alt linux сервер как отключить рута и наоборот дать доступ пользователю из wheel к веб-морде?

Если ты им не пользуешься значит у тебя есть регулярная учётная запись с возможностью повышения привилегий. Что, в свою очередь, означает что ты можешь менять пароль рута каждый раз при необходимости его использовать.

Кроме того, у тебя может совпадать твой пароль и пароль рута. Причина проста, утечка твоего пароля с соотв. доступом мало отличается от утечки пароля рута.

Кроме того, вход именно под рутом - неприемлем

Чем это отличается от входа с последующим повышением привилегий? Хотя я также предпочитаю не использовать вход от рута.

Я не очень понимаю проблемы — на других машинах другой дистрибутив, там другие программы.

А нет, wine он не управляет, погорячился.

кстати файл /etc/ahttpd/acl.conf пустой, на какую директорию ссылаться то?

Про это тебе говорил Aceler

Бл, отлегло…

Не так

Все всюду входят по ключу если это возможно. Если нужен пароль то он генерится и забивается внутрь проги (почтового клиента или там самбы). Для входа по SSH используется только ключ, по паролю войти невозможно никуда в принципе. осле входа под собой по ключу можно использовать какой угодно свой пароль хоть простой для повышения привелегий. Идея простая - никто не знает ничьих паролей кроме своего собственного. Если пароль забывается, он меняется, верно, но входить под рутом на морду будет плохо тем, что один пароль на всех кому нужно.

Я спрашиваю про стандартизацию. В других дистрах достаточно одного пакетного менеджера чтобы выполнить ВСЕ задачи, в альте получается чтобы посмотреть список из уже установленных нужно использовать rpm. Зачем то убрали apt.

Слава яйкам. Я уже представил как он тянет виндовую дребедень из Шоколадки и к ней вайн впридачу.

входить под рутом на морду будет плохо тем, что один пароль на всех кому нужно.

И здесь мы сталкиваемся со следующей проблемой: alt linux сервер как отключить рута и наоборот дать доступ пользователю из wheel к веб-морде? (комментарий)

И сразу перестаем решать проблемы которых нет, я ему ниже ответил.

Ну и отлично. Даёшь ему любой пароль на его вкус а в ssh запрещаешь вход по паролям.

Правильно, но мне нужно чтобы это был НЕ рут. Чтобы он под собой вошел, потому что может быть еще второй человек, мало ли что (масштабируемость и расширяемость). Я не хочу вообще использовать рутовый пароль, ни запоминать не тем более записывать. Вот главная вешь - каждый человек знает только свой пароль и все. В винде это ну наверное с 2000, в линуксах чет как то кто в лес кто по дрова хотя идея правильная и нужная.

В других дистрах достаточно одного пакетного менеджера чтобы выполнить ВСЕ задачи

Нет. Во всех дистрах пакетный менеджер отдельно, надстройка отдельно. В федоре dnf поверх rpm, в suse zypper поверх rpm, в дебиане/убунте/минте и прочих производных apt поверх dpkg.

Зачем то убрали apt.

Не «убрали», а не добавляли. Apt использует несовместимую версию libapt.

клиент ансибля запускается инитом от рута без вских паролей и все ок.

Не, ну в доменных системах это имеет смысл. И то, что ahttpd не поддерживает группы, а, следовательно, доменные роли — это недостаток ahttpd, я бы оформил фичареквест.

в убунте список установленных пакетов тож через dpkg –list

Мне по прежнему не нравится что я не вижу как возможно решить эту ситуацию: alt linux сервер как отключить рута и наоборот дать доступ пользователю из wheel к веб-морде? (комментарий)

А что добавили то? чем я заменю apt --installed не прибегая к чему то стороннему (от apt-*)?

Бл, apt-* это изначальная форма программы. А apt это позднейший новодел.

1. Отключение морды
2. Битье морды террористу

Лично я всегда подразумеваю что внутри организации террористов нет, а если появится, то это недоработка отдела кадров и приступаем к п 2.

Так это же доменные админы, они и так имеют рута в системе через sudoers.

ahttpd не поддерживает группы

Ну это значит что при добавлении каждого нового «одмина» придется вносить его в этот список на КАЖДОМ компе где эта морда стоит. а компов этих может быть сотни. Отличное решение, уровня 1993 года. Можно конечно запилить ансибл вот ровно для этой задачи, но всеравно плохо, потому что в винде этот вопрос решался через группы уже хрен знает сколько лет. Ладно у меня другой вопрос - /etc/ahttpd/acl.conf пустой и там нет ссылок на директорю где эта морда, какая она должна быть?

Ну это значит что при добавлении каждого нового «одмина» придется вносить его в этот список на КАЖДОМ компе где эта морда стоит. а компов этих может быть сотни.

Я так и написал. Увы.

Ладно у меня другой вопрос - /etc/ahttpd/acl.conf пустой

Не может быть. Там должен быть комментарий:

$ sudo cat /etc/ahttpd/acl.conf
[sudo] password for aceler:
#access control lists
#format: uri	user1,user2,user3

и там нет ссылок на директорю где эта морда, какая она должна быть?

Какая морда, где морда? Пользователей впиши.

В винде это ну наверное с 2000, в линуксах чет как то кто в лес кто по дрова хотя идея правильная и нужная.

В Cockpit можно зайти обычным пользователем, поддерживается sudo для повышения привилегий. Так что где-то уже сделали нормально.

#access control lists
#format: uri user1,user2,user3

Все верно, но там написано кроме пользователей нужно указать путь. Путь к чему?

К модулю alterator. Это тот путь, который ты видишь в адресной строке браузера.

https://<имя сервера> <имя юзера>

(не помогло)

Или нужно указать порт/убрать https?

Ну ты сделай доступ хотя бы к одному модулю, да посмотри, чего гадать-то ;-)

/datetime/system	root,aceler

чего гадать-то

Вот это пути локальные оказывается. Я об этом и спрашивал.

но вот так

/ <user> тоже не помогает. А мне нужно на все доступ а не отдельные модули.

я не вижу как возможно решить эту ситуацию

В списке пользователей рута нет. Даже под самим рутом.

Во-первых, то что ты споришь фразой «я ему пароль выключил — теперь под ним не зайти» с утверждением «можно запретить под ним заходить, а не выключить его».

Во-вторых, то что «ключ генерируется» не руту, а пользователю который под ним заходить должен. Руту (или любому другому) добавляется открытая часть этой криптопары.

В-третьих, выше уже сказали, но я повторю: «не ставить пароль и не добавлять руту никаких ssh ключей» безопасность не повышает ни на йоту, а только лишает тебя возможности в случае, если LDAP-сервер (или DC) отвалится, зайти под ним автономно и восстановить сломавшееся. Если пользователю доступно sudo -i, он ничем (с точки зрения кражи пароля или ssh ключа) не отличается от рута.
Ходить, да, каждый должен под собой, но это не значит что в DRP не должно быть строчки «в сейфах X и Y флешки с доступом к серверам на случай гибели всех айтишников в организации».

Тебе объясняют, что админ которому надо в вебморду зайти, может сделать

ssh ivanov@server
sudo passwd root

Зайти под рутом в браузере, сделать свои дела, а затем снова выключить пароль рута.

Другому админу, когда он вебмордой воспользоваться захочет, тоже можно

ssh petrov@server
sudo passwd root

Да, это так себе идея, но ограничение в альтераторе никак не может привести к «один пароль на всех кому нужно». Если админы хоть на чуть-чуть голову включат.

А мне нужно на все доступ а не отдельные модули.

Оформи фичереквест, я поддержу.

А пока — так.

P.S. Я не являюсь сотрудником ООО Базальт СПО, если что.

только лишает тебя возможности в случае, если LDAP-сервер (или DC) отвалится, зайти под ним автономно и восстановить сломавшееся

init=/bin/bash, mount -o remount,rw /

Проблема-то.

То, что человек хочет, действительно имеет смысл в крупных организациях. И я, как повнедрявший в таких организациях, его понимаю. Буду доносить до разработчиков альта, что это надо.

init=/bin/bash, mount -o remount,rw /

Это если целевой сервер упал. А если он работает, много ситуаций можно придумать когда быстрее и не хуже под рутом сходить по ssh.

То, что человек хочет, действительно имеет смысл в крупных организациях.

И в маленьких имеет смысл, если айтишников больше двух человек.

Это если целевой сервер упал.

Если на целевом сервере отвалились LDAP и при этом нет кешированных данных в SSS, то он всё равно что упал, зачем он тогда нужен ;-)

И в маленьких имеет смысл, если айтишников больше двух человек.

А если к ahttpd ещё и Kerberos прикрутить, ммм.

Skull, можно тебя присоединить к обсуждению?

Долго и геморно, либо забудут выключить либо сменить пароль когда надо войти. Я хочу сделать ИМ удобно и быстро, мне самому не нужно вообще от слова совсем, писал же.

Оформи фичереквест, я поддержу.

Не умею этого делать, никогда не делал раньше ни для каких софтов. Кроме того я человек простой, не умею рассусоливать, все что могу написать примерно «Сделайте так чтобы в вебморду можно было заходить не из под рута а из под юзера, а доступно им было все то что и руту.» Скопируй им им туда, спасибо тебе тогда.

А если к ahttpd ещё и Kerberos прикрутить

НА мой взгляд хватило и просто возможности добавить группу из домена, которую берет не ahhtpd а хоть бы и сам комп через sssd. Но именно группу. Потому что тут надо учитывать не только величину организации а еще и смену персонала (кто пришел и кто ушел). Но идея насчет отдельных модулей у нас в России НЕ приживется это в AD есть такое деление типа админ сугубо бэкапов например и больше ему ничего недоступно да и не надо. У нас не так у нас все занимаются всем, потому что иначе в отпуск никто уйти не сможет а если уволится так вообще гевалт.

зачем он тогда нужен

Для нгинкса. Веб приложения работают, а по ssh зайти не получается.

Камон, я говорил о том, что не давать никому (и себе) рутовый пароль/ключ ни разу не менее безопасно, чем отключать руту вход.
А ты из меня ситуации вытаскиваешь, когда оно пригодиться может. Опечатался ты при установке своего пароля, или токен с закрытым ключом сломал. Машина тебя сбила, и другому чуваку надо себе учетную запись создать/повысить в правах. Что, ради этого сервисы останавливать?

Да. Зато «раздавать всем один пароль» не надо. А там, глядишь, запилят в вебморде нужную тебе фичу.

А если сам хочешь сделать — возмьи исходники и сделай. Это только приветствуется. Но ты же и фичреквест не хочешь оформить, и на варианты как можно выкрутиться здесь и сейчас стучишь ножками «нам неудобно».

У нас не так у нас все занимаются всем, потому что…

организоваться не умеем. FTFY
Не в упрёк тебе, сам через это проходил. Просто не раздувай из мухи слона. Надо выдохнуть и посмотреть какая причина процессы в хаос превращает, а дальше работать в сторону её устранения.

сохранить его

Где? я его забуду послезавтра, а хранение паролей на бумажках и в файлах это умственная осталость.

Умственная осталость это что-то из «остаток ума»? Похоже это как раз про вас.

ты из меня ситуации вытаскиваешь, когда оно пригодиться может. Опечатался ты при установке своего пароля, или токен с закрытым ключом сломал. Машина тебя сбила, и другому чуваку надо себе учетную запись создать/повысить в правах.

А вот для этого как раз нужен домен. Чтобы доменный админ (их минимум двое, на случая сбития трамваем) мог перенастроить пароли и группы нужным людям, а ненужным доступ отключить.

В общем, ситуация «локальный рут не нужен» — это жизненная ситуация, даже если пароль у рута есть и ты его спрятал и хорошенько забыл. А ситуация «сервер с нджинком работает, но по ssh доступа нет, потому что отвалился домен» — требует немедленной реакции в любом случае, потому что это подозрение на взлом со всеми вытекающими. И машину в любом случае останавливать.

Перечислите все модули.

ситуация «локальный рут не нужен» — жизненная

С этим и не спорю. ИМХО локальный рут нужен только для восстановления после катастрофы. Всё остальное — под личными учётками персонала.

требует немедленной реакции в любом случае, потому что это подозрение на взлом со всеми вытекающими. И машину в любом случае останавливать.

Могу назвать разных ситуаций, когда нет. Большая часть из них — ССЗБ, но от сумы и от тюрьмы, как говорится. Поэтому, чтобы не попасть в ситуацию, когда на сервер не попасть ни удалённо ни физически: «локальный рут нужен, но пользоваться им нельзя».

Поэтому, чтобы не попасть в ситуацию, когда на сервер не попасть ни удалённо ни физически: «локальный рут нужен, но пользоваться им нельзя».

В крупных компаниях такая политика конфликтует с политикой безопаности. Третий помощник младшего сисадмина главного бухгалтера начальника отдела закупок второго планового отдела может нарушить запрет на 1386-м сервере с nginx-ом, и никто этого не заметит.

А поскольку он ходит под рутом, он может и логи подчистить, и руткит посадить и вообще много чего — и вот уже корпоративные секреты утекают с этого сервера к конкурентам.

Ну и плюс, ТС-у такая политика ничем не поможет, в альтератор сегодня можно попасть только или рутом, или в отдельные модули указанным пользователям, если рут разрешил.

Я уже не говорю о том, что в крупных компаниях, опять же, есть централизованное управление и бекапы, поэтому, если вдруг сервер не отвечает, проще за пару минут накатить новый, скинуть туда данные с бекапа, а этот сжечь.

Третий помощник может нарушить запрет

Эмм… у нас недопонимание где-то. Откуда он root добудет?

Если у vivanov@server может сделать sudo -i — он может сделать что хочет. А если у него набор прав ограничен, как он для root@server пароль поставить сможет?

Я уже не говорю о том, что в крупных компаниях

И правильно, ибо ТС писал:

у нас все занимаются всем, потому что иначе в отпуск никто уйти не сможет а если уволится так вообще гевалт.

Что говорит в пользу некрупной компании.

Ну и плюс, ТС-у такая политика ничем не поможет

На лоре пора древовидные комментарии вводить. Ветка диалога, в которой вы пишете, началась с того, что он рута отключает «ради безопасности», чтобы «каждый ходил под своей учёткой». На что я ему сказал, что он лишь запрещает интерактивный вход, но безопасность это не повышает, ибо можно положить ему ключ, закрытую часть которого в яйцо, которое скормить утке, утку — зайцу. Можно и пароль ему поставить сложный, который в то же яйцо запихать. Разбивать яйцо только в экстренной ситуации, а весь этот театр с passwd -l разбивается как только кто-то из персонала может сделать passwd -u.
Где вы тут увидели заявление о необходимости работать под рутом или отсутствию потребности входить в веб-морду альтератора под регулярной учёткой - в душе не знаю. Я бы поспорил о нужности веб-морды как таковой, ибо «в крупной компании» деплой автоматизирован, а технарь неспособный в CLI до сервера не допускается.