Vários modos de nível de acesso para contas em servidores linux

2

Quando atualmente trabalhando em um servidor linux (eu sysadmin 2) eu tenho os 3 casos de uso a seguir:

  1. Uso do usuário final (por exemplo, grupos de projetos pessoais ou normais)
  2. Solução de problemas do usuário e alterações de baixo risco (por exemplo, alterações do vache do Apache)
  3. Trabalho de sysadmin real (por exemplo, daemons configurig)

Temos 1 conta de usuário para tudo (que é configurado com grupos detalhados e corretos para quase tudo) no NIS e geralmente funciona bem.

O problema é que atualmente abrimos um shell de raiz ( sudo -i ) para 2 & 3. Isso introduz risco por causa do acesso total. Também nos deparamos com erros de pessoas com acesso root que superestimam suas habilidades (organização sem fins lucrativos, por isso geralmente significa bem).

Eu gostaria de separar 2 & 3 ao conceder direitos aos grupos corretamente (por exemplo, acesso total do time do site ao apache, mas nada mais). O problema é que eu também não quero conceder os direitos de contas de usuário, eu gostaria que eles entrassem no "modo de administração" como é feito agora porque é facilmente logariável e faz as pessoas perceberem que podem causar danos agora.

É possível criar vários níveis de energia em vez de apenas a diferenciação normal de usuário / raiz?

Outras sugestões também são bem-vindas

    
por dtech 13.10.2011 / 01:57

2 respostas

2

Você pode usar su para forçar as pessoas a mudar para um usuário elevado ao fazer as coisas na categoria dois.

Cada usuário teria duas contas: $normal_account e $admin_account . Atribua as permissões necessárias a $admin_account da pessoa que pode fazer su $admin_account - para obter acesso a essa conta e fazer seu trabalho administrativo.

Para funções de classe 3, eu diria que não adicione outra conta apenas pare de descartar . Execute seus comandos de administrador diretamente com sudo <command> . Se você quiser ter muito cuidado, desative o cache de senhas no arquivo sudoers.

    
por 13.10.2011 / 02:22
1

Você tem duas opções, a mais complexa, mas a mais segura é o controle de acesso obrigatório (MAC), que pode ser realizado via SELinux. A segunda é configurar seu / etc / sudoers para conceder um subconjunto de controle.

 User_Alias     OPERATORS = bob, tippy, george
 Runas_Alias    OP = root, operator
 Host_Alias     OFNET = 10.1.2.0/255.255.255.0
 Cmnd_Alias     PRINTING = /usr/sbin/lpc, /usr/bin/lprm

OPERATORS ALL=ALL

# The users in the OPERATORS group can run any command from
 any terminal.

linus ALL=(OP) ALL

# The user linus can run any command from any terminal as any 
user in the OP group (root or operator).

user2 OFNET=(ALL) ALL

# user user2 may run any command from any machine in the 
OFNET network, as any user.

user3 ALL= PRINTING

# user user3 may run lpc and lprm from any machine.

bob ALL=(ALL) ALL

Você pode encontrar mais informações detalhadas no Manual do Sudoers

    
por 13.10.2011 / 02:16