タグ付けされた質問 「root」

私の会社の何人かは、実稼働サーバーにルートアクセスできます。私たちは、ssh'dしたときにそれを非常に明確にする良い方法を探しています。 私たちが持っていたいくつかのアイデアは次のとおりです。 明るい赤のプロンプト シェルを取得する前に謎に答える シェルを取得する前にランダムな単語を入力します 運用システムを差別化するために皆さんが使用しているテクニックは何ですか？

135 linux  root 

新しいサーバーを立ち上げ、CentOSをすべて実行しています。Ruby Enterprise Editionを正常にインストールした後、REE / bin（にある/usr/lib/ruby-enterprise/bin）ディレクトリを追加して、サーバー上のデフォルトのRubyインタープリターにします。 私は次のことを試しましたが、それは現在のシェルセッションに追加するだけです： export PATH=/usr/lib/ruby-enterprise/bin:$PATH すべてのユーザーに対してこのディレクトリを$ PATH に永続的に追加する正しいアプローチは何でしょうか。現在、ルートとしてログインしています。 前もって感謝します！

84 centos  configuration  shell  root  path 

完全なrootアクセス権を付与せずに、ベテランのLinux syadminを生産的にする方法はありますか？ この質問は、知的財産（IP）を保護するという観点から来ています。IPは、完全にコードおよび/または構成ファイル（つまり、簡単にコピーできる小さなデジタルファイル）です。私たちの秘密のソースは、私たちの小さなサイズが示唆するよりも私たちをより成功させました。同様に、私たちは、 IPを盗もうとした数人の元悪徳従業員（システム管理者ではない）から、一度は噛まれ、二度恥ずかしがります。トップマネジメントの立場は、基本的に「私たちは人々を信頼しますが、自己利益のために、絶対に仕事をするために必要な以上のアクセスを誰かに与えるリスクは許せません。 で、開発者の側、それは人々が生産することができるように、ワークフローやアクセスレベルを分割するだけで、彼らは見るために必要なもののみを表示することは比較的簡単です。最上の人々（実際の会社の所有者）だけが、すべての材料を組み合わせて特別なソースを作成する能力を持っています。 しかし、Linux管理者側でこのIPの機密性を維持する良い方法を思い付くことができませんでした。コードと機密テキストファイルにGPGを広範囲に使用しています...しかし、管理者が（たとえば）ユーザーにsu 'し、tmuxまたはGNU Screenセッションをホッピングして、彼らが何をしているのかを見ないようにするにはどうすればよいですか？ （また、機密情報と接触する可能性のあるすべての場所でインターネットアクセスが無効になっています。しかし、完璧なものはなく、賢いシステム管理者やネットワーク管理者側のミスに穴が開いている可能性があります。もちろん他にも数多くの対策が講じられていますが、それらはこの質問の範囲を超えています。） 私が思い付くことができる最高のは、基本的にパーソナライズされたアカウントを使用しているにsudoに記載されているものと同様に、ルートとして動作する複数のLinuxシステム管理者。具体的には、会社の所有者以外には、実際には直接ルートアクセス権はありません。他の管理者は、パーソナライズされたアカウントを持ち、root にsudoする機能を持ちます。さらに、リモートロギングが開始され、ログは会社の所有者のみがアクセスできるサーバーに送信されます。ロギングがオフになると、何らかのアラートが発生します。 賢いシステム管理者は、おそらくこのスキームにいくつかの穴を見つけることができます。そして、それはさておき、それはまだ積極的ではなく反応的です。私たちのIPの問題は、競合他社が非常に迅速にIPを利用し、非常に短い順序で多くの損害を引き起こす可能性があることです。 そのため、管理者ができることを制限するメカニズムの方が良いでしょう。しかし、これは微妙なバランスであることを認識しています（特に、今すぐ解決する必要がある生産上の問題のトラブルシューティングと修正の観点から）。 非常に機密性の高いデータを持つ他の組織がこの問題をどのように管理しているのでしょうか？たとえば、軍のシステム管理者：機密情報を見ることなく、サーバーとデータをどのように管理しますか？ 編集：最初の投稿で、私は表面化し始めている「雇用慣行」コメントに先手を打って対処するつもりでした。1つは、これは技術的な質問であると想定されており、雇用慣行はIMOが社会的な質問に向かっている傾向があります。しかし、2つ、私はこれを言います：私たちは人々を雇うために合理的であるすべてをしていると信じています：複数のインタビュー会社の人々; バックグラウンドおよび参照チェック。すべての従業員は、IPに関する詳細を記載したハンドブックを読んで理解したと言っているものを含め、多数の法的文書に署名しています。今、この質問/サイトの範囲外ですが、誰かが悪い俳優の100％を除外する「完璧な」雇用慣行を提案できるなら、私はすべて耳です。事実は次のとおりです。（1）完璧な採用プロセスがあるとは思わない。（2）人々は変わる-今日の天使は明日の悪魔になるかもしれない。（3）試行されたコード盗難は、この業界ではやや日常的なことのようです。

66 linux  security  root 

次のコマンドでsudoを介して集中タスクを実行するのに違いはありますか？： nice sudo [ここに集中的なコマンド] sudo nice [集中的なコマンドはこちら] ところで、これはLinux 3.x用です。

53 linux  root  process-priority 

Linuxシステムでのリモートサポート、トラブルシューティング、および/またはパフォーマンスチューニングを提供するという奇妙な要求を時々受けます。 大企業では、ベンダー/サプライヤーにリモートアクセスを提供するための手順が確立されていることがよくあり、それらに準拠する必要があるだけです。（良くても悪くても。） 一方、小さな会社や個人は、私を立ち上げるために何をする必要があるかを常に教えてくれるよう常に頼りにしています。通常、サーバーはインターネットに直接接続されており、既存のセキュリティ対策は、Linuxディストリビューションが何であれ、デフォルトで構成されています。 ほとんどの場合、ルートレベルのアクセスが必要になりますが、アクセスを設定する人はシステム管理者ではありません。ルートパスワードは必要ありません。また、自分のアクションが悪意のあるものではないと確信していますが、次のような合理的な簡単な指示を与える必要があります。 アカウントを設定し、資格情報を安全に交換します ルート（sudo）アクセスをセットアップする アカウントへのアクセスを制限する 監査証跡を提供する （はい、悪意のあるアクションを非表示にする管理者アクセス権を持っていると、クライアントに常に警告しますが、監査証跡の作成に非表示にして積極的に参加するものは何もないと仮定しましょう。） 以下の手順で何を改善できますか？ 私の現在の命令セット： アカウントを設定し、資格情報を安全に交換します パスワードハッシュを提供し、その暗号化されたパスワードでアカウントがセットアップされていることを確認します。そのため、クリアテキストパスワードを送信する必要はありません。パスワードを知っているのは私だけです。予測可能な脆弱なパスワード。 sudo useradd -p '$1$********' hbruijn 私は公開鍵SSH（クライアントごとに特定の鍵ペア）を提供し、彼らにその鍵で私のアカウントをセットアップするよう依頼します： sudo su - hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys ルート（sudo）アクセスをセットアップする クライアントにsudo sudoedit、お気に入りのエディターを使用して、または追加してsudoをセットアップし、以下に追加するよう依頼します/etc/sudoers。 hbruijn ALL=(ALL) ALL アカウントへのアクセスを制限する 通常、クライアントは引き続きパスワードベースのログインを許可/etc/ssh/sshd_configし、少なくともアカウントをSSHキーのみに制限するために、次の2行を追加するように依頼します。 Match user hbruijn …

51 linux  security  sudo  root  audit 

Ubuntu touch： `/var/run/test.pid 'にタッチできません：許可が拒否されました 私はstart-stop-daemonを起動しています。/var/runにPIDファイルを書きたいですstart-stop-daemonはmy-program-userとして実行されます / var / run設定はdrwxr-xr-x 9ルートルートです ルートグループにmy-program-userを配置しないようにします。

51 ubuntu  permissions  root  pid 

私たちのチームでは、数十人のDebianサーバーを管理しなければならない3人の経験豊富なLinuxシステム管理者がいます。以前は、SSH公開キー認証を使用して、すべてrootとして作業していました。しかし、私たちはそのシナリオのベストプラクティスについて議論しましたが、何にも同意できませんでした。 全員のSSH公開キーは〜root / .ssh / authorized_keys2に配置されます 利点：使いやすく、SSHエージェント転送が簡単に機能し、オーバーヘッドが少ない 短所：監査が欠落している（どの「ルート」が変更を行ったかがわからない） パーソナライズされたアカウントとsudoを使用する この方法では、SSH公開キーを使用してパーソナライズされたアカウントでログインし、sudoを使用してルート権限で単一のタスクを実行します。さらに、ログファイルを表示できる "adm"グループを提供することもできます。 利点：優れた監査、sudoにより、ばかげたことを簡単に行えない 欠点：SSHエージェントの転送が中断します。ルート以外でほとんど何もできないため、面倒です。 複数のUID 0ユーザーを使用する これは、システム管理者の一人からの非常にユニークな提案です。彼は/ etc / passwdに3人のユーザーを作成し、それらはすべてUID 0であるがログイン名が異なることを提案しています。彼は、これは実際には禁止されておらず、すべてのユーザーがUID 0であっても監査できることを許可していると主張しています。 利点：SSHエージェント転送の作品、監査かもしれない作業（未テスト）、なしのsudo面倒 欠点：かなり汚い-許可された方法としてどこにも文書化されていない 何を提案しますか？

40 linux  root 

Linuxボックスで、root特権を持つすべてのユーザー（さらに良いことに、rootを持っているかどうかに関係なく一般的にすべてのユーザー）を一覧表示するにはどうすればよいですか？

35 linux  root  users 

rootユーザーとして直接ログインするよりも、suでrootにした方が良いとよく耳にします（もちろん、sudoを使用した方が良いと言う人もいます）。私は、一方が他方より優れている理由を本当に理解したことはありません、洞察？

33 linux  login  sudo  root 

rootのパスワードを設定しようとすると： root@OpenWrt:~# passwd Changing password for root Enter the new password (minimum of 5, maximum of 8 characters) Please use a combination of upper and lower case letters and numbers. 最大長は8のようです。パスワードを8より長く設定しようとすると、最初の8文字のみが有効になります。長いパスワードを設定するにはどうすればよいrootですか？ 私のOpenWrtバージョン： Linux OpenWrt 4.14.108 #0 SMP Wed Mar 27 21:59:03 2019 x86_64 GNU/Linux

29 linux  password  root  openwrt  passwd 

私は頻繁にvimでファイルを開き、いくつかの変更を行い、ファイルを保存するときは読み取り専用です..（別のユーザーが所有しています）。ルートとしてファイルを再度開き、ルートとしてコピーまたは再編集するために最初に一時ファイルに保存せずに変更を保持する方法に関するヒントを探しています。

28 sudo  root  vim  vimrc 

ルートとしてログインし、ホスト名とパスワードなしで「mysql」と入力すると、cPanelでmysqlルートユーザーに直接アクセスできます。 LinuxのrootユーザーがcPanelで行うのと同じ方法でmysql rootユーザーへのパスワードなしのログオンを取得する非cpanelサーバーの1つでこれを行いたいと思います。 これは可能ですか？

28 linux  mysql  security  password  root 

しばらく前に、私はrootにパスワードを与えたので、rootとしてログインし、いくつかの作業を完了できました。私はサーブをインターネットに公開するので、セキュリティを強化するためにルートログインを無効にします。私はこれを行ういくつかの方法を見てきました（sudo passwd -l root、いじる/etc/shadowなど）が、それを行うための最良/最も賢明な方法が何であるかをどこにも言っていません。私はやったsudo passwd -l rootが、これはinitスクリプトに影響を与える可能性があり、ログインを試みるとパスワードを要求するため、アクセスを拒否するのではなく、パスワードを要求するため、安全性が低いというアドバイスを見ました。それでそれを達成する方法は何でしょうか？ 編集：明確にするために、これはルートとしてのローカルログイン用です。SSH経由のリモートログインはすでに無効にしています。SSHを介してrootとしてログインしようとすると、rootのパスワードの入力が求められます（常に失敗します）。それは悪いですか？

27 login  root 

数秒前にこれを実行しました。なんとかできましたCtrl- C自分が始めたことに気づいたらすぐに。 これまでのところ、それが通過し始めた唯一のディレクトリは/binです。 私は他のことをするのが怖いです。これまでのところ、私はsuもう通常のユーザーとして使用できないことに気付きました。 幸いなことに、私はまだ別のルート端末を開いています。私は何をしますか？

26 linux  ubuntu  root  chown 

tarを使用してディレクトリをバックアップするbashスクリプト（Ubuntuで）を作成しようとしています。 スクリプトをrootとして（またはsudoでのみ）実行できるようにチェックするにはどうすればよいですか？ たとえば、ユーザーがスクリプトを実行する場合、このスクリプトはsudo特権で実行する必要があると言ってから終了する必要があります。スクリプトがルートとして実行される場合、チェックを過ぎて続行します。 簡単な解決策がなければならないことは知っていますが、グーグルで見つけることができませんでした。

26 bash  scripting  root  permissions