Remova a conta de usuário ex-admin e conceda privilégios / permissões / propriedade a outro

2

Eu gostaria de encontrar a maneira mais simples de remover o usuário e grupo do administrador do sistema antigo de um servidor Gentoo e colocá-los todos sob o meu nome. Ele não trabalha mais aqui e parece que um grande número de aplicativos (apache, tomcat, django, etc) estão atualmente rodando com seu usuário e grupo, então eu não quero arriscar interromper nenhum deles até que eu tenha tempo de ir através de cada um e funileiro.

Idealmente, todos os arquivos com seu usuário e / ou grupo seriam reatribuídos ao meu usuário existente. Se você tem alguma idéia sobre como fazer isso, então você não precisa ler sobre isso, eu estou simplesmente brainstorming soluções alternativas desde que eu não tive sucesso em mesclar as duas contas até agora.

Menos idealmente, eu poderia renomear seu usuário e grupo para algo como "admin" ou uma nova conta para mim, alterar a senha e colocar o novo usuário "admin" em todos os grupos secundários que o usuário antigo em.

usermod -l oldname admin
usermod -g oldname admin

Etc.

Tenho a sensação de que, como o usuário e o grupo uid permaneceriam os mesmos com uma alteração de nome, eu não precisaria alterar a propriedade / grupos em todos os arquivos que ele possui? Se eu fiz, então este é o comando que eu pensei (eu não testei ainda, eu não acho que funcionaria como é, mas eu iria fazê-lo funcionar eventualmente):

sudo find / -user oldName -exec sudo chown admin:admin \;

O que você recomendaria que eu fizesse? Acho que meu problema é um pouco incomum porque não posso simplesmente remover o antigo usuário e seu diretório pessoal, já que tenho que tentar desvendar a rede de centenas de milhares de arquivos em execução com suas permissões, e não consegui encontrar uma resposta através de googling. Qualquer conselho que você possa me dar seria apreciado!

    
por jdussault 30.10.2014 / 19:48

1 resposta

0

A execução de serviços do sistema na mesma conta que uma conta pessoal é uma prática muito ruim. Use isso como uma oportunidade para acabar com essa prática.

Os serviços do sistema devem ser executados com privilégios mínimos, para limitar o impacto de uma falha de segurança. Ter acesso aos arquivos de configuração de um administrador (para plantar métodos de escalonamento de privilégios) ou, pior ainda, ao armazenamento de senhas de um administrador, é um caminho de ouro para a exploração.

Além disso, configurações como configurações de localidade, variáveis de ambiente, limites, etc. para uma conta pessoal podem não ser apropriadas para daemons.

Existem apenas duas desculpas para executar daemons em uma conta pessoal. Uma é se você não tem acesso root, então você não tem escolha; isso está se tornando raro nos dias de virtualização barata e hospedagem barata. A outra desculpa, presumivelmente o fator aplicável aqui, é a incompetência. Se o administrador anterior tivesse tão pouca compreensão de seu trabalho que coisas como chamar sudo e su apropriadamente estivessem além dele, provavelmente há muitas outras coisas erradas com esse sistema.

Comece por tratar a conta pessoal deste ex-administrador como uma conta do sistema, que executa todos os serviços. Então, se você executar vários serviços, pense em dividi-los. Mas dependendo de quão confuso e inseguro o sistema é, você pode preferir instalar um novo sistema a partir do zero assim que entender quais serviços precisam ser fornecidos.

    
por 31.10.2014 / 02:00