LINUX.ORG.RU
ФорумAdmin

alt linux сервер как отключить рута и наоборот дать доступ пользователю из wheel к веб-морде?

 ,


1

2

Поставил альтлинупс. Вроде норм, но есть нюансы собственно сабж. Категорически неприемлемо ходить под рутом, поэтому только судо. И можно бы его выключить совсем, только на вебморду он требует именно рута, а мне бы хотелось наоборот дать туда доступ всем кто в wheel. Есть надпись добавить доступ к отдельным модулям, но этого мало, нужно чтобы ко всему, но не от рута.



Последнее исправление: justin_case (всего исправлений: 1)

редактируй файл /etc/passwd

там обычно первой строкой root и в конце строки его шелл. этот шелл нужно изменить на /usr/bin/nologin или что там в альте, я не знаю. обычно корректный путь к nologin во второй и последующих строках. на это и надо заменить

anonymous
()
Ответ на: комментарий от sin_a

1. Невозможность войти по руту никуда.
2. При этом разрешить тем кто в группе wheel пользоваться вебмордой так же как рут, без ограничений.
3. Пароли только самого юзера, ни у кого ни должно спрашивать конкретно рутовый пароль.

justin_case
() автор топика
Ответ на: комментарий от anonymous

sudo требует пароль рута?

НЕТЪ с ней все нормально. Проблема в вебморде которая пускает только рута, а пользователям выдает доступ только лишь к модулям альтератора, а мне нужно чтобы по руту войти было вообще нельзя а под пользователем из группы wheel - можно и чтобы доступно было всё как и руту. А рута потом соответственно - выключить.

justin_case
() автор топика

Тебе придётся сначала в веб-морде разрешить какому-то пользователю использовать набор модулей, это можно сделать из-под рута. Затем запретить рута. Если у тебя корпоративные правила и домен, то это проблемы не составляет. Если у тебя домашняя станция и ты хочешь странного - то ты хочешь странного.

Aceler ★★★★★
()
Ответ на: комментарий от justin_case
  1. При этом разрешить тем кто в группе wheel пользоваться вебмордой так же как рут, без ограничений.

И прямо из этой морды любой из них сможет включить рута обратно.

Ты уверен, что тебе надо именно это?

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

И прямо из этой морды любой из них сможет включить рута обратно.

Любой из них этой мой коллега который не знает аглицкий язык ему русская морда понравится, я без нее обойдусь прекрасно и мог бы удалить совсем. Естественно всем пользователям которые вообще есть в домене я ничего предоставлять не хочу, даже просто заходить туда не надо.

justin_case
() автор топика
Ответ на: комментарий от Aceler

Поддержки групп там (пока?) нет.

А будет? Потому что на центосе например можно добавить в sudoers просто саму группу доменных админов без заведения локальных пользователей вообще, а дальше все логины и пароли с DC.

justin_case
() автор топика
Ответ на: комментарий от Aceler

acl.conf можно вписывать доменных пользователей.

Отлично. Еще подскажи пожалуйста в этом альте есть какой нибудь общепринятый пакетный менеджер для консоли, потому что сначала вроде apt-get (но без самой apt) потом вижу что и rpm стоит, разнобой это плохо, что нибудь что положено использовать, ну например как dnf в федоре.

justin_case
() автор топика
Ответ на: комментарий от justin_case

«отключить рута» в принципе нельзя. Можно не разрешить под ним заходить интерактивно.

Но с требованием рутовый пароль вводить в ацц — это, конечно, да… у них там наоборот считают безопасным ходить под рутом для рутовых задач, ибо исполняемые файлы с сетуид — небезопасно.

mogwai ★★★★★
()
Ответ на: комментарий от sin_a

И что из этого НУЖНО использовать? Ну например в федоре нужно использовать DNF в генте нужно использовать emerge в убунте нужно использовать apt. Хотя поставить можно всё что хочешь. Что считается предпочтительным и одобрямс для альта?

justin_case
() автор топика
Ответ на: комментарий от justin_case

https://www.altlinux.org/Features#общего_плана

Существенно доработанный RPM — изначально
Адаптированный вариант apt-get как высокоуровневое средство управления пакетами — Spring 2001+

rpm это низкий уровень, высокий это apt

sin_a ★★★★★
()
Ответ на: комментарий от mogwai

вспоминай про apt-get, apt-cache

Ну вот мне сейчас пришлось через rpm искать все что alterator-* потому что apt нету а apt-cache не умеет в «то что уже поставлено». А в федоре например если поставишь что-то просто rpmом отдельно от dnfа то он ругнется потом что у него база не сходится. Вот как бы и тут не навертеть. Нужно что-то одно.

justin_case
() автор топика
Ответ на: комментарий от justin_case

А в федоре например если поставишь что-то просто rpmом отдельно от dnfа то он ругнется потом что у него база не сходится.

Серьёзно?

Нужно что-то одно.

Если нужно что-то одно, попробуй epm, который надстройка сразу над всем.

Aceler ★★★★★
()
Ответ на: комментарий от mogwai

что не так? Меня категорически не устраивает сам вход под рутом куда бы то ни было а по паролю и тем более, пароль рута генерится 1 раз при установке после чего выключается и забывается, люди ходят по своим паролям или ключам которые они сами только и знают а если нужно, то могут поменять. Все остальное типа sudo -i приемлемо. Никаких тетрадочек и одного рутового пароля на все машины (да хоть бы и разных) - это для тётушек с хлебом в голове.

justin_case
() автор топика
Ответ на: комментарий от Aceler

epm это разве не для wine?

Вот это вот: «Посредством epm можно попытаться установить в систему чужой пакет» делает меня бояться…

sin_a ★★★★★
()
Последнее исправление: sin_a (всего исправлений: 1)
Ответ на: комментарий от Aceler

Серьёзно?

Пишет типа modified outside db или что-то такое. При этом выполняет, но ругань будет пока либо не снесешь поставленное извне, либо не сделаешь rebuilddb.

Если нужно что-то одно, попробуй epm

По дефолту не стоит, тоже плохо. Вот что полагается юзать? в документации все ссылки на apt-get либо вообще на гуйню графическую хотя этож сервер.

justin_case
() автор топика
Ответ на: комментарий от justin_case

Отключение рута это мода, которая пошла от убунты. Причём там это понятно, система поставлялась в массы. Если сгенерить пароль на 48 символов , сохранить его и не пользоваться то чем это отличается от выключенного пользователя? А если тебе вдруг понадобиться ansible…

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

А если тебе вдруг понадобиться ansible

Насколько я помню, там тоже можно ключ, у меня получалось. В моем случае оркестрация не нужна (для софта), потому что использую по принципу одна виртуалка под одну-три схожих или связаных меж собой задач. Разве что для железа типа свитчей ну это другой разговор.

justin_case
() автор топика
Ответ на: комментарий от Aceler

Хорошо а чем мне заменить rpm -qa |grep <то что поставлено> ?

Кроме того, мне все равно какого цвета утюг, если он греет, а люди путаться будут в том, что на других машинах можно одной прогой узнать например что стоит и ей же поставить/удалить, а тут нужно будет 2 сразу использовать, это выйдет в совершенно ненужные мне распросы и уточнения.

justin_case
() автор топика
Ответ на: комментарий от justin_case

одна виртуалка под одну-три схожих или связаных меж собой задач

Просто к слову: контейнеризация, в частности сейчас это lxc, мне нравится в частности тем что в контейнере может вообще не быть учётных записей.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

сохранить его

Где? я его забуду послезавтра, а хранение паролей на бумажках и в файлах это умственная осталость. Кроме того, вход именно под рутом - неприемлем. Морда другого не дает, кстати файл /etc/ahttpd/acl.conf пустой, на какую директорию ссылаться то?

justin_case
() автор топика
Ответ на: комментарий от Aceler

и wine и чёрти чем

Я правильно понимаю, что при запросе epm покажи мне че ты можешь поставить он и виндовое тогда выдаст а при желании это поставить еще и вайн пропихнет и включит? Вот это было бы плохо.

justin_case
() автор топика