Nadanie praw roota, ale bezpiecznie

[heklind]

witam, nie jestem zbyt ograny w linuxie, probowalem zainstalowac serwer maila, postfix + dovecot i nic z tego 2wie noce na marne, pojawila sie osoba ktora zaproponowala darmowa pomoc, tj skonfiguruje mi serwer ale potrzebuje roota. Wytlumaczylby mi ktos krok po kroku jak stworzyc dla niego konto i nadac prawa roota tak a zeby mogl robic to co trzeba, a jednoczesnie nie mogl mi ukrasc serwera?? tj narobic strasznych szkód w sensie zmienic haslo mojego konta itd.

Waidomo wiaze sie to z ryzykiem, ale prosze o wyjscie, takie aby jak najlepiej ograniczyc to ryzyko i zminimalizowac ewentualne szkody, pozdrawiam i licze na pomoc

[Paweł Kraszewski]

Niestety, nie da się zrobić konta "trochęroota". Uprawnienia są zerojedynkowe. Albo człowiekowi ufasz, i dajesz mu roota, albo nie ufasz i każesz spadać na drzewo. Nie ma pomiędzy. Druga opcja - siada koło Ciebie i mówi, co masz pisać i dlaczego, bez prawa dotknięcie klawiatury.

[roobal]

Niestety, nie da się zrobić konta "trochęroota".

Jak nie, jak tak? A od czego jest sudo?

@heklind, instalujesz sudo i nadajesz tylko potrzebne uprawniania, bo jak dasz pełny dostęp, to tak jakbyś stworzył kolejne konto roota i gość będzie miał możliwość nie tylko zmiany hasła samego roota, ale przejęcie serwera, jeśli zakładasz taką opcję.

Na temat konfiguracji sudo poczytasz sobie chociażby w tych artykułach, miłej lektury.

--> http://jakilinux.org/pierwsze-kroki/konto-roota/sudo/
--> http://jakilinux.org/administracja/tajniki-pliku-sudoers/
--> http://www.gentoo.org/doc/pl/sudo-guide.xml
--> http://dug.net.pl/tekst/63/przewodnik_po_sudo/

[heklind]

dziekuje, poczytam, ale chyba podejme jeszcze jedna probe sam zanim rzczywiscie powierze to komus

[Paweł Kraszewski]

Jak nie, jak tak? A od czego jest sudo?

Oczywiście. Ją jeszcze reguły GRSEC, polityki SELinuksa i pewnie parę innych mechanizmów.

Ale (z całym szacunkiem) nie widzę kolegi heklinda przygotowującego regułkę sudo umożliwiającą edytowanie plików konfiguracyjnych poczty z niezawodnym zablokowaniem w dopuszczonym edytorze możliwości otwarcia i edycji innych plików (choćby sudoers) tudzież zablokowanie dodania do konfiguracji programu pocztowego jakiejś operacji obchodzącej zabezpieczenia.

Mimo, że od ponad 10 lat siedzę w security&forensic (a może właśnie dlatego), w życiu nie podjąłbym się przygotowania takiego wejścia do systemu... A jeżeli byłbym zmuszony (pod bronią chyba), to raczej polisami SELinuksa niż sudo...

[heklind]

dlatego sam tym bardziej nie mam co myslec, dzieki za uswiadomienie mi sytuacji

[roobal]

pkraszewski, nie obiecywałem, że to będzie łatwe

[Paweł Kraszewski]

roobal: heklind po osiągnięciu wymaganego do tego rozwiązania poziomu prawdopodobnie  nie potrzebował już by pomocy przy serwerze pocztowym