально. Бред – ваши привычки.
Я собственно уже расписывал ситуацию.
Есть  сисадмин/работник тех.поддержки который имеет право назначать группы пользователям. Ему на данной машине делать нечего, однако возможность добавить себя в нужную группу есть, как есть и любопытство. Добавит себя, зайдет, что-нить сделает, и все сервак встанет...
Безопасность должна быть безопасной...

Пытаюсь рассмотреть все возможные  варианты...
Если есть опыт и идеи по реализации красивой схемы - поделитесь. :)
Моих знаний по линуксу пока хватает только для решения задачи "в лоб".

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 1 061
  • Дмитрий/Dmitry/德米特里/दिमित्री
Возмущение вызвало, что команда могла создать этот файл сама...
Вы же эту команду вводили из под root? А root (Суперпользователь) в Linux может всё.

Оффлайн gosts 87

  • Давно тут
  • **
  • Сообщений: 1 061
  • Дмитрий/Dmitry/德米特里/दिमित्री
Вот статья о том, что такое su и sudo. И в чём между этими командами разница: http://rus-linux.net/MyLDP/admin/sudo-su.html
Кстати, предлагаю обратить внимание вот на эту фразу:
Цитировать
Sudo запускает с правами root только одну команду. При выполнении команды sudo система запросит у ваш текущий пользовательский пароль, а затем запустит команду на выполнение от имени root. По умолчанию Ubuntu помнит введенный пароль 15 минут, и в течение этого времени при повторном использовании не будет запрашивать его.
Это означает, что после ввода пароля для повышений превелегий с помощью команды sudo этот самый пароль в течении примерно 15 минут повторно вводить не нужно. А это в свою очередь подвергает потенциальному риску вторжения в систему со стороны в течение этих 15 минут. А вот пароль при вводе команды su- нужно вводить каждый раз при получении превелегий "Суперпользователя".
« Последнее редактирование: 13.09.2021 21:06:28 от gosts 87 »

Оффлайн Aleksey Shimanov

  • Завсегдатай
  • *
  • Сообщений: 13
    • Email
Спасибо.
Я это уже читал, вернее подобную статью.  :-)
А запускал команду из под доменного пользователя, основная задача была в этом, и успешно решена. Правда потратилось 5 дней на эксперименты...