Bir yönetici hesabının sunucudan nasıl düzgün bir şekilde kaldırılacağı


3

Debian sunucularımızda birkaç yöneticimiz var ve bir tanesi şirketimizden ayrıldı. Ayrılırken kendi hesabını kaldırdı. Sistemlerimizin birçoğunun ilk kullanıcısıydı, bu yüzden artık kendi dizininde olmayan tüm dosyaları kullanıcıya aittir 1000. Bu durumla ilgili birkaç sorum var:

Soru 1 Hesabını tamamen silme hakkı mı vardı? Bunu yaparken Git depoları, hizmet verdiğimiz web siteleri, yapılandırma dosyaları, paylaşılan komut dosyaları vb. Tüm kullanıcılara aittir 1000. Bir kullanıcı adının sadece bir takma ad olduğunu anlıyorum UID, ancak bu bir sunucudaki çirkin bir durum gibi görünüyor.

Soru 2 Geçenlerde addusersisteme yeni bir kullanıcı hesabı eklemek için koştum ve bu kullanıcıya kimlik verildi 1000. Bu açıkça bir problem çünkü bu yönetici olmayan, eski yöneticinin oluşturduğu paylaşılan dosyaların sahibiydi.

adduserHangisinin UIDkullanılacağı nasıl belirlenir ? Ben Belirtebileceğiniz biliyorum UIDüzerinde adduserkomut satırından. Sadece neden en düşük kullanmak için ayarlanmış olacağını merak ediyorum UID.

Soru 3 Genel olarak, bir yönetici hesabını sunucudan kaldırmak için en iyi yöntem nedir? Yalnızca genel anahtarın ssh'nin sunucumuza erişmesine izin veriyoruz, bu yüzden kullanıcının .sshdizinini kaldırmanın ve kullanıcıyı ait olduğu gruplardan çıkarmanın yeterli olacağını düşündüm . Ancak, eski bir yöneticinin bir sunucuya erişimini kaldırmak için bana en iyi uygulamayı sağlayabilirseniz, bu gerçekten harika olurdu.

Soru 4 Yöneticinin hesabını kaldırması durumunda şimdi ne yapmalıyız? Hesabını tekrar yapmalı mıyım ve atamalı mıyım UID 1000?


Yeni oluşturulan kullanıcıyı kaldıramaz, ikinci kullanıcınız olacak yeni bir kullanıcı ekleyemez, yönetici yapamaz ve dosyaları UID1000 ile değiştirmek için kullanamaz mıydınız? Lütfen dikkat, Linux konusunda uzman değilim.
LPChip

Yanıtlar:


2

Soru 1 Hesabını tamamen silme hakkı mı vardı? Bunu yaparken, git depoları, hizmet verdiğimiz web siteleri, config dosyaları, paylaşılan komut dosyaları vb. Artık tüm kullanıcılar 1000 kullanıcısına aittir. .

Bu, ana dizininin içeriğine bağlıdır. Tamamen kişisel dosyalar olsaydı ben de aynısını yapardım. Sunucunun yönetimi ile ilgili içerik varsa, o zaman yapmamalıydı. Ancak bu sadece kişisel bir görüş. Bana daha büyük bir sorun gibi görünen şey UID'sine sahip olan sunucu daemonları / konfigürasyonları olduğudur. Bir şeyin işe yaramayacağı anlamına gelmez, ancak bu tür bir içeriğin kendisine atanmış bir "kişisel" hesabı olmamalıdır. Neyse, basit bir komutla UID ile tüm dosyaları 1000farklı bir dosyaya (örneğin 1 için root) değiştirebilirsiniz. findSomut olarak -uidseçenek için man sayfasına bakın .

Soru 2 Geçenlerde sisteme yeni bir kullanıcı hesabı eklemek için adduser kullandım ve bu kullanıcıya ID 1000 verildi. Bu açıkça bir problem çünkü bu yönetici olmayan, eski yöneticinin oluşturduğu paylaşılan dosyaların sahibi oldu. Adduser hangi UID'nin kullanılacağını nasıl belirler? Ek kullanıcı komut satırında UID'yi belirtebileceğinizi biliyorum. Sadece neden en düşük kullanıcı kimliğini kullanmanın ayarlandığını merak ediyorum.

Sistem bunu /etc/passwddosyadan alır . Yine de useradd, genellikle dosyadaki komutun davranışını değiştiren bazı varsayılanlar vardır /etc/login.defs.

Soru 3 Genel olarak, bir yönetici hesabını sunucudan kaldırmak için en iyi yöntem nedir? Yalnızca genel anahtar ssh'nin sunucumuza erişmesine izin veriyoruz, bu nedenle kullanıcının .ssh dizinini kaldırmanın ve kullanıcıyı ait olduğu gruplardan kaldırmanın yeterli olacağını düşündüm. Ancak, eski bir yöneticinin bir sunucuya erişimini kaldırmak için bana en iyi uygulamayı sağlayabilirseniz, bu gerçekten harika olurdu.

Bunu yapmak zorunda olsaydım, ilk önce hesabı kilitlerdim (bkz. man usermod, Seçenek -L) ve bir keresinde hesabı kaldırmanın güvenli olduğunu belirlediğimde silerdim userdel -r. Kullanılmayan girişlerin sistemde olması her zaman bir risktir ve ana dizinde ilginç bir şey kalmadığını gördükten sonra onları tutmak için hiçbir neden yoktur.

Soru 4 Yöneticinin hesabını kaldırması durumunda şimdi ne yapmalıyız? Hesabını tekrar yapmalı ve UID 1000'e atamalı mıyım?

Komutu kullanarak şimdi UID 1000 olan kullanıcının kullanıcı kimliğini değiştirirdim usermod(UID seçeneğini arayın), sonra findda kök dizini ( /) için ilk soruda cevaplandırdığım komutu kullanın ve tüm dosyaların sahipliğini değiştirdim Örneğin, UID 1000ile root. Böyle bir şey çalışması gerekir:

find / -uid 1000 -exec chown root:root {} +

S.1'e cevabınızda, ödemelerin onlarla ilişkilendirilmiş bir kullanıcı kimliğinin olmaması gerektiğine katılıyorum. Peki ya paylaşılan komut dosyaları (içinde depolanan /usr/local/sbin? Paylaşılan git havuzları (saklanan) /srv)? Peki ya web sayfası dosyaları? Bunlar, sistemin paylaşılan bölümünde olsalar bile, belirli bir kullanıcıya ait olacakları bana mantıklı geliyor. Kullanıcıların kaldırılması, bu dosyaların kendisine aittir UID, bu dosyaların sahipliğini yönetici olan başka biri olarak değiştirmem gerektiğini mi söylüyorsunuz? Bunu yapmak, dosyaları gerçekte kimin oluşturduğu konusunda bilgi kaybına neden olur.
houtanb

En çok kullanılan Linux dağıtımlarında, çoğu kullanıcı kendi kullanıcılarını kullanır. Örneğin, ubuntu'da, genellikle sunulan dosyaların sahibi olan apache2bir kullanıcı vardır www-data. Aynı durum, çalışan sunucunun kullanıcıyı gitbu amaç için kullandığı , thw git sunucusu için de geçerlidir. Genellikle kimin dosyayı oluşturduğu önemli değil, kime erişebileceği önemli değil. Paylaşılan komut dosyaları için, bunları herkes için yürütme biti ayarlamanız yeterlidir, ardından rootişlevsellik aynı kaldığı için sahibini güvenle değiştirebilirsiniz . Genelde paylaşılan dosyalara / günlüklere uygulanan ilke budur.
saat
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.