Re: Více správců serveru - delegace root práv

[Dan Lukes]

Tomáš Skočdopole wrote:
> jen bych se chtěl zeptat, jak řešíte root práva na servery pokud je třeba je udělit více správcům? Používáte sdílené heslo, či su nebo sudo?

Jako bezpecak mam na tohle nazor naprosto nekompromisni. Sdilene ucty
(=vice osob zna heslo k temuz uctu) jsou naprosto nepripustne i pro
zcela bezny ucty, o uctech superuzivatskych naprosto nemluve.

Sdileny ucet nema zadne vyhody (usporu jednoho radku v /etc/passwd
odmitam uznat za vyhodu), ma vyhradne nevyhody.

> Zkoušel jsem příkaz su - přidal jsem daného uživatele do skupiny wheel. Ovšem pokud uživatel použije su, vyzve ho to k zadání hesla, ovšem ne svého hesla, ale hesla roota, což mě nepomůže.

su ma parametr - jmeno uzivatele, na ktereho se chceme prepnout. Ano,
bez parametru to znamena uzivatele "root", ale na toho se on prepinat
nechce - to eni "jeho" superuzivatel. On musi 'su' volat se jmenem toho
superuzivatele, ktery byl pro nej vytvoren (je jedno, jak se takovy
superuzivatel bude jmenovat, on ho jen musi znat a za to 'su' napsat).

'su' ho pak vyzve k zadani hesla toho uzivatele.

Heslo superuzivatele root on znat nebude, a ty nebudes znat heslo "jeho"
superuzivatele.


> Sudo bych asi zavrhl

Souhlasim.

sudo ma smysl pokud chceme nekomu umoznit spoustet s alternativnimi
pravy jen nektere prikazy. Pro "plnohodnotneho" superuzivatele neprinasi
sudo zadna pozitiva.

Dan