Questions tagged «root»

我们公司中的一些人对生产服务器具有root访问权限。我们正在寻找一种很好的方法，使它在SSH进入时非常清晰。 我们有一些想法是： 亮红色提示 得到壳之前回答一个谜语 在获得外壳之前输入随机单词 你们用来区分生产系统的技术有哪些？

135 linux  root 

我们刚刚启动了新服务器，并且所有服务器都在运行CentOS。成功安装Ruby Enterprise Edition之后，我现在想添加REE / bin（位于/usr/lib/ruby-enterprise/bin）目录，使其成为服务器上的默认Ruby解释器。 我尝试了以下操作，仅将其添加到当前的shell会话中： export PATH=/usr/lib/ruby-enterprise/bin:$PATH 什么是正确的做法，以永久此目录$ PATH增加对所有用户。我目前以root用户身份登录。 提前致谢！

84 centos  configuration  shell  root  path 

有没有办法使经验丰富的Linux syadmin富有成效，而又没有给予他完全的root访问权限？ 这个问题来自保护知识产权（IP）的角度，在我看来，它完全是代码和/或配置文件（即易于复制的小型数字文件）。我们的秘密调味料使我们比小巧的建议更成功。同样，我们曾经被一些曾经窃取知识产权的不道德的员工（不是系统管理员）一度咬伤，羞怯两次。最高管理者的立场基本上是：“我们信任人们，但是出于个人利益，不能承受给任何人提供超出其绝对需要的工作机会的风险。” 在开发人员方面，划分工作流和访问级别相对容易，这样人们可以提高工作效率，但只看到他们需要看的东西。只有高层人士（实际的公司所有者）才有能力组合所有成分并创造出特殊的酱汁。 但是我还没有找到在Linux管理员方面维护IP保密性的好方法。我们广泛使用GPG编写代码和敏感文本文件...但是，如何阻止管理员（例如）向用户起诉并跳到他们的tmux或GNU Screen会话，看看他们在做什么？ （我们在所有可能会接触敏感信息的地方都禁用了Internet访问。但是，没有什么是完美的，而且聪明的系统管理员或网络管理员方面的错误也可能存在漏洞。甚至是老式的USB。当然还有许多其他措施，但是这些措施不在本问题的范围之内。） 我能想到的最好的方法是基本上使用带有sudo的个性化帐户，类似于在多个Linux系统管理员中以root用户身份进行的描述。具体来说：除公司所有者外，没有人可以直接访问root。其他管理员将拥有一个个性化的帐户，并拥有sudo root 的能力。此外，将建立远程日志记录，并将日志记录到只有公司所有者可以访问的服务器上。看到日志记录已关闭将引发某种警报。 聪明的系统管理员可能仍会在此方案中发现一些漏洞。除此之外，它仍然是被动的而不是主动的。我们IP的问题在于，竞争对手可能很快使用它，并在很短的时间内造成很多损害。 因此，最好的办法是限制管理员可以执行的操作。但我承认，这是一个微妙的平衡（尤其是在故障诊断和修复需要的生产问题的角度来解决现在）。 我不禁想知道其他拥有非常敏感数据的组织如何解决此问题？例如，军事系统管理员：他们如何在不能够看到机密信息的情况下管理服务器和数据？ 编辑：在最初的发布中，我的意思是抢先解决开始浮出水面的“招聘惯例”评论。第一，这应该是一个技术问题，而IMO的聘用做法更倾向于社会问题。但是，有两个，我要这样说：我相信我们会做一切合理的聘用工作：面试多个公司的人；背景和参考检查；所有员工都签署了许多法律文件，其中包括说他们已经阅读并理解了我们的手册，其中详细介绍了知识产权问题。现在，它不在此问题/站点的范围内，但是，如果有人可以提出“完美”的招聘做法来过滤掉100％的不良行为者，我将不知所措。事实是：（1）我认为没有如此完美的招聘流程；（2）人们改变-今天的天使可能是明天的魔鬼；（3）在这个行业中，尝试进行代码盗窃似乎有些常规。

66 linux  security  root 

使用以下命令通过sudo运行密集任务有什么区别？： 不错的sudo [这里是密集命令] sudo nice [密集命令在这里] 顺便说一句，这适用于Linux3.x。

53 linux  root  process-priority 

我时不时地收到奇怪的请求，要求在Linux系统上提供远程支持，故障排除和/或性能调整。 大型公司通常已经建立了完善的程序来提供对供应商/供应商的远程访问，而我只需要遵守这些程序即可。（不论结果好坏。） 另一方面，小公司和个人总是向我求教，以指导他们建立我所需要做的事情。通常，它们的服务器直接连接到Internet，现有的安全措施包括Linux发行版的默认设置。 几乎总是需要root级访问权限，而为我设置访问权限的人都不是专家级的sysadmin。我不希望他们的root密码，而且我也很确定我的行为不会是恶意的，但是我应该给什么合理的简单指示： 设置一个帐户并安全地交换凭证 设置root（sudo）访问 限制访问我的帐户 提供审核跟踪 （是的，我知道并且总是警告那些客户，一旦我具有管理员访问权限，则隐藏任何恶意操作都是微不足道的，但是让我们假设我没有什么可隐藏的，可以积极参与创建审计跟踪。） 以下步骤可以改善什么？ 我当前的指令集： 设置一个帐户并安全地交换凭证 我提供了一个密码哈希，并要求我使用该加密密码来设置我的帐户，因此我们无需传输明文密码，我将是唯一知道该密码的人，并且我们不会以可预测的弱密码。 sudo useradd -p '$1$********' hbruijn 我提供了一个公共密钥SSH（每个客户端特定的密钥对），并要求他们使用该密钥设置我的帐户： sudo su - hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys 设置root（sudo）访问 我要求客户端使用sudo sudoedit或使用他们最喜欢的编辑器为我设置sudo并附加到/etc/sudoers： hbruijn ALL=(ALL) ALL 限制访问我的帐户 通常，客户端仍然允许基于密码的登录，我要求他们添加以下两行以/etc/ssh/sshd_config至少将我的帐户仅限制为SSH密钥： Match user hbruijn …

51 linux  security  sudo  root  audit 

的Ubuntu touch：无法触摸`/var/run/test.pid'：权限被拒绝 我正在启动start-stop-daemon并想将PID文件写入/ var / run中。start-stop-daemon以my-program-user身份运行 / var / run设置为drwxr-xr-x 9 root root 我想避免将我的程序用户放在根组中。

51 ubuntu  permissions  root  pid 

在我们的团队中，我们有3名经验丰富的Linux系统管理员必须管理几十个Debian服务器。以前，我们所有人都使用SSH公钥身份验证作为root用户。但是我们讨论了在哪种情况下的最佳实践，对此没有达成共识。 每个人的SSH公钥都放在〜root / .ssh / authorized_keys2中 优势：易于使用，SSH代理转发轻松进行，开销很小 缺点：缺少审核（您永远不知道哪个“根”进行了更改），发生事故的可能性更大 使用个性化帐户和sudo 这样，我们将使用SSH公钥使用个性化帐户登录，并使用sudo以root权限执行单个任务。另外，我们可以给自己一个“ adm”组，使我们可以查看日志文件。 优点：良好的审核功能，sudo可以防止我们过于轻易地进行愚蠢的事情 缺点：SSH代理转发中断，这很麻烦，因为几乎所有操作都不能以非root用户身份完成 使用多个UID 0用户 这是来自一名系统管理员的非常独特的建议。他建议在/ etc / passwd中创建三个用户，每个用户的UID为0，但登录名不同。他声称这实际上并没有被禁止，并且允许每个人的UID为0，但仍然能够进行审核。 优点：SSH代理转发有效，审核可能有效（未试用），没有sudo麻烦 劣势：感觉很脏-找不到允许在任何地方记录的文件 你有什么建议？

40 linux  root 

在Linux机器上，如何列出具有root特权的所有用户（甚至更好的是，一般而言，所有用户以及是否具有root的用户）？

35 linux  root  users 

我经常听到，使用su而不是直接以root用户身份登录是更好的选择（当然，人们也说使用sudo更好）。我从不真正理解为什么洞见比别人更好？

33 linux  login  sudo  root 

当我尝试设置root的密码时： root@OpenWrt:~# passwd Changing password for root Enter the new password (minimum of 5, maximum of 8 characters) Please use a combination of upper and lower case letters and numbers. 似乎最大长度为8。如果我尝试设置的密码长于8，则仅前8个字符有效。如何设置更长的密码root？ 我的OpenWrt版本： Linux OpenWrt 4.14.108 #0 SMP Wed Mar 27 21:59:03 2019 x86_64 GNU/Linux

29 linux  password  root  openwrt  passwd 

我经常在vim中打开文件，进行一些更改，并且何时保存该文件是只读的（由另一个用户拥有）。我正在寻找有关如何以root用户身份重新打开文件并保留更改而无需先将其保存到临时文件中以root用户身份进行复制或重新编辑的提示。

28 sudo  root  vim  vimrc 

在cPanel上，当我以root用户身份登录并键入“ mysql”而没有主机名和密码时，它使我可以直接访问mysql root用户。 我想对我的一台非面板服务器执行此操作，在该服务器中，Linux根用户以与cPanel上相同的方式获得较少的密码登录mysql根用户。 这可能吗 ？

28 linux  mysql  security  password  root 

不久前，我给root设置了密码，以便我可以root身份登录并完成一些工作。现在，我想禁用root登录以加强安全性，因为我将把服务公开到Internet。我已经看到了几种执行此操作的方法（sudo passwd -l root，喜欢摆弄/etc/shadow，依此类推），但是没有任何地方说明这样做的最好/最明智的方法是什么。我已经做完了，sudo passwd -l root但是我已经看到一些建议，说这可能会影响初始化脚本，并且它看起来并不安全，因为如果您尝试登录，它仍然会要求输入密码，而不是完全拒绝访问。那么实现该目标的方法是什么？ 编辑：澄清一下，这是以root身份进行本地登录的；我已经禁用了通过SSH的远程登录。尽管尝试通过SSH以root身份登录仍然会提示输入root的密码（该密码始终会失败）。那不好吗？

27 login  root 

我只是在几秒钟前运行过。我设法做到了Ctrl- C意识到自己开始做的事。 到目前为止，它开始通过的唯一目录是/bin。 我怕做其他事情。到目前为止，我意识到我不能再su以普通用户的身份使用了。 幸运的是，我还有另一个根终端打开。我该怎么办？

26 linux  ubuntu  root  chown 

我正在尝试编写bash脚本（在Ubuntu中），该脚本将使用tar备份目录。 如何在脚本中进行检查，使其只能以root身份（或使用sudo）运行？ 例如，如果用户运行该脚本，则应说该脚本必须以sudo特权运行，然后退出。如果脚本以root身份执行，它将继续通过检查。 我知道必须有一个简单的解决方案，但我只是无法通过谷歌搜索找到它。

26 bash  scripting  root  permissions