Re: separació n de privilegios
El vie, 15 de sep de 2006, a las 08:20:22 +0200, Christian Pinedo Zamalloa dijo: hola, me enfrento a un problema que no se cómo abordar. Hasta hace poco un servidor Debian que ahora he empezado a gestionar tenía la mala costumbre de que casi todos los usuarios del mismo (o por lo menos un grupo de hasta unos 8) tenían la contraseña de root para administrarlo. Desde que es mi responsabilidad intento limitar el uso de root pero hay power users que se me sublevan (x-D) y exigen sus privilegios de antaño. Esto es claramente un problema no-tecnico: si esos usuarios tienen el permiso para tener la contraseña, debes explicar las desventajas de algo asi, pero deberas darselo...si no: que lloren nomas Ando dándole vueltas y no se como solucionarlo. Estaría dispuesto a ofrecer una solución sudo pero quiere un sudo para casi todo... Incluso estaría despuesto, siempre y cuando no podrían modificar el sudoers, los logs en /var/log y el logrotate para comprobar periódicamente que el sudo no se les va de las manos. La cuestión es que no se si esto es posible de hacerlo con el sudo o No entiendo que es lo que preguntas si se puede hacer? si me podeis recomendar alguna herramienta de administración/seguridad que me lo permitiese ejercer SELinux, runlevels, ... Yo no he jugado mucho con estas cosas. Lo único es que no me gustaría tener que compilar un kernel específicamente para el servidor y me gustaría seguir con el precompilados de Debian. Un saludo y a ver si alguien me puede guiar un poco, -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 signature.asc Description: Digital signature
Re: separació n de privilegios
On Fri, Sep 15, 2006 at 11:20:23AM +0200, Javier Terceiro wrote: Hola. Puedes probar a definir grupos o permisos para usuarios según lo que pretendan hacer. Me explico, si quieres darle permisos para grabar a unos determinados usuarios, pues creas el grupo grabadora (por defecto es burn, creo recordar) y los agregas a dicho grupo, por lo tanto ya tendrá los permisos suficientes para poder hacer lo que pretendes. Es mas complicado para ti como administrador, pero te salvara de darles root. Y no te preocupes, es muy raro que tengas que tocar la config del kernel para administrar permisos de usuarios, aunque si es un servidor grande casi te compensaria mas un kernel propio mas optimizado, aunque eso ya es cosa de cada admin. La cuestión es que no se si voy a tener que ceder con la clave de root porque realmente se trata de un servidor muy dinámico: cuentas de ssh creandose, eliminandose, web, smtp, imap, pop, samba, ... No es el mejor plan pero no esta en mis manos. Sin embargo, me ha parecido localizar el parche LIDS para el kernel puede ser una buena solución ya que permite crear ACLs. La idea sería poner ACLs en el /home de los usuarios para que un usuarios con la contraseña de root poco ético no podría ver sus archivos ni sus mails (que se hallan en la carpeta ~/Maildir). ¿Alguien ha utilizado LIDS antes? ¿Me podría servir? ¿Hay otras herramientas similares? La idea es partiendo del principio que es muy posible que tenga que compartir la clave de root, limitar la funcionalidad de root en el sistema. Un saludo, -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
