Re: Frage / Alternative zu who

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: 19.11.2005
On Sat, Nov 19, 2005 at 02:16:40AM +0100, Raphael H. Becker wrote:
> On Fri, Nov 18, 2005 at 02:42:18PM +0100, Alexander Dehoff wrote:
> > Ich möchte mir in die .bashrc von root (auf nem Webserver, auf dem 4
> > Leute das root PW kennen) ein Kommando einstellen, das bei jedem Login
> > ein Mail verschickt, in dem steht von welchen account aus su gemacht
> > wurde.
> 
> Unabhängig von den anderen Hinweisen, wie das geloggt wird:
> 
> Ich würde keine Root-Passwörter vergeben, wenn es mehrere "root"-User
> gibt. Verwende statt "su" einfach "ssh root@localhost" und erlaube den
> RootLogin für keys. Dann trägst Du die public-keys der "Co-roots" in die
> "~/.ssh/authorized_keys" ein und verdonnerst sie dazu, ihre Schlüssel
> mit Passphrase zu sichern. Auf diese Weise hat jeder Co-root sein
> eigenes root-Passwort. Oder Du legst diese Schlüssel für die User an und
> gibst Passphrases vor, die sie dann ändern können.

Und wenn der sshd gestorben ist, hat es sich mit root erledigt. IMO
keine wirklich gute Idee, und seit es sudo gibt auch nicht mehr
wirklich notwendig. Dann muss man nur noch vereinbaren, dass man sich
möglichst keine root-shell holt, sondern immer sudo kommando sagt, und
man hat auch einen audit trail im Log.

> Ansonsten, wenn die jeweiligen Admins nur ganz bestimmte Sachen
> erledigen können sollen, empfiehlt sich uU sudo. Aber entweder trägt man
> dann dort alles ein, was sie dürfen oder man erlaubt großflächiger zB
> das Starten von Shells ... nunja.

Ich verwende dafür in aller Regel die Gruppe "wheel" und
%wheel  ALL=(ALL) ALL
in der /etc/sudoers.

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 72739835
Received on Sat Nov 19 12:46:24 2005

Dieses Archiv wurde generiert von hypermail 2.1.8.
Zurück zur UUGRN-Homepage.