Организация работы нескольких админ-учеток на сервере

0

2

Как правильно организовать работу нескольких админ-учеток на сервере, чтобы а) все они обладали sudo-правами и выполняли административные функции б) обращались к одной home-директории и .ssh/authorized_key?

Сейчас имеется одна sudo-учетка admin, но когда добавляю новые и указываю ту же директорию в качестве домашней

sudo useradd -d /home/admin NEWUSERNAME

sudo usermod -aG sudo NEWUSERNAME

Она продолжает запрашивать пароль при входе по ssh, хотя самая первая учетка admin использует .ssh/authorized_key и заходит без пароля.

Ссылка

←	Как разобраться с современным сетевым стеком линукса?

Кто знает курсы по администрированию по России и по Казахстану?

→

нескольких админ-учеток
обращались к одной home-директории и .ssh/authorized_key?

Скажите поциент зачем вам столько галоперидола? (c) В чем смысл Карл?

anc ★★★★★
(05.06.17 01:30:38 MSK)

Подозреваю дело в правах доступа к файлу, ID то разные у учеток а там 600 небось

af5 ★★★★★
(05.06.17 07:12:23 MSK)

Ссылка

Ответ на: комментарий от anc 05.06.17 01:30:38 MSK

Раздельное управление, аудит активности, не хочу плодить кучу home-директорий. Как понимаю, при ssh-авторизации читается содержимое. ssh/authorized_key из домашней директории,которую я хочу задать общей для всех админов. Поправьте, пожалуйста, если я совсем не ту степь пошёл

kukuruku11
(05.06.17 10:01:17 MSK) автор топика

Ответ на: комментарий от kukuruku11 05.06.17 10:01:17 MSK

ну так пропиши authorized_key в общей директории, и оставь хомяки в покое.

anonymous
(05.06.17 10:24:47 MSK)

Ссылка

Ответ на: комментарий от kukuruku11 05.06.17 10:01:17 MSK

Раздельное управление, аудит активности

не хочу плодить кучу home-директорий

хм, что-то тут явно лишнее...

Тебе ж как минимум всех этих юзеров в одну группу пихать придется, или права давать для other или еще где-нибудь на 0 делить. Правильно аноним выше говорит, проще уж authorized_key в общей директории сделать.

iTA05 ★
(05.06.17 10:50:27 MSK)

Ответ на: комментарий от iTA05 05.06.17 10:50:27 MSK

То есть нет ничего страшного в том, чтобы заводить на админов home директории? А ключи закинуть, например, в /etc/ssh/authorized_key. Мне просто интересны лучшие практики

kukuruku11
(05.06.17 10:55:36 MSK) автор топика

Ответ на: комментарий от kukuruku11 05.06.17 10:55:36 MSK

Конешно страшно, любой админ сможет логинится как любой другой

anonymous
(05.06.17 11:01:59 MSK)

Ссылка

Ответ на: комментарий от kukuruku11 05.06.17 10:55:36 MSK

Я вообще не вижу смысла в куче учеток с авторизацией по одному ключу.

iTA05 ★
(05.06.17 11:14:11 MSK)

Ответ на: комментарий от iTA05 05.06.17 11:14:11 MSK

Возможно, я неправильно объяснил. Учётки разные, ключи разные, просто распологаются в одном файле ключей. Домашний каталог у учеток думал один сделать

kukuruku11
(05.06.17 11:22:40 MSK) автор топика

Ответ на: комментарий от kukuruku11 05.06.17 11:22:40 MSK

ну так если они в одном файле, то значит любой из них подходит к любому пользователю

anonymous
(05.06.17 11:31:04 MSK)

Ссылка

Ответ на: комментарий от kukuruku11 05.06.17 11:22:40 MSK

И к нему имеют доступ все эти учетки. К файлу ключей, где располагаются ключи всех учеток...

Ну странно это, чесслово. Негоже другим читать authorized_keys.

iTA05 ★
(05.06.17 11:32:14 MSK)

Ответ на: комментарий от iTA05 05.06.17 11:32:14 MSK

А как тогда реализовать вход всех этих учеток и не компроментировать ключи? PasswordAuthentification отключена в настройках сервера. Как понимаю, мне нужно заранее собрать ключи с будущих админов для входа

kukuruku11
(05.06.17 11:51:37 MSK) автор топика

Ответ на: комментарий от kukuruku11 05.06.17 11:51:37 MSK

Дак никто и не заставляет компрометировать. По умолчанию ведь учетки создаются со своими домашними каталогами, authorized_keys должен читать/менять только владелец домашнего каталога (да и на сам каталог неплохо бы соотв. права выставить).

Приватные ключи выдаются пользователям.

iTA05 ★
(05.06.17 12:06:17 MSK)

Ссылка

Ответ на: комментарий от kukuruku11 05.06.17 11:51:37 MSK

А то ведь как полуается... Вместо личного authorized_keys с правами 600, имеем, к примеру, общий с правами 660 и группой, куда все эти пользователи входят.

Ну вот выдали мне ключ, логин у меня mr_noob, и еще одному человеку с логином vasyaadmin, приватные ключи у нас разные, но вот публичные то в одном файле (доступным обоим юзерам), выходит, имея приватный ключ mr_noob, меня может пустить с логином vasyaadmin, заменив в authorized_keys s/mr_noob/vasyaadmin/.

Ну это я так понимаю. Может и путаю чего конечно, ведь не зря мне логин mr_noob выдали)

iTA05 ★
(05.06.17 12:12:50 MSK)

Ответ на: комментарий от iTA05 05.06.17 12:12:50 MSK

Спасибо за советы

kukuruku11
(05.06.17 12:27:52 MSK) автор топика

Ответ на: комментарий от kukuruku11 05.06.17 12:27:52 MSK

Я на всякий случай проверил, дабы убедиться.

Имея в доступной директории authorized_keys

ssh-rsa blablakey_for_testuser testuser@g565bsd
ssh-rsa blablakey_for_testuser2 testuser2@g565bsd

Таки даже менять ничего не надо, прекрасно авторизовывает с приватным ключом testuser как testuser2. А я думал оно привязывается еще и к username@hostname в ключе...

Такие дела.

iTA05 ★
(05.06.17 13:04:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как разобраться с современным сетевым стеком линукса?

Admin

Кто знает курсы по администрированию по России и по Казахстану?

→

Похожие темы