Простой вопрос – Создание Суперпользователя с правами root-a

Главная Форумы POWER Systems AIX/Hardware Простой вопрос – Создание Суперпользователя с правами root-a

Просмотр 4 веток ответов
  • Автор
    Сообщения
    • #3653
      dmdave
      Участник

      Имею AIX 6.1 🙂
      Попросили создать суперпользователя (например admin) с правами как у root и возможностью менять пароль у root’а. Он будет использоваться в качестве резервного входа на сервер
      с полномочиями root’a

      Прочитал , что создание еще одного пользователя admin с ID=0 – это плохая практика.
      Прочитал , что можно настроить SUDO для этого суперпользователя в файле /etc/sudoers :

      # sudoers file.
      #
      # This file MUST be edited with the ‘visudo’ command as root.
      #

      # User privilege specification
      root ALL=(ALL) ALL
      admin ALL=(ALL) ALL

      Какие у меня есть еще варианты создания такого суперпользователя , и какой из них будет наиболее предпочтителен в моём случае с точки зрения безопасности ??

    • #3655
      andrewk
      Участник
    • #3673
      uxTuaHgp
      Участник

      Мне кажется, RBAC для требуемой функциональности – это слишком тонко.
      sudo в общем тоже – придется прописывать много чего.
      Проще, как мне кажется сгенерировать ssh ключ (можно без пароля)под определенным пользователем и ответную часть его прописать root-у в authorized_keys, а затем просто делать
      ssh root@localhost

    • #3674
      Дмитрий
      Участник

      Тогда можно завести пользователя из группы security, дать ему роль ManageAllUsers и он сможет менять пароль root.
      А ещё правильнее держать пароль root в конверте в сейфе и выдавать под расписку определённому кругу лиц.

    • #3688
      dmdave
      Участник

      1. – создание пользователя с UID=0 я исключил из рассмотрения
      2. – для настройки SUDO мне потребуется поставить дополнительный пакет
      на всех серверах..это пока проблематично

      # sudo -V
      ksh: sudo: not found.
      #

      3. – попробовал использовать Управление доступом на основе ролей (RBAC)- Получилось.
      Создал на сервере пользователя admin. Присвоил ему роль SecPolicy ,тк роли ManageAllUsers я просто не нашел ! У меня по умолчанию доступны только роли

      AccountAdmin
      BackupRestore
      DomainAdmin
      FSAdmin
      SecPolicy
      SysBoot
      SysConfig
      isso
      sa
      so

      Теперь смена пользователей через SU – проходит без запроса пароля даже на root.
      Пароль root от этого пользователя– изменяется.
      От всех полномочий root для пользователя admin – пока отказались.

      Я все правильно сделал ?? Мучает вопрос – почему нет роли ManageAllUsers ??

Просмотр 4 веток ответов
  • Для ответа в этой теме необходимо авторизоваться.