Re: separación de privilegios
2006/9/18, Ricardo Frydman Eureka! <[EMAIL PROTECTED]>: El vie, 15 de sep de 2006, a las 08:20:22 +0200, Christian Pinedo Zamalloa dijo: > hola, > > me enfrento a un problema que no se cómo abordar. Hasta hace poco un > servidor Debian que ahora he empezado a gestionar tenía la mala > costumbre de que casi todos los usuarios del mismo (o por lo menos un > grupo de hasta unos 8) tenían la contraseña de root para administrarlo. > Desde que es mi responsabilidad intento limitar el uso de root pero hay > "power users" que se me sublevan (x-D) y exigen sus privilegios de > antaño. Esto es claramente un problema no-tecnico: si esos usuarios tienen el permiso para tener la contraseña, debes explicar las desventajas de algo asi, pero deberas darselo...si no: que lloren nomas > > Ando dándole vueltas y no se como solucionarlo. Estaría dispuesto a > ofrecer una solución "sudo" pero quiere un sudo para casi todo... > Incluso estaría despuesto, siempre y cuando no podrían modificar el > sudoers, los logs en /var/log y el logrotate para comprobar > periódicamente que el "sudo" no se les va de las manos. > > La cuestión es que no se si esto es posible de hacerlo con el "sudo" o No entiendo que es lo que preguntas si se puede hacer? > si me podeis recomendar alguna herramienta de administración/seguridad > que me lo permitiese ejercer SELinux, runlevels, ... Yo no he jugado > mucho con estas cosas. > > Lo único es que no me gustaría tener que compilar un kernel > específicamente para el servidor y me gustaría seguir con el > precompilados de Debian. > > Un saludo y a ver si alguien me puede guiar un poco, > > -- > Christian Pinedo Zamalloa > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > > -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFFDpP8kw12RhFuGy4RAgMqAJ90ng/RxBERmYomtxppK3SRoDNgkACbBgks VwH8S8ZruNky1OeltWrjA64= =DDNu -END PGP SIGNATURE- Creo que encaraste el problema alrevez. por que el cambio? tu respuesta a esta pregunta, es la que le devez dar a los ususarios. eso primero. cambiar a nivel de ussuario no significa menos derecho para hacer cosas, grabar, editar, cambiar ciertos documentos, borrar, etc si el problema es borrar una cola de spool de una impresora, le das permiso lp o cups segun sea. y asi te queda una buena administracion de seguridad. y realmente si esta bien resuelto no se tienen que dar ni cuenta. -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inutiles cronicos, yo no fui, seguro que es mas inteligente.
Re: separación de privilegios
Sinceramente haría un cambio en la politica de administración del server. ¿Podrías decir más o menos para que tareas de administración necesitan privilegios de root? es que no lo encuentro muy habitual. Yo usaria o sudos, o el bit de setuid. Depende de que tareas tengan que hacer. Saludos Sergio Pena On 9/15/06, Christian Pinedo Zamalloa <[EMAIL PROTECTED]> wrote: hola, me enfrento a un problema que no se cómo abordar. Hasta hace poco un servidor Debian que ahora he empezado a gestionar tenía la mala costumbre de que casi todos los usuarios del mismo (o por lo menos un grupo de hasta unos 8) tenían la contraseña de root para administrarlo. Desde que es mi responsabilidad intento limitar el uso de root pero hay "power users" que se me sublevan (x-D) y exigen sus privilegios de antaño. Ando dándole vueltas y no se como solucionarlo. Estaría dispuesto a ofrecer una solución "sudo" pero quiere un sudo para casi todo... Incluso estaría despuesto, siempre y cuando no podrían modificar el sudoers, los logs en /var/log y el logrotate para comprobar periódicamente que el "sudo" no se les va de las manos. La cuestión es que no se si esto es posible de hacerlo con el "sudo" o si me podeis recomendar alguna herramienta de administración/seguridad que me lo permitiese ejercer SELinux, runlevels, ... Yo no he jugado mucho con estas cosas. Lo único es que no me gustaría tener que compilar un kernel específicamente para el servidor y me gustaría seguir con el precompilados de Debian. Un saludo y a ver si alguien me puede guiar un poco, -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: separación de privilegios
Hola.Puedes probar a definir grupos o permisos para usuarios según lo que pretendan hacer. Me explico, si quieres darle permisos para grabar a unos determinados usuarios, pues creas el grupo grabadora (por defecto es burn, creo recordar) y los agregas a dicho grupo, por lo tanto ya tendrá los permisos suficientes para poder hacer lo que pretendes. Es mas complicado para ti como administrador, pero te salvara de darles root. Y no te preocupes, es muy raro que tengas que tocar la config del kernel para administrar permisos de usuarios, aunque si es un servidor grande casi te compensaria mas un kernel propio mas optimizado, aunque eso ya es cosa de cada admin. 2006/9/15, Christian Pinedo Zamalloa <[EMAIL PROTECTED]>: hola,me enfrento a un problema que no se cómo abordar. Hasta hace poco unservidor Debian que ahora he empezado a gestionar tenía la malacostumbre de que casi todos los usuarios del mismo (o por lo menos un grupo de hasta unos 8) tenían la contraseña de root para administrarlo.Desde que es mi responsabilidad intento limitar el uso de root pero hay"power users" que se me sublevan (x-D) y exigen sus privilegios de antaño.Ando dándole vueltas y no se como solucionarlo. Estaría dispuesto aofrecer una solución "sudo" pero quiere un sudo para casi todo...Incluso estaría despuesto, siempre y cuando no podrían modificar el sudoers, los logs en /var/log y el logrotate para comprobarperiódicamente que el "sudo" no se les va de las manos.La cuestión es que no se si esto es posible de hacerlo con el "sudo" o si me podeis recomendar alguna herramienta de administración/seguridadque me lo permitiese ejercer SELinux, runlevels, ... Yo no he jugadomucho con estas cosas.Lo único es que no me gustaría tener que compilar un kernel específicamente para el servidor y me gustaría seguir con elprecompilados de Debian.Un saludo y a ver si alguien me puede guiar un poco,--Christian Pinedo Zamalloa--To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- .~. ( 0 0 ) / V \ // \\ Power by Debian/(( _))\ oo0 0ooA greeting,Javier.
separación de privilegios
hola, me enfrento a un problema que no se cómo abordar. Hasta hace poco un servidor Debian que ahora he empezado a gestionar tenía la mala costumbre de que casi todos los usuarios del mismo (o por lo menos un grupo de hasta unos 8) tenían la contraseña de root para administrarlo. Desde que es mi responsabilidad intento limitar el uso de root pero hay "power users" que se me sublevan (x-D) y exigen sus privilegios de antaño. Ando dándole vueltas y no se como solucionarlo. Estaría dispuesto a ofrecer una solución "sudo" pero quiere un sudo para casi todo... Incluso estaría despuesto, siempre y cuando no podrían modificar el sudoers, los logs en /var/log y el logrotate para comprobar periódicamente que el "sudo" no se les va de las manos. La cuestión es que no se si esto es posible de hacerlo con el "sudo" o si me podeis recomendar alguna herramienta de administración/seguridad que me lo permitiese ejercer SELinux, runlevels, ... Yo no he jugado mucho con estas cosas. Lo único es que no me gustaría tener que compilar un kernel específicamente para el servidor y me gustaría seguir con el precompilados de Debian. Un saludo y a ver si alguien me puede guiar un poco, -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]