คำถามติดแท็ก root

พวกเราบางคนใน บริษัท ของฉันมีสิทธิ์เข้าถึงรูทบนเซิร์ฟเวอร์ที่ใช้งานจริง เรากำลังมองหาวิธีที่ดีที่จะทำให้มันยิ่งชัดเจนเมื่อเราได้ ssh'd ใน ความคิดบางอย่างที่เรามีคือ: พรอมต์สีแดงสด ตอบปริศนาก่อนรับเปลือก พิมพ์คำแบบสุ่มก่อนรับเชลล์ พวกคุณใช้เทคนิคอะไรในการสร้างความแตกต่างให้กับระบบการผลิต

135 linux  root 

เราเพิ่งได้เซิร์ฟเวอร์ใหม่ของเราและเรากำลังใช้งาน CentOS กับพวกเขาทั้งหมด หลังจากติดตั้ง Ruby Enterprise Edition เรียบร้อยแล้วตอนนี้ฉันต้องการเพิ่ม/usr/lib/ruby-enterprise/binไดเรกทอรีREE / bin (อยู่ที่) เพื่อให้เป็นล่ามทับทิมเริ่มต้นบนเซิร์ฟเวอร์ ฉันได้ลองทำสิ่งต่อไปนี้แล้วซึ่งเพิ่มมันลงในเซสชั่นเชลล์ปัจจุบันเท่านั้น: export PATH=/usr/lib/ruby-enterprise/bin:$PATH สิ่งที่จะเป็นแนวทางที่ถูกต้องอย่างถาวรเพิ่มไดเรกทอรีนี้ถึง $ เส้นทางสำหรับผู้ใช้ทุกคน ขณะนี้ฉันเข้าสู่ระบบในฐานะ root ขอบคุณล่วงหน้า!

84 centos  configuration  shell  root  path 

มีวิธีใดที่จะทำให้ syadmin ที่มีประสบการณ์ในการทำงานโดยไม่ให้เขาเข้าถึงรูททั้งหมด คำถามนี้มาจากมุมมองของการปกป้องทรัพย์สินทางปัญญา (IP) ซึ่งในกรณีของฉันเป็นไฟล์รหัสและ / หรือการกำหนดค่าทั้งหมด (เช่นไฟล์ดิจิตอลขนาดเล็กที่คัดลอกได้ง่าย) ซอสสูตรลับของเราทำให้เราประสบความสำเร็จมากกว่าขนาดที่เราแนะนำ ในทำนองเดียวกันเราถูกกัดครั้งหนึ่งอายสองครั้งจากอดีตพนักงานไร้ยางอาย (ไม่ใช่ผู้ดูแลระบบ) ที่พยายามขโมยทรัพย์สินทางปัญญา ตำแหน่งของผู้บริหารระดับสูงนั้นโดยทั่วไปแล้ว "เราเชื่อมั่นผู้คน แต่เพื่อผลประโยชน์ของตนเองไม่สามารถเสี่ยงต่อการให้บุคคลใดบุคคลหนึ่งเข้าถึงได้มากกว่าที่พวกเขาต้องการอย่างแท้จริง" ในด้านนักพัฒนาการแบ่งเวิร์กโฟลว์และระดับการเข้าถึงค่อนข้างง่ายซึ่งผู้คนสามารถทำงานได้อย่างมีประสิทธิภาพ แต่จะเห็นเฉพาะสิ่งที่พวกเขาต้องการเห็นเท่านั้น เฉพาะคนอันดับต้น ๆ (เจ้าของ บริษัท จริง) เท่านั้นที่มีความสามารถในการรวมส่วนผสมทั้งหมดและสร้างซอสพิเศษ แต่ฉันไม่สามารถหาวิธีที่ดีในการรักษาความลับ IP นี้ในด้านผู้ดูแลระบบ Linux เราใช้ประโยชน์อย่างกว้างขวางของ GPG สำหรับรหัสและไฟล์ข้อความที่มีความละเอียดอ่อน ... แต่สิ่งที่จะหยุดผู้ดูแลระบบ (เช่น) ผู้ใช้และกระโดดขึ้นไปบนเซสชั่น tmux หรือ GNU Screen ของพวกเขาและดูว่าพวกเขากำลังทำอะไร (เรายังปิดการใช้งานอินเทอร์เน็ตทุกที่ที่อาจเข้ามาติดต่อกับข้อมูลที่ละเอียดอ่อน แต่ไม่มีอะไรสมบูรณ์แบบและอาจมีช่องเปิดสำหรับ sysadmins ที่ฉลาดหรือมีข้อผิดพลาดในด้านผู้ดูแลระบบเครือข่ายหรือแม้กระทั่ง USB เก่า ๆ แน่นอนมาตรการอื่น ๆ อีกมากมายในสถานที่ …

66 linux  security  root 

มีความแตกต่างระหว่างการทำงานอย่างเข้มข้นมากกว่า sudo ด้วยคำสั่งต่อไปนี้หรือไม่: nice sudo [คำสั่งแบบเข้มข้นที่นี่] sudo nice [คำสั่งแบบเข้มข้นที่นี่] BTW นี่สำหรับ Linux 3.x

53 linux  root  process-priority 

ทุกครั้งที่ฉันได้รับคำขอแปลก ๆ เพื่อให้การสนับสนุนระยะไกลการแก้ไขปัญหาและ / หรือการปรับแต่งประสิทธิภาพในระบบ Linux บริษัท ขนาดใหญ่มักมีขั้นตอนที่กำหนดไว้แล้วอย่างดีในการให้การเข้าถึงระยะไกลแก่ผู้ขาย / ซัพพลายเออร์และฉันต้องปฏิบัติตามนั้น (ให้ดีขึ้นหรือแย่ลง.) ในทางกลับกัน บริษัท ขนาดเล็กและบุคคลทั่วไปหันมาหาฉันเพื่อสอนพวกเขาด้วยสิ่งที่พวกเขาต้องทำเพื่อจัดตั้งฉันขึ้นมา โดยทั่วไปแล้วเซิร์ฟเวอร์ของพวกเขาจะเชื่อมต่อโดยตรงกับอินเทอร์เน็ตและมาตรการรักษาความปลอดภัยที่มีอยู่ประกอบด้วยค่าเริ่มต้นสำหรับการแจกจ่าย Linux ของพวกเขา เกือบทุกครั้งที่ฉันจะต้องเข้าถึงระดับรูทและใครก็ตามที่จะตั้งค่าการเข้าถึงสำหรับฉันไม่ใช่ผู้เชี่ยวชาญระบบ ฉันไม่ต้องการรหัสผ่านรูทของพวกเขาและฉันก็ค่อนข้างแน่ใจว่าการกระทำของฉันจะไม่เป็นอันตราย แต่ฉันควรให้คำแนะนำง่ายๆอะไรกับ: ตั้งค่าบัญชีและแลกเปลี่ยนข้อมูลรับรองอย่างปลอดภัย ตั้งค่าการเข้าถึงรูท (sudo) จำกัด การเข้าถึงบัญชีของฉัน ให้หลักฐานการตรวจสอบ (และใช่ฉันรู้และเตือนลูกค้าเหล่านั้นเสมอว่าเมื่อฉันมีการเข้าถึงของผู้ดูแลระบบการซ่อนการกระทำที่เป็นอันตรายใด ๆ เป็นเรื่องเล็กน้อย แต่สมมติว่าฉันไม่มีอะไรจะซ่อนและมีส่วนร่วมในการสร้างหลักฐานการตรวจสอบ) สิ่งที่สามารถปรับปรุงได้ในขั้นตอนด้านล่าง ชุดคำสั่งปัจจุบันของฉัน: ตั้งค่าบัญชีและแลกเปลี่ยนข้อมูลรับรองอย่างปลอดภัย ฉันให้แฮชรหัสผ่านและขอให้บัญชีของฉันได้รับการตั้งค่าด้วยรหัสผ่านที่เข้ารหัสดังนั้นเราไม่จำเป็นต้องส่งรหัสผ่านแบบข้อความที่ชัดเจนฉันเป็นคนเดียวที่รู้รหัสผ่านและเราไม่ได้เริ่มด้วย รหัสผ่านที่คาดเดาได้ยาก sudo useradd -p '$1$********' hbruijn ฉันให้คีย์สาธารณะ SSH (คู่คีย์เฉพาะต่อลูกค้า) และขอให้พวกเขาตั้งค่าบัญชีของฉันด้วยคีย์นั้น: sudo su - hbruijn mkdir -p …

51 linux  security  sudo  root  audit 

อูบุนตู touch: ไม่สามารถสัมผัส `/var/run/test.pid ': ปฏิเสธการอนุญาต ฉันเริ่ม start-stop-daemon และต้องการเขียนไฟล์ PID ใน / var / run start-stop-daemon ถูกเรียกใช้เป็น my-program-user การตั้งค่า / var / run คือรูทราก drwxr-xr-x 9 ฉันชอบที่จะหลีกเลี่ยงการวางโปรแกรมผู้ใช้ของฉันลงในกลุ่มรูท

51 ubuntu  permissions  root  pid 

ในทีมของเราเรามี Linux sysadmins สามรุ่นที่ต้องดูแลเซิร์ฟเวอร์ Debian ไม่กี่โหล ก่อนหน้านี้เราทำงานเป็นรูทโดยใช้การตรวจสอบสิทธิ์กุญแจสาธารณะของ SSH แต่เรามีการสนทนากันว่าอะไรคือวิธีปฏิบัติที่ดีที่สุดสำหรับสถานการณ์นั้นและไม่เห็นด้วยกับสิ่งใด คีย์สาธารณะ SSH ของทุกคนจะถูกใส่ใน ~ root / .ssh / authorized_keys2 ข้อได้เปรียบ: ใช้งานง่ายการส่งต่อตัวแทน SSH ทำงานได้ง่ายค่าใช้จ่ายเล็กน้อย ข้อเสีย: การตรวจสอบที่ขาดหายไป (คุณไม่เคยรู้เลยว่า "ราก" ใดทำการเปลี่ยนแปลง) อุบัติเหตุมีแนวโน้มมากขึ้น ใช้บัญชีส่วนตัวและsudo ด้วยวิธีนี้เราจะเข้าสู่ระบบด้วยบัญชีส่วนบุคคลโดยใช้กุญแจสาธารณะของ SSH และใช้sudoเพื่อทำงานเดี่ยวด้วยสิทธิ์ระดับรูท นอกจากนี้เราสามารถให้กลุ่ม "adm" ที่ทำให้เราสามารถดูไฟล์บันทึกได้ ข้อได้เปรียบ: การตรวจสอบที่ดีsudoทำให้เราไม่สามารถทำสิ่งที่งี่เง่าได้ง่ายเกินไป ข้อเสีย: ตัวแบ่งการส่งต่อตัวแทน SSH มันเป็นเรื่องยุ่งยากเพราะแทบจะทุกสิ่งสามารถทำได้โดยไม่ต้องรูท ใช้ผู้ใช้ UID 0 หลายคน นี่เป็นข้อเสนอที่ไม่เหมือนใครจากหนึ่งใน sysadmins เขาแนะนำให้สร้างผู้ใช้สามคนใน / etc …

40 linux  root 

บนกล่องลินุกซ์ฉันจะแสดงรายการผู้ใช้ทั้งหมดที่มีระดับรากที่ดีกว่าได้อย่างไร

35 linux  root  users 

ฉันเคยได้ยินบ่อยๆว่าดีกว่าที่จะรูทมากกว่าเข้าสู่ระบบโดยตรงในฐานะผู้ใช้รูท (และแน่นอนว่าผู้คนก็บอกว่ามันดีกว่าที่จะใช้ sudo) ฉันไม่เคยเข้าใจเลยว่าทำไมคน ๆ หนึ่งถึงดีกว่าคนอื่น

33 linux  login  sudo  root 

เมื่อฉันพยายามตั้งrootรหัสผ่าน: root@OpenWrt:~# passwd Changing password for root Enter the new password (minimum of 5, maximum of 8 characters) Please use a combination of upper and lower case letters and numbers. ดูเหมือนว่าความยาวสูงสุดคือ 8 ถ้าฉันพยายามตั้งรหัสผ่านที่ยาวกว่า 8 ตัวอักษร 8 ตัวแรกเท่านั้นที่ถูกต้อง ฉันจะตั้งรหัสผ่านที่ยาวขึ้นได้rootอย่างไร รุ่น OpenWrt ของฉัน: Linux OpenWrt 4.14.108 #0 SMP Wed Mar 27 21:59:03 …

29 linux  password  root  openwrt  passwd 

ฉันมักจะเปิดไฟล์เป็นกลุ่มทำการเปลี่ยนแปลงบางอย่างและเมื่อถึงเวลาบันทึกไฟล์เป็นแบบอ่านอย่างเดียว .. (เป็นของผู้ใช้คนอื่น) ฉันกำลังมองหาเคล็ดลับเกี่ยวกับวิธีที่ฉันสามารถเปิดไฟล์ในฐานะที่เป็นรูทและเก็บการเปลี่ยนแปลงของฉันโดยไม่บันทึกเป็นไฟล์ชั่วคราวเพื่อคัดลอกหรือแก้ไขในฐานะรูท

28 sudo  root  vim  vimrc 

ใน cPanel เมื่อฉันเข้าสู่ระบบในฐานะ root และพิมพ์ "mysql" โดยไม่มีชื่อโฮสต์และรหัสผ่านมันทำให้ฉันสามารถเข้าถึงผู้ใช้ root ของ mysql ได้โดยตรง ฉันต้องการทำสิ่งนี้สำหรับเซิร์ฟเวอร์ที่ไม่ใช่ cpanel ของฉันซึ่งผู้ใช้รูทลินุกซ์ได้รับรหัสผ่านเข้าสู่ระบบน้อยกว่าผู้ใช้รูท mysql ในลักษณะเดียวกับที่ทำบน cPanel เป็นไปได้ไหม

28 linux  mysql  security  password  root 

เมื่อไม่นานมานี้ฉันได้ให้รหัสผ่านรูทดังนั้นฉันจึงสามารถเข้าสู่ระบบในฐานะรูทและทำสิ่งต่าง ๆ ได้ ตอนนี้ฉันต้องการปิดใช้งานการเข้าสู่ระบบรูทเพื่อเพิ่มความปลอดภัยเนื่องจากฉันจะเปิดเผยบริการของฉันกับอินเทอร์เน็ต ฉันเห็นหลายวิธีในการทำเช่นนี้ ( sudo passwd -l rootเล่นซอ/etc/shadowและอื่น ๆ ) แต่ไม่มีที่ไหนเลยที่บอกว่าวิธีที่ดีที่สุด / เหมาะสมที่สุดในการทำคืออะไร ฉันทำไปแล้วsudo passwd -l rootแต่ฉันเห็นคำแนะนำที่บอกว่าสิ่งนี้อาจส่งผลต่อสคริปต์เริ่มต้นและไม่ปลอดภัยเท่าที่ดูเนื่องจากยังคงขอรหัสผ่านหากคุณพยายามเข้าสู่ระบบแทนที่จะแบนการปฏิเสธการเข้าถึง ดังนั้นวิธีที่จะบรรลุเป้าหมายนั้นคืออะไร? แก้ไข: เพื่อชี้แจงนี้มีไว้สำหรับการเข้าสู่ระบบในท้องถิ่นเป็นราก ฉันได้ปิดการใช้งานการเข้าสู่ระบบจากระยะไกลผ่าน SSH แล้ว แม้ว่าการพยายามเข้าสู่ระบบในฐานะรูทบน SSH ยังคงถามรหัสผ่านของรูท (ซึ่งมักจะล้มเหลว) มันแย่ใช่ไหม

27 login  root 

ฉันเพิ่งวิ่งนี้ไม่กี่วินาทีที่ผ่านมา ฉันจัดการที่จะทำCtrl- Cทันทีที่ฉันตระหนักถึงสิ่งที่ฉันเริ่มทำ /binเพื่อให้ห่างไกลไดเรกทอรีเท่านั้นก็เริ่มจะผ่านคือ ฉันกลัวที่จะทำอะไรอย่างอื่น จนถึงตอนนี้ฉันก็รู้ว่าฉันไม่สามารถใช้suเป็นผู้ใช้ปกติของฉันได้อีกต่อไป โชคดีที่ฉันยังมีรูทเทอร์มินัลอื่นเปิดอยู่ ฉันจะทำอย่างไร

26 linux  ubuntu  root  chown 

ฉันพยายามเขียนสคริปต์ทุบตี (ใน Ubuntu) ที่จะสำรองข้อมูลไดเรกทอรีโดยใช้ tar ฉันจะตรวจสอบในสคริปต์เพื่อให้สามารถทำงานในฐานะ root (หรือด้วย sudo) ได้อย่างไร ตัวอย่างเช่นหากผู้ใช้เรียกใช้สคริปต์ควรบอกว่าสคริปต์นี้จะต้องทำงานด้วยสิทธิ์ sudo แล้วออกจาก หากสคริปต์ทำงานเป็นรูทสคริปต์จะดำเนินการผ่านการตรวจสอบต่อไป ฉันรู้ว่าต้องมีวิธีแก้ปัญหาที่ง่ายฉันไม่สามารถค้นพบได้โดย googling

26 bash  scripting  root  permissions