2e root user aanmaken - Linux en overige clients

zondag 4 oktober 2009 12:57

Acties:

Topicstarter

Wij huren een VPS server (Centos) en hebben ssh/root toegang tot onze VPS server. Om verschillende redenen willen we een 2e root user aanmaken. Dit heb ik geprobeerd, maar telkens is na 1 dag de 2e root user (root2) gelocked. Het hosting bedrijf wil ook niet helpen, want zover gaat hun service niet.

De user root2 heb ik aangemaakt via de shell (toen ik ingelogd was als root) met het volgende commando:
adduser -u 0 -o -g 0 -G 0,1,2,3,4,6,10 root2
Ik heb ook al eens geprobeerd de optie "-f 0" mee te geven, maar dit lijkt ook niet te helpen.

Resultaat van het commando "passwd -S root2" na het aanmaken van de user "root2", was:
root2 PS 2009-09-26 0 99999 7 -1 (Password set, MD5 crypt.)

Resultaat van "chage -l root2":
Last password change : Sep 26, 2009
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

Ik heb ook een normale user aangemaakt (normal1) met het volgende commando:
useradd -G 99999 normal1
Resultaat van het commando "passwd -S normal1" na het aanmaken van de user "normal1", was idem als root2. Echter deze user is niet na 1 dag gelocked en tot op de dag van vandaag nog te gebruiken.

Wie weet wat hier fout gaat?

zondag 4 oktober 2009 13:01

Acties:

hostname

Draait er niet een cronjob o.i.d. die zoiets checkt? Zeggen je log files nog wat?

Daarnaast, heb je al eens een sudo-setup overwogen? Dat is precies bedoeld om andere accounts ook rootrechten te geven. Dit lijkt me niet echt werken, een user aanmaken en hem maar in die groepen van root te zetten om hem root rechten te geven.

zondag 4 oktober 2009 13:04

Acties:

Verwijderd

Dit is echt een recipe for disaster. Dat "om verschillende redenen" accepteer ik niet als voorwaarde.

Zeg even wat de exacte reden is zodat er een goede oplossing kan worden bedacht in plaats van een plakbandoplossing. Met root accounts moet je niet klooien.

Ik zie bijvoorbeeld niet in waarom je met sudo niet zou kunnen bereiken wat je wilt. Kun je keurig bepaalde opdrachten door verschillende users als root laten uitvoeren.

zondag 4 oktober 2009 13:12

Acties:

getfirefoxnow

Topicstarter

Verwijderd schreef op zondag 04 oktober 2009 @ 13:04:
Dit is echt een recipe for disaster. Dat "om verschillende redenen" accepteer ik niet als voorwaarde.

Zeg even wat de exacte reden is zodat er een goede oplossing kan worden bedacht in plaats van een plakbandoplossing. Met root accounts moet je niet klooien.

Ik zie bijvoorbeeld niet in waarom je met sudo niet zou kunnen bereiken wat je wilt. Kun je keurig bepaalde opdrachten door verschillende users als root laten uitvoeren.

De "om verschillende redenen" is dat meerdere collega's handelingen (zoals symlinks leggen, chmodden e.d.) moeten kunnen uitvoeren op de gehele /home/ folder.

De home folder bevat subfolders die worden aangemaakt door WebHostManager en allemaal een verschillende owner/group hebben.

Dat symlinks leggen kunnen de collega's met WinSCP en ik wil hen dus niet het root password geven.

Dat is het dus...

zondag 4 oktober 2009 13:14

Acties:

Zsub

Ja, en juist daarvoor is sudo uitgevonden.

zondag 4 oktober 2009 13:15

Acties:

Luqq

Ooit gehoord van sudo?

kan je ook nog mooi commando's begrenzen etc..

edit: Zsub..

[ Voor 13% gewijzigd door Luqq op 04-10-2009 13:15 ]

zondag 4 oktober 2009 13:17

Acties:

Tags NL

Harmful or Harmless?

Met WinSCP kun je geen sudo acties doen, je zal de collega's moeten leren dingen via een SSH Shell verbinding te laten doen

https://powershellisfun.com

zondag 4 oktober 2009 14:15

Acties:

vanaalten

getfirefoxnow schreef op zondag 04 oktober 2009 @ 13:12:
[...]
Dat symlinks leggen kunnen de collega's met WinSCP en ik wil hen dus niet het root password geven.

Wat is volgens jou het verschil tussen hen het root password geven of een 2e root maken met exact dezelfde rechten? In beide gevallen hebben ze dezelfde verantwoordelijkheid en dezelfde mogelijkheden. Zouden ze zelfs niet de mogelijkheid hebben om het password van root te veranderen, als ze via root2 root-rechten hebben?

zondag 4 oktober 2009 14:21

Acties:

Icheb

Is het niet handiger om een aantal key's neer te zetten dan (per collega), dan is het:

relatief veilig
iedere user eigen key, dus handig als er iemand weggaat of iemand bijkomt.

Zie ook http://www.cs.uwaterloo.ca/cscf/howto/ssh/public_key/

Hier kan winscp ook mee overweg trouwens ;-).

edit:
En verder inderdaad sudo gebruiken

.

[ Voor 7% gewijzigd door Icheb op 04-10-2009 14:22 ]

sebsoft.nl

zondag 4 oktober 2009 15:05

Acties:

Verwijderd

Met Winscp kan je custom commands doen. Als je slim bent stel je voor alle gebruikers de nodige bewerkingen sudo ervoor met gebruikmakend van deze functionaliteit. Bij uitvoering wordt er een wachtwoordvenster getoont en kan je de gebruikers die je hebt toegevoegt aan de /etc/sudoers file met de bijhorende rechten. Dan voeren ze wel root taken uit maar loggen met hun eigen credentials in.

[ Voor 10% gewijzigd door Verwijderd op 04-10-2009 15:06 ]

maandag 5 oktober 2009 11:59

Acties:

igmar

ISO20022

getfirefoxnow schreef op zondag 04 oktober 2009 @ 12:57:
Wie weet wat hier fout gaat?

Dat userid's op een UNIX bak uniek behoren te zijn. Verder een opmerking : een tweede user met uid 0 aanmaken is zo ongeveer gelijk aan het rootwachtwoord verstrekken.

maandag 5 oktober 2009 12:04

Acties:

Verwijderd

Misschien de gouden tip

Als je 1 root account hebt kunnen meerdere mensen daarvan tegelijkertijd gebruik van maken. Ik zit regelmatig met 3 collega's tegelijkertijd ingelogd als root op een server via ssh.

Edit: te snel

[ Voor 4% gewijzigd door Verwijderd op 05-10-2009 12:08 ]

maandag 5 oktober 2009 12:20

Acties:

Nick_S

++?????++ Out of Cheese Error

Verwijderd schreef op maandag 05 oktober 2009 @ 12:04:
Misschien de gouden tip

Als je 1 root account hebt kunnen meerdere mensen daarvan tegelijkertijd gebruik van maken. Ik zit regelmatig met 3 collega's tegelijkertijd ingelogd als root op een server via ssh.

Edit: te snel

Zodat je niet meer weet wie wat gedaan heeft? Lijkt me niet heel verstandig.

'Nae King! Nae quin! Nae Laird! Nae master! We willna' be fooled agin!'

maandag 5 oktober 2009 12:26

Acties:

Verwijderd

Nick_S schreef op maandag 05 oktober 2009 @ 12:20:
[...]

Zodat je niet meer weet wie wat gedaan heeft? Lijkt me niet heel verstandig.

???

Een belangrijk onderdeel van werken in een groep is communicatie!

maandag 5 oktober 2009 12:34

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Nick_S schreef op maandag 05 oktober 2009 @ 12:20:
[...]

Zodat je niet meer weet wie wat gedaan heeft? Lijkt me niet heel verstandig.

Dus ipv alles met het normale root gebruiker uit te voeren, wil de TS nu alles met een andere root laten uitvoeren. Nog steeds alles door 1 gebruiker. Dus wat is je punt hier?

Commandline FTW | Tweakt met mate

maandag 5 oktober 2009 12:37

Acties:

Wolfboy

ubi dubium ibi libertas

Hero Of Time schreef op maandag 05 oktober 2009 @ 12:34:
[...]

Dus ipv alles met het normale root gebruiker uit te voeren, wil de TS nu alles met een andere root laten uitvoeren. Nog steeds alles door 1 gebruiker. Dus wat is je punt hier?

Zijn punt is dat je niet alle root acties door 1 (dus root) gebruiker wil laten doen.

Hij heeft nooit gezegd dat hij voor de TS z'n oplossing gaat

Anyway, sudo is _de_ oplossing hier inderdaad, wil dat niet met custom commands in winscp dan kan het nog door via een lokale bin directory met wrappers alles via sudo te laten lopen. Al is dat wel uitermate lelijk natuurlijk.

Blog [Stackoverflow] [LinkedIn]