RE: Více správců serveru - delegace root práv

[Tomáš Skočdopole]

Zdravím,
 
díky všem za reakce.
 
Že je společné heslo pro roota špatné řešení si uvědomuji, důvody které jste mi psali jsou mi zřejmé - nechtěl jsem ten prvotní mail tímto zesložiťovat. 
 
Kolegovi bych chtěl dát plná práva (pkg, freebsd-update, restarty, úpravy konfiguráků). Samozřejmě vím, že s těmito právy by mě mohl mého roota sebrat, ale to bych neřešil.
 
Asi opravdu ale dělám něco špatně. Zkusím trochu přiblížit situaci - já sám mám uživatele root. Server má dvě síťovky a na jedné poskytuje služby a druhá je připojena do management sítě, do které chodím přes VPN. Pouze na tomto druhém rozhraní naslouchá sshd, takže mám povoleno v sshd_config PermitRootLogin - tím jsem snad nic nepokazil.
Teď bych ale chtěl přidat účet pro kolegu - vytvořil jsem tedy pro něj účet "rootkolega" a přidal ho do skupiny wheel. 
$ whoami
rootkolega
$ groups
rootkolega wheel
$ id
uid=1002(rootkolega) gid=1002(rootkolega) groups=1002(rootkolega),0(wheel)

Předpokládal jsem, že jakmile je někdo ve skupině wheel, bude mít po přihlášení prompt # a ne $. Respektive práva roota. To je první nejasnost. Co se vlastně stalo, že jsem uživatele přidal do wheel?
 
Tak jsem tedy pátral jakým způsobem po přihlášení tento uživatel může se povýšit na roota (když je ve skupině wheel) a zaměřil jsem se na příkaz su. To je už asi špatně.
 
Dane, jak si psal, že kolega musí 'su' volat se jmenem toho superuzivatele, ktery byl pro nej vytvoren - to znamená že kolega má mít dva účty? Jeden obyč kolega a druhej rootkolega, do kterého se vždy přepne? Co by tedy měl mít účet rootkolega za vlastnosti?
 
Díky Tomáš
 


 
> Subject: Re: Více správců serveru - delegace root práv
> From: majo-users-l na cerny.sk
> Date: Wed, 10 Dec 2014 06:47:29 +0100
> To: users-l na freebsd.cz
> 
> 
> > Dan Lukes wrote:
> > 
> >> Zkoušel jsem příkaz su - přidal jsem daného uživatele do skupiny wheel. Ovšem pokud uživatel použije su, vyzve ho to k zadání hesla, ovšem ne svého hesla, ale hesla roota, což mě nepomůže.
> > 
> > su ma parametr - jmeno uzivatele, na ktereho se chceme prepnout. Ano,
> > bez parametru to znamena uzivatele "root", ale na toho se on prepinat
> > nechce - to eni "jeho" superuzivatel. On musi 'su' volat se jmenem toho
> > superuzivatele, ktery byl pro nej vytvoren (je jedno, jak se takovy
> > superuzivatel bude jmenovat, on ho jen musi znat a za to 'su' napsat).
> > 
> > 'su' ho pak vyzve k zadani hesla toho uzivatele.
> > 
> > Heslo superuzivatele root on znat nebude, a ty nebudes znat heslo "jeho"
> > superuzivatele.
> 
> Tu by bolo vhodne este doplnit, ze je mozne mat viacej zaznamov v master.passwd s rovnakym user id. Teda aj viacej uzivatelov s uid 0 (root). Casto byva taky superuzivatel napriklad toor (root pospatku).
> 
> Marian
> -- 
> FreeBSD mailing list (users-l na freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l