Простой вопрос — Создание Суперпользователя с правами root-a


Главная Форумы POWER Systems AIX/Hardware Простой вопрос — Создание Суперпользователя с правами root-a

В этой теме 4 ответа, 4 участника, последнее обновление  dmdave 8 года/лет, 7 мес. назад.

  • Автор
    Сообщения
  • #3653

    dmdave
    Участник

    Имею AIX 6.1 🙂
    Попросили создать суперпользователя (например admin) с правами как у root и возможностью менять пароль у root’а. Он будет использоваться в качестве резервного входа на сервер
    с полномочиями root’a

    Прочитал , что создание еще одного пользователя admin с ID=0 — это плохая практика.
    Прочитал , что можно настроить SUDO для этого суперпользователя в файле /etc/sudoers :

    # sudoers file.
    #
    # This file MUST be edited with the ‘visudo’ command as root.
    #

    # User privilege specification
    root ALL=(ALL) ALL
    admin ALL=(ALL) ALL

    Какие у меня есть еще варианты создания такого суперпользователя , и какой из них будет наиболее предпочтителен в моём случае с точки зрения безопасности ??

  • #3655

    andrewk
    Участник
  • #3673

    uxTuaHgp
    Участник

    Мне кажется, RBAC для требуемой функциональности — это слишком тонко.
    sudo в общем тоже — придется прописывать много чего.
    Проще, как мне кажется сгенерировать ssh ключ (можно без пароля)под определенным пользователем и ответную часть его прописать root-у в authorized_keys, а затем просто делать
    ssh root@localhost

  • #3674

    Дмитрий
    Участник

    Тогда можно завести пользователя из группы security, дать ему роль ManageAllUsers и он сможет менять пароль root.
    А ещё правильнее держать пароль root в конверте в сейфе и выдавать под расписку определённому кругу лиц.

  • #3688

    dmdave
    Участник

    1. – создание пользователя с UID=0 я исключил из рассмотрения
    2. – для настройки SUDO мне потребуется поставить дополнительный пакет
    на всех серверах..это пока проблематично

    # sudo -V
    ksh: sudo: not found.
    #

    3. — попробовал использовать Управление доступом на основе ролей (RBAC)- Получилось.
    Создал на сервере пользователя admin. Присвоил ему роль SecPolicy ,тк роли ManageAllUsers я просто не нашел ! У меня по умолчанию доступны только роли

    AccountAdmin
    BackupRestore
    DomainAdmin
    FSAdmin
    SecPolicy
    SysBoot
    SysConfig
    isso
    sa
    so

    Теперь смена пользователей через SU – проходит без запроса пароля даже на root.
    Пароль root от этого пользователя– изменяется.
    От всех полномочий root для пользователя admin — пока отказались.

    Я все правильно сделал ?? Мучает вопрос — почему нет роли ManageAllUsers ??

Для ответа в этой теме необходимо авторизоваться.