Re: Více správců serveru - delegace root práv

[Dan Lukes]

Tomáš Skočdopole wrote:
> pw useradd rootkolega -u 0 -c "Root kolega" -g wheel -s csh -o -m

Takovejch pismenek. Aby mu ruka neupadla, az to za to su bude psat ;-)

Muj superuzivatelsky ucet ma v nazvu dve pismena. Na detailnejsi popis
je '-c' ...

> pokud se přihlásím pod tímto účtem, tak akorát mě zarazilo, že si systém myslí, že to je přímo root

To je otazka poradi radku v passwd. System vi, ze je prihlaseny uzivatel
s uid=0. Nevi, jake konkretni z moznych prihlasovacich jmen pri
prihlasovani zadal, takze ukaze to prvni z moznych.

> V podstatě díky tomu, že mám ssh puštěné pouze do management sítě a koneckonců i já sám se hlásím rovnou jako root, tak asi kolegovi nebudu vytvářet obyč účet kolega.

To je otazka osobnich preferenci. Je to sice ucet dostupny jen z omezene
site a ne z celeho sveta, ale ja bych se o ochranu dvojiteho hesla
rozhodne nepripravil.

> takže mám povoleno v sshd_config PermitRootLogin - tím jsem snad nic nepokazil.

To je subjektivni otazka. Rekneme, ze ja bych to tak v zadnem pripade
neudelal.

Umoznit prime prihlaseni ze vzdaleneho zdroje (jakkoli omezeneho) primo
na superuzivatele je proste mene bezpecne. Ano, jsem si vedom, ze na
nekterych jinych operacnich systemech to bezne umoznuji - nerekl jsem,
ze to tak udelat nejde.

Miroslav Lachman wrote:
> Skupina wheel sama o sobe neni nicim prilis specialnim, krome toho ...

Ja bych si tu vetu dovolil dokoncit malinko jinak.

... krome toho, ze v defaultnim /etc/pam.d/su je clenstvi v teto skupine
uvedeno jako povinna prerekvizita pouziti 'su'

Mohla by tam ale byt uvedena i jina skupiona, nebo taky by tam ten radek
nemusel byt vubec. Takze vylucnost skupiny wheel je dokonce dana "jen"
defaultni konfiguraci systemu ...

Vilem Kebrt wrote:

> Imho neni dobre pokud ma produkcni zalezitost vic nez jednoho roota. 

Predpokladejme, ze terminem 'root' jsi myslel obecne superuzivatele (vic
nez jednoho uzivatele se jmenem root mit nemuzes).

Pak s vyrokem nemuzu souhlasit. Jeden clovek nemuze zajistit provoz
24x7x365 - a i kdyby to byl takovej superman, jen nektere firmy si mohou
dovolit byt naprosto zavisle na jedinem cloveku.

Vic spravcu (a ti ke sve praci potrebuji prislusna prava = jsou
superuzivatele) je podle me naopak naprosto legitimni konfigurace - a
dokonce bych rekl "castejsi nez nenasobne".


Dan