প্রতি সপ্তাহে একদিন সুডোয়ার্স?

আমাদের প্রযোজনা রেডহ্যাট সার্ভারের সিসাদমিন হতে আমার বস স্বেচ্ছাসেবক হয়েছি। তিনি আমাকে rm -f *আগে যেমন দুর্ঘটনা এড়ানোর জন্য সুরক্ষা জোরদার করতে বলেছিলেন ।

এই মুহুর্তে, আমাদের কাছে 53 জন ব্যবহারকারী মেশিনে সুড-ইনিং আছেন এবং এটি একটি নিরীক্ষার দুঃস্বপ্ন। আমি ভাবছি যে কেবলমাত্র সপ্তাহের নির্দিষ্ট দিনে ব্যবহারকারীর অ্যাক্সেসের অনুমতি দেওয়া সম্ভব।

উদাহরণস্বরূপ, আমি কি 'জো' কেবলমাত্র মঙ্গলবার এবং বৃহস্পতিবার এবং শুধুমাত্র জেন 'র লগইন করতে পারি? etc/sudoersএটি অনুমোদিত কাস্টমাইজ করা যেতে পারে?

Sudoers ব্যবহার না করে এর চেয়ে ভাল উপায় আছে?

sudo লিনাক্স বাক্সে থাকা সমস্ত কিছুর মতো PAM এর মাধ্যমে তার প্রমাণীকরণ করে।

সুতরাং আপনি এটি করতে সক্ষম হতে হবে pam_time.so।

কমপক্ষে ডেবিয়ানে ডিফল্টরূপে, সেই মডিউল সক্ষম হয় না। আপনার দেখতে এমন একটি লাইন যুক্ত করা দরকার:

account    requisite  pam_time.so

হয় /etc/pam.d/sudoকেবলমাত্র সুডোর জন্য সক্ষম করতে বা /etc/pam.d/common-account(পাম-লেখক-আপডেট ব্লকের পরে) সিস্টেমে সমস্ত প্রোগ্রাম সক্ষম করতে।

তারপরে /etc/security/time.confআপনার সীমাবদ্ধতাগুলি সেট করতে সম্পাদনা করুন । পরিষেবার নামটি হওয়া উচিত sudo। উদাহরণস্বরূপ, ফ্রেডকে sudoকেবল শুক্রবার বিকাল ৩ টা থেকে সন্ধ্যা between টার মধ্যে ব্যবহারের অনুমতি দেওয়া :

sudo;*;fred;Fr1500-1700

(দ্রষ্টব্য: আমি এটি পরীক্ষা করিনি))

সম্পাদনা: পরিষ্কার হওয়ার জন্য, আমি অন্য উত্তর এবং বিভিন্ন মন্তব্যকারীদের সাথে একমত, আপনার কাছে অনেক লোক অনেক বেশি কমান্ড মূল হিসাবে চালাচ্ছেন বলে মনে হচ্ছে এবং আপনার এটি ঠিক করা দরকার। এবং অবশ্যই তারা রুট হয়ে উঠতে পারলে তারা পাম কনফিগ সম্পাদনা করতে পারে ...

আমি প্রশ্ন করব যে কেন 53 জন ব্যবহারকারীকে প্রতিদিন কাজ করতে সুডো দরকার - বেশিরভাগ ব্যবহারকারীর (এমনকি বিকাশকারীদের) জন্যও সুডো একটি বিরল ব্যতিক্রম হওয়া উচিত, এমন কোনও রুটিন জিনিস নয় যে কেউ অনিয়মিতভাবে sudo rm -rf *কমান্ড চালায় run

লোকদের তাদের কাজ শেষ করার জন্য প্রয়োজনীয় ফাইলগুলিতে অ্যাক্সেস দেওয়ার জন্য, গ্রুপের অনুমতিগুলি (বা আরও উন্নত এসিএল এর) ব্যবহার করতে পারেন, সম্ভবত কিছু সেটুয়েড বা সুডো স্ক্রিপ্ট বা বাইনারি দিয়ে তাদের পুনরায় চালু করার মতো জিনিসগুলি করতে দেয়? (মনে রাখবেন যে কোনও সুরক্ষিত সেটুইড / সুডো স্ক্রিপ্ট লেখা শক্ত, সুতরাং সৎ লোকদের সৎ রাখাই আরও বেশি))

এমনকি আপনি যদি সুডো অ্যাক্সেসের সপ্তাহে একদিন লোককে সীমাবদ্ধ রাখতে পারেন তবে এখনও এক সপ্তাহের মধ্যে সুডো অ্যাক্সেস পাওয়া 53 জন লোক তাই এটি আপনার মূল সমস্যার সাথে সত্যই সহায়তা করে না।

এই বিষয়টির জন্য, আমি প্রশ্ন করছি যে অনেক ব্যবহারকারীর একটি প্রোডাকশন সার্ভারে আদৌ অ্যাক্সেস দরকার কিনা - আপনি লগ বা কোনও উত্পাদন-নন মেশিনে তাদের যে কোনও ডেটা / ফাইলগুলি প্রেরণ করতে পারবেন?

সবচেয়ে সহজ উপায় হ'ল আপনার কনফিগারেশনের জন্য Suders.d (অন্তর্ভুক্তির মাধ্যমে) ব্যবহার করা। তারপরে আপনার ক্রোন জব থাকতে পারে যা প্রতিটি ব্যবহারকারীর জন্য আপনার ইচ্ছামত সময়ের জন্য সেই ডিরেক্টরিতে নিয়ম রাখতে পারে।

# অন্তর্ভুক্তির নির্দেশিকাটি / ইত্যাদি / সুডোয়ারগুলিতে একটি sudo.d ডিরেক্টরি তৈরি করতে ব্যবহার করা যেতে পারে যা আপনি sudoers বিধিগুলিকে আপনার নিয়মের অংশ হিসাবে ফেলে দিতে পারেন .. উদাহরণস্বরূপ, প্রদত্ত:

# অন্তর্ভুক্ত /etc/sudoers.d

sudo প্রতিটি ফাইল /etc/sudoers.d এ পড়বে, ফাইলের নাম '~' এ শেষ হয় বা একটি 'থাকে' এড়িয়ে যায়। প্যাকেজ পরিচালক বা সম্পাদক অস্থায়ী / ব্যাকআপ ফাইলগুলির সাথে সমস্যা সৃষ্টি না করার জন্য চরিত্র ফাইলগুলি সাজানো লেজিকাল ক্রমে পার্স করা হয়। এটি হল, /etc/sudoers.d/01_ প্রথম প্রথম /etc/sudoers.d/10_second এর আগে পার্স করা হবে। সচেতন থাকুন যেহেতু বাছাইটি সংক্ষিপ্ত, সংখ্যাসূচক নয়, /etc/sudoers.d/1_Wooops /etc/sudoers.d/10_second এর পরে লোড হবে। ফাইলের নামগুলিতে অবিচ্ছিন্ন সংখ্যক নেতৃস্থানীয় জিরো ব্যবহার করা এ জাতীয় সমস্যা এড়াতে ব্যবহার করা যেতে পারে।

নোট করুন যে # অন্তর্ভুক্তের মাধ্যমে অন্তর্ভুক্ত করা ফাইলগুলির বিপরীতে, ভিজুডো একটি # অন্তর্ভুক্ত ডিরেক্টরিতে ফাইলগুলি সম্পাদনা করবে না যতক্ষণ না তাদের একটিতে সিনট্যাক্স ত্রুটি থাকে। ফাইলগুলি সরাসরি সম্পাদনা করতে flagফ ফ্ল্যাগের সাথে ভিজুডো চালানো এখনও সম্ভব।

আপনি যখন জোতে অ্যাক্সেস পেতে চান তখন /etc/sudoers.d/joe উপস্থিত থাকত এবং অ্যাক্সেস সরিয়ে নিতে আপনি কেবল ফাইলটি সরিয়ে ফেলতে পারেন।

আপনি কোনও ব্যবহারকারীকে একটি সুডো গ্রুপে রাখার জন্য একটি ক্রন্টব্যাব যুক্ত করতে পারেন এবং তারপরে সেই ব্যবহারকারীকে বাইরে নিয়ে যাওয়ার জন্য দ্বিতীয় ক্রন্টব।