[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Frage / Alternative zu who


On Sat, Nov 19, 2005 at 02:16:40AM +0100, Raphael H. Becker wrote:
> On Fri, Nov 18, 2005 at 02:42:18PM +0100, Alexander Dehoff wrote:
> > Ich moechte mir in die .bashrc von root (auf nem Webserver, auf dem 4
> > Leute das root PW kennen) ein Kommando einstellen, das bei jedem Login
> > ein Mail verschickt, in dem steht von welchen account aus su gemacht
> > wurde.
> 
> Unabhaengig von den anderen Hinweisen, wie das geloggt wird:
> 
> Ich wuerde keine Root-Passwoerter vergeben, wenn es mehrere "root"-User
> gibt. Verwende statt "su" einfach "ssh root@localhost" und erlaube den
> RootLogin fuer keys. Dann traegst Du die public-keys der "Co-roots" in die
> "~/.ssh/authorized_keys" ein und verdonnerst sie dazu, ihre Schluessel
> mit Passphrase zu sichern. Auf diese Weise hat jeder Co-root sein
> eigenes root-Passwort. Oder Du legst diese Schluessel fuer die User an und
> gibst Passphrases vor, die sie dann aendern koennen.

Und wenn der sshd gestorben ist, hat es sich mit root erledigt. IMO
keine wirklich gute Idee, und seit es sudo gibt auch nicht mehr
wirklich notwendig. Dann muss man nur noch vereinbaren, dass man sich
moeglichst keine root-shell holt, sondern immer sudo kommando sagt, und
man hat auch einen audit trail im Log.

> Ansonsten, wenn die jeweiligen Admins nur ganz bestimmte Sachen
> erledigen koennen sollen, empfiehlt sich uU sudo. Aber entweder traegt man
> dann dort alles ein, was sie duerfen oder man erlaubt grossflaechiger zB
> das Starten von Shells ... nunja.

Ich verwende dafuer in aller Regel die Gruppe "wheel" und
%wheel  ALL=(ALL) ALL
in der /etc/sudoers.

Gruesse
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 72739835