Skocz do zawartości
Dareksbs

Konto z prawami roota

Polecane posty

Mam maly problem z utworzeniem nowego uzytkownika z prawami root'a

 

tworze nowego uzytkownika, dodaje go do grupy root, nastepnie wpisuje komende "visudo" i dodaje

 

nazwa ALL=(ALL) ALL

 

i z tego co czytalem niby wszystko powinno dzialac, ale gdy loguje sie na nowego uzytkownika, nie moge nic zrobic, jedynie moge biegac po katalogach, ale nic nie moge edytowac, tworzyc etc. w konsoli brakuje poczatku i hosta

 

zazwyczaj jak logowalem sie na roota mialem cos w stylu

root@nowyserver :

 

a teraz mam po prostu

$

 

Ktos ma jakies pomysly jak to naprawic ?

 

(przepraszam za brak polskich znakow, pisze z tableta, ktory nie posiada polskiej klawiatury)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ale po co do grupy root? To zdeka niebezpieczne.

 

useradd -m -s /bin/bash nazwausera

 

A do sudoersów dorzucasz (jak już bardzo chcesz bez hasła):

nazwa usera    ALL = NOPASSWD: ALLno i jak chcesz przejść w powłoke z uprawnieniami roota to sudo su, albo sudo bash

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Ale po co do grupy root? To zdeka niebezpieczne.

 

useradd -m -s /bin/bash nazwausera

 

A do sudoersów dorzucasz (jak już bardzo chcesz bez hasła):

nazwa usera    ALL = NOPASSWD: ALLno i jak chcesz przejść w powłoke z uprawnieniami roota to sudo su, albo sudo bash

 

Prbowalem zrobic to tak jak mowisz, i dalej nic nie moge zrobic, zrobilem uzytkownika

useradd -m -s /bin/bash nazwausera

Potem ustawilem mu haslo, zablokowalem root w ssh, dodalem do sudoersow nazwausera ALL = (ALL) ALL

 

nastepnie wylogowalem sie z root'a i zalogowalem na nazwausera, moge chodzic po katalogach, ale nic nie moge zrobic, nawet w home folderu utworzyc, a po uzyciu su i wpisaniu hasla od razu przelogowuje na roota a roota mam zalokowanego.

 

Tak wiec jak nadac prawa dla nazwausera aby mogl tworzyc katalogi i mial prawa jak root ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

OMG... I bardzo dobrze, że nie mozesz nic ze zwykłego usera popsuć. Po to ktoś kiedyś wymyślił roota i sudo jeśli potrzebujesz uprawnienia roota.

 

Ale do czego Ci root skoro roota blokujesz? Przecież na logike, to bez sensu.

Wykonuj polecenia przez sudo, to wtedy będą uruchamiane z uprawnieniami roota:

sudo cp

sudo mv

sudo mc

sudo nano

itp.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

No przecież jasno napisał że on chce usera root, ale pod inną nazwą co jest bez sensu :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po kiego grzyba blokujesz roota i tworzysz innego usera z prawami roota?

 

Weź sobie człowieku zrób apt-get install sudo, potem addgroup twojuser sudo, na końcu service sudo restart, a potem z usera sudo -i.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po kiego grzyba blokujesz roota i tworzysz innego usera z prawami roota?

 

Weź sobie człowieku zrób apt-get install sudo, potem addgroup twojuser sudo, na końcu service sudo restart, a potem z usera sudo -i.

service sudo restart ? he? Cytując "Po kiego grzyba wykonywać tą komendę" ?

 

@Kamikadze, mógł tak napisać a co innego myśleć :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Robilem to co w wiekszosci poradnikach o zabezpieczeniach radza, aby zablokowac root'a w ustawieniach ssh i stworzyc nowego uzytkownika z uprawnieniami roota.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Robilem to co w wiekszosci poradnikach o zabezpieczeniach radza, aby zablokowac root'a w ustawieniach ssh i stworzyc nowego uzytkownika z uprawnieniami roota.

 

Podlinkuj mi te "większość poradników".

Podkreślam, WIĘKSZOŚĆ.

 

service sudo restart ? he? Cytując "Po kiego grzyba wykonywać tą komendę" ?

 

@Kamikadze, mógł tak napisać a co innego myśleć :)

 

Po instalacji sudo dodaje grupę sudo ze wszystkimi prawami do sudo. Jeśli dodasz kogoś do tej grupy to usługa bez przeładowania tego nie wykryje, ja nie klepię komend "bo na google tak napisali".

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Podlinkuj mi te "większość poradników".

Podkreślam, WIĘKSZOŚĆ.

 

 

Po instalacji sudo dodaje grupę sudo ze wszystkimi prawami do sudo. Jeśli dodasz kogoś do tej grupy to usługa bez przeładowania tego nie wykryje, ja nie klepię komend "bo na google tak napisali".

 

Zazwyczej po wpisaniu w google "Zabezpieczenie ssh linux" znajdziesz to.

Cytuje przyklad "Prawdopodobnie najważniejszą rzeczą jaką powinieneś zmienić w konfiguracji serwera SSH jest uniemożliwienie zdalnego logowania się do systemu przez użytkownika „root”."

 

linki (pierwsze lepsze z google, duzo jest tam tego) :

http://blog.kowalsio.com/2009/07/22/zabezpieczanie-serwera-ssh/

http://www.pospiech.pl/www/index.php?view=items&cid=3&id=1&option=com_quickfaq

http://www.gex.pl/2009/podstawowe-zabezpieczenia-serwera-ssh/

http://blog.kowalczyk.cc/2011/08/26/linux-blokowanie-bezposredniego-logowania-roota-na-serwerze/

http://michal.superuser.org.pl/blog/2012/04/podstawowe-sposoby-zabezpieczania-serwera-linux/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Pierwszy lepszy link który podałeś:

 

 

Dużym zagrożeniem dla naszego serwera są różnego typu boty, które w większości przypadków próbują złamać hasło root’a. Aby tego uniknąć należy wyłączyć możliwość bezpośredniego logowania użytkownika root poprzez SSH na serwer.

 

 

 

Trzeba czytać ze zrozumieniem :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zablokuj logowanie root-a przez ssh jak masz to napisane w tych poradnikach, a następnie logujesz się jako "zwykły" użytkownik i kiedy chcesz zrobić coś co wymaga przywilejów administratora wystarczy zwykłe su

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Podlinkuj mi te "większość poradników".

Podkreślam, WIĘKSZOŚĆ.

 

 

Po instalacji sudo dodaje grupę sudo ze wszystkimi prawami do sudo. Jeśli dodasz kogoś do tej grupy to usługa bez przeładowania tego nie wykryje, ja nie klepię komend "bo na google tak napisali".

 

Jeśli doda się user do grupy to wystarczy, że user się przeloguje i będzie już w "id" widzał swoją grupę

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Jeśli doda się user do grupy to wystarczy, że user się przeloguje i będzie już w "id" widzał swoją grupę

 

Owszem, można i tak. Co nie znaczy, że moja odpowiedź jest błędna.

 

Zazwyczej po wpisaniu w google "Zabezpieczenie ssh linux" znajdziesz to.

Cytuje przyklad "Prawdopodobnie najważniejszą rzeczą jaką powinieneś zmienić w konfiguracji serwera SSH jest uniemożliwienie zdalnego logowania się do systemu przez użytkownika „root”."

 

linki (pierwsze lepsze z google, duzo jest tam tego) :

http://blog.kowalsio.com/2009/07/22/zabezpieczanie-serwera-ssh/

http://www.pospiech.pl/www/index.php?view=items&cid=3&id=1&option=com_quickfaq

http://www.gex.pl/2009/podstawowe-zabezpieczenia-serwera-ssh/

http://blog.kowalczyk.cc/2011/08/26/linux-blokowanie-bezposredniego-logowania-roota-na-serwerze/

http://michal.superuser.org.pl/blog/2012/04/podstawowe-sposoby-zabezpieczania-serwera-linux/

 

Czy widzisz różnicę w blokowaniu dostępu po SSH do roota, a blokowaniu całego konta? Nie? To sprawdź jak działa komenda su.

Tak, pierwszy link. Tak, w pierwszym linku NIC nie piszą o useradd, zmienianiu shella czy usuwaniu roota, zmieniają jeden wpis w sshd odnośnie PermitRootLogin.

 

P.S. Blokowanie dostępu do roota jest jakimś rozwiązaniem, ale równie dobrze można wrzucić logowanie do roota po kluczu ssh i również jesteś na 99.99% bezpieczny, ten 0.01% to jakby komuś udało się złamać klucze ssh, ale wtedy uwierz mi że Twój serwer byłby na samym końcu listy zagrożonych, autor exploita miałby ciekawsze rzeczy do roboty ;). A co to daje? Ano to, że oszczędzasz zbędnego logowania na roota, ja odpalając ssh od razu mam auto-login na roota po kluczu, nie muszę się bawić w zbędne su/sudo.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×