タグ付けされた質問 「root」

簡単に言えば、大企業、多くのUNIX / Linuxサーバー。 数年前に残った一連のスクリプトの責任を引き継ぎました。それらの1つは、Xか月ごとに実行され、すべてのサーバーのルートパスワードをグローバルに更新するスクリプトでした。 スクリプトはシェルスクリプトとExpectの混乱であり、すべてのサーバーと中央のコマンドアンドコントロールサーバーの間にセットアップされたSSH信頼で動作します。 問題は、スクリプトが巨大な混乱だということです。Expectコマンドは、そこにあるUNIX / Linuxボックスに存在する「passwd」のすべての可能なバージョンを考慮しようとしています-それらはかなり異なります。 多くのインフラストラクチャを拡張およびアップグレードしているため、スクリプトは非常に管理しにくくなっています。 私の質問は、これを行うより良い方法はありますか？既に確立されたSSH信頼があると仮定すると、3000 +サーバーのルートパスワードを同時に変更する最良の方法は何ですか？

12 linux  ssh  unix  password  root 

私はシステム管理者です。実稼働環境では、数千のサーバーを管理する必要があります。同僚と私は中央管理サーバーを使用し、その公開キーを他のサーバーを介して配布します。したがって、この管理サーバーを使用して、他のサーバーにSSH接続できます。 サーバーがダウンしている場合など、ルートパスワードを使用する必要がある場合があります。iLOを使用して理由を判断する必要があります。 現在、共有ルートパスワードを使用しています。安全ではありません。OPIE（One-time Passwords In Everything）のような単一のサーバーソリューションも調べましたが、サーバーが非常に多いため、これはあまり良い考えではありません。 編集： パスワード管理ソリューションに必要なものは次のとおりです。 安全でなければならないので、ワンタイムパスワードは優れたソリューションです。 パスワードは簡単に入力できます。モニターをサーバーに接続するか、上記のようにiLOを使用する必要がある場合があります。 サーバーがオフラインでも（ネットワーク接続なしで）ソリューションは機能するはずです そのため、既知のコマンド（などopenssl passwd）から生成されますが、ルートパスワードを長くランダムな文字列に設定することはあまり良い考えではありません。覚えるのは難しく、時々生成するのは難しいです（ラップトップがないと）

12 linux  root  password 

sshのrootアクセスを無効にする必要があるのはなぜですか？これはセキュリティ上の理由からです。しかし、私はそれを理解していません。非ルートとしてログインすることと何が違うのsudo su -ですか？特権権限を必要とするタスクを処理するための好ましい方法は何ですか？ ありがとう トーマス

10 security  ssh  root 

df -h「/」パーティションが100％使用されていると報告します。du -hs *このパーティションの各ディレクトリで実行すると、まだ多くの領域があることが示されます。 tune2efs空きブロックが1つだけと報告されています。実行fsckされたすべてのブロックも表示されます。 ionodeの使用は、「/」パーティションで14％です。 / var、/ usr、/ dev、/ tmp、/ homeは異なるパーティションにマウントされ、それらに使用可能なスペースがあることに注意してください。 十分なスペースがある場合でも、すべてのブロックが占有され、ディスクレポートがいっぱいになる可能性のある原因を教えてください。

9 hard-drive  root  block 

これはばかげた質問のように思えるかもしれませんが、これは混乱しているように見えます。例えば： 「ルートディレクトリに移動」 次のように解釈できます： に行く / に行く~root（通常/root/） 私はsuperより良いデフォルトの管理者ユーザー名のために作られたようなものだと思います。これにより、ディレクトリ構造のあいまいさが回避されます。 もう一度：ばかげた質問ですが、私は本当に興味があります。

9 linux  user-management  root 

私はubuntu 8.04を持ってrootいて、すべてのユーザーが実行できるように実行されるbashスクリプトを書きたいと思っています。 私自身、sudoができます。 それ、どうやったら出来るの？ 明確化：ユーザーが自分のパスワードを入力する必要があるので、私はsudoでそれをしたくありません。彼らにスクリプトをrootとして実行してもらいたいのです。

9 ubuntu  permissions  sudo  root 

基本的にタイトル。私の友人は、PowershellとPuTTYを介してRHELパスワードを一括変更するスクリプトを提供してくれましたが、ログインしようとしたときに、入力した新しいパスワードが機能しません。問題は、新しいパスワードを入力しましたが、新しいパスワードがどうなるかわかりません。 私が使用した「新しいパスワード」はこれに似ていました：a1b2c3d "4e5f6g7 セキュアな文字列を通常の文字列に置き換えるか、SSHではなくtelnetを使用してパケットキャプチャを送信し、正確に何が送信されているかを確認しようとしましたが、これまでのところ機能していません。 System.Management.Automation.PSCredential -argumentlist "root",$newrootPassword $newrootPassword2 = Read-Host "Retype new root password" -AsSecureString $newrootCredential2 = new-object -typename System.Management.Automation.PSCredential -argumentlist "root",$newrootPassword2 putty.exe -ssh -pw $oldrootCredential.GetNetworkCredential().Password root@$_ echo y | plink.exe -ssh -v -pw $oldrootCredential.GetNetworkCredential().Password root@$_ "echo root:'$newrootPassword' | chpasswd" 2>&1 新しいパスワードはa1b2c3d "4e5f6g7であると思っていましたが、これはログイン時に機能しません。

8 linux  powershell  redhat  root  putty 

SSHからアクセスできるユーザーが1人だけいる（彼をfooと呼びましょう）重要な数のホストを管理し、次にrootとしてログインして特権コマンドを実行する必要があります。 Fooユーザーにはsudo権限の種類がないため、特権コマンドを実行するにはrootとしてログインする必要があります。私は実際にこのスクリプトを実行するために期待スクリプトを使用しており（sshログインとしてfoo、rootとしてsu経由でログイン）、Ansibleに切り替えたいと考えています。新しいユーザーを作成して彼にsudo権限を付与したり、基本的にfooにsudo権限を付与したりできることはわかっていますが、Ansibleで期待しているのと同じことを実行できますか？ fooとしてssh接続を行い、ルートとしてプレイブックまたは任意のアドホックコマンドを実行します。Ansibleのドキュメントにそれに関する情報は見つからなかったので、誰かがすでにこの種の尋問を受けているかどうかをここで尋ねます。

8 sudo  root  ansible  expect 

Linuxファイルシステムにファイルを書き込む必要があるのですが、後で上書き、追加、更新、削除することはできません。sudo-er、root、その他の人によるものではありません。記録管理に関する金融サービス規制FINRA 17A-4の要件を満たそうとしています。FINRA17A-4は、基本的に電子ドキュメントをWORM（1度書き込み、複数読み取り）デバイスに書き込むことを要求しています。DVDや高価なEMC Centeraデバイスを使用する必要はありません。 Linuxファイルシステムはありますか、それともSELinuxは、書き込み後すぐに（または少なくともすぐに）ファイルを完全に不変にする必要があるという要件をサポートできますか？または、誰かがLinuxのアクセス許可などを使用して既存のファイルシステムにこれを強制できる方法を知っていますか？ 読み取り専用権限と不変属性を設定できることを理解しています。しかしもちろん、私はrootユーザーがそれらの設定を解除できることを期待しています。 マウントされていない読み取り専用の小さなボリュームにデータを保存することを検討しましたが、rootはまだマウント解除でき、再度書き込み可能として再マウントできると思います。 私はスマートなアイデアを探しています。最悪のシナリオでは、これを実現するために既存のファイルシステムを「拡張」するために少しコーディングをしたいと思っています。出発点として適切なファイルシステムがあると仮定します。そして、このタイプのネットワークストレージデバイスとして機能するように注意深く構成されたLinuxサーバーを配置し、他には何もしません。 結局のところ、ファイルの暗号化も役に立ちます。

8 linux  filesystems  root  selinux  read-only 

便宜上、サーバーでrootユーザーを有効のままにしておきたいのですが、人々が（私が知っている）この考えに反対している唯一の理由は、SSHに対するブルートフォース攻撃です。 それで、SSHにはroot以外のすべてのユーザーのパスワードアクセスを有効にする方法がありますが、rootのssh-keyアクセスは許可しますか？ OS： Ubuntu Server Edition 10.04 x86 SSHバージョン： OpenSSH_5.3p1 Debian-3ubuntu7、OpenSSL 0.9.8k 2009年3月25日

8 ssh  root  ssh-keys 

リモートMySQLを動作させようとしているときに、どういうわけかrootアカウントで自分をロックアウトできました。 通常、MySQLサービスを停止してを使用して再起動します/etc/init.d/mysql --init-fileが、そうしようとすると、スクリプトがupstartジョブに変換され、「service mysql」コマンドを使用するようになっています。残念ながら、私の知る限りでは、このserviceコマンドは--init-fileオプションをサポートしていません。 rootユーザーのホストをリセットする他の方法はありますか？

8 mysql  root 

rootとして実行したくない単純な監視スクリプトにこれが必要です...

8 ubuntu  apt  root  update 

一部の機密データを処理するWebアプリケーションに取り組んでいます。セキュリティがかなり厳しくなり、マシンへのアクセスをロックダウンして、技術監査目的ですべてをログに記録するためのポリシーをレイアウトしています。 私たちが繰り返し返してくる質問は、これです。 サーバーインスタンスにはrootユーザーがいます。そのrootユーザーにはパスワードがあります。誰がこれにアクセスできますか？それは機械持つことが可能/望ましい誰もが rootアクセスを持つことができますか？ この件についてご意見をお聞かせください。

8 root  security 

rootログインを拒否するubuntuクラウドバージョンのデフォルト設定を微調整しようとしています。 このようなマシンに接続しようとすると、次のようになります。 maxim@maxim-desktop:~/workspace/integration/deployengine$ ssh root@ec2-204-236-252-95.compute-1.amazonaws.com The authenticity of host 'ec2-204-236-252-95.compute-1.amazonaws.com (204.236.252.95)' can't be established. RSA key fingerprint is 3f:96:f4:b3:b9:4b:4f:21:5f:00:38:2a:bb:41:19:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'ec2-204-236-252-95.compute-1.amazonaws.com' (RSA) to the list of known hosts. Please login as the ubuntu user rather than root user. …

8 ubuntu  security  ssh  root  cloud 

supervisordが非rootユーザーとして実行されない理由を理解するのに問題があるようです。ユーザーをjason（pid 1000）に設定して起動すると、ログファイルに次のようになります。 2010-05-24 08:53:32,143 CRIT Set uid to user 1000 2010-05-24 08:53:32,143 WARN Included extra file "/home/jason/src/tsched/celeryd.conf" during parsing 2010-05-24 08:53:32,189 INFO RPC interface 'supervisor' initialized 2010-05-24 08:53:32,189 WARN cElementTree not installed, using slower XML parser for XML-RPC 2010-05-24 08:53:32,189 CRIT Server 'unix_http_server' running without any HTTP authentication checking 2010-05-24 …

8 sudo  root  daemon  supervisord