PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie am besten professionell Admins verwalten?



Qeldroma
17.09.07, 11:40
Hallo zusammen,

wir haben im Schnitt 5 Admins die alle root-Rechte haben und auch haben sollen, da jeder in /etc und /var am Arbeiten ist, wenn etwas zu tun ist.

Wie löst Ihr das?

Schwierig dabei ist, daß ich ja nachvollziehen können will, wer wann angemeldet war und, im Idealfall, was derjenige getan hat!

Perfekt wäre, wenn man dann auch in den Log-Einträgen (die von Admins "verursacht" werden), dieser User mit auftaucht?!

Wege gibt es wohl folgende:

1. "Quick & Dirty":
Alle Admins haben die UID 0.
- Vorteil: 100%iges root-Verhalten der Zugänge, 100%ige Zuordnung von Logs/Messages zum User
- Nachteil: Systemprozesse, die als root laufen, können damit in Konflikt geraten. Z.B. und vor allem ssh: "PermitRootLogin no" sperrt leider anhand der Userid, nicht anhand des Namens..

2. Sudo:
- Vorteil:Saubere Trennung zu root, trotzdem root-Zugang möglich
- Nachteil: Aufwendig zu pflegen, wenn man ein paar dutzend Server-Systeme hat, außerdem ist dann jeder Admin wieder geneigt sofort nach dem Login sich per sudo zu "enablen" womit der Sinn der Trennung flöten geht, da alle dann doch wieder root sind

3. ??

Bitte teilt mir mal mit, wie ihr das so in euren Rechenzentren händelt mit den voll berechtigten Admins...

Grüße, Florian

bla!zilla
17.09.07, 11:47
Die meisten Kunden, die ich betreue, verwenden sudo für solche Zwecke, in Kombination mit einem LDAP Verzeichnis. Die Root-Kennwörter sind zwar gesetzt, der User wird aber nicht benutzt. Stattdessen gibt es für jeden Administrator einen eigenen Benutzer, der benutzt wird.

Qeldroma
17.09.07, 15:30
Also ist Variante 2 wohl die gebräuchlichste...
Wie halten diese Kunden denn die sudoers auf vielen Systemen synchron?

Grüße und Danke, Florian

asi_dkn
17.09.07, 15:59
Ich würde da auch auf sudo gehn. Wie man das am besten synchron hält? Falls alle Server genau gleich konfiguriert sind macht man einfach auf einem Server ein Script welches die Config für sudo verteilt, resp. die Server holen sich dort die Config von Zeit zu Zeit. Wenn jeder Server anders konfiguriert sein muss, dann gibts eben Verwaltungsaufwand. Anders kann man das kaum machen.

b3ll3roph0n
17.09.07, 16:13
Anders kann man das kaum machen.Doch.
sudo über einen LDAP-Server verwalten.
=> http://www.sudo.ws/sudo/readme_ldap.html

mkahle
17.09.07, 23:48
Bei sudo-Implementierungen von granularen Rechte-Zuweisungen sollte aber nicht vergessen werden, daß das eine oder andere Kommando "sub-shells" zuläßt .... immer wieder lustig, über ein einfaches 'more' root-Rechte zu erlangen ...

Qeldroma
18.09.07, 11:14
Bei sudo-Implementierungen von granularen Rechte-Zuweisungen sollte aber nicht vergessen werden, daß das eine oder andere Kommando "sub-shells" zuläßt .... immer wieder lustig, über ein einfaches 'more' root-Rechte zu erlangen ...

Naja, da die Admins ja eh root-Rechte bekommen sollen können die eh jedes System "mutwillig" zerschießen, somit ist dieses Risiko in meinem Fall zu vernachlässigen..

Grüße, Florian