服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 你准备放弃根访问?
Intereting Posts
活动目录configuration:有人可以解释冲突的信息? 在ESX4i中重命名vmdk文件 任何技术原因来安装“真正的”窗口来运行一个超v唯一的服务器? 输出与IIS7caching – 如何为dynamicaspx页面? 通过SSH备份Windows Ubuntu云服务器上的encryption文件系统 Hyper-V-VM在重启时丢失主机共享 php.ini中.htaccess文件中的PHP设置 – 可能吗? 授予PHP的sudo acsess SBS 2k8备份不会刷新Exchange日志 是否可以同步两个networking驱动器? fstab条目用密码装入NFS smartcheck可能的硬盘驱动器故障很快 Windows服务器时间一直将时间设置回2小时 需要使用.pcf从LAMPnetworking服务器进行VPN。 思科的Linux客户端是唯一的方法吗?

你准备放弃根访问?

有一个前面的问题:

我们应该禁用root用户吗?

大多数人反对这种可能性是说你会需要它,如果你没有,你将会面临很大的麻烦。

我不认为是一个真正的原因,有很多方法可以避免任何组件的单点故障,所以特别是访问一台服务器的重要性变得无关紧要。

因此,如果您的IT基础设施完全冗余,并且对某个特定服务器的访问不是非关键性的,并且可以通过集群,虚拟化,克隆,快速备份系统等来解决。

你会放弃根帐户? 我的经验表明,主要是系统pipe理员与root帐户有个人关系,并且没有保存他们自己的服务器的密码有很大的问题。

当能力更一般地支持​​一切,绝对。

在此之前,我会继续sudo的几件事情,仍然需要明确的特权升级。 最后,我研究了它,然而,许多开箱即用的系统仍然不支持function的概念。 这将是重要的。 这样,不pipe你的系统是什么,你都可以说“这个用户有权访问这个”,而不需要实际升级到另一个用户帐户。 当然,授予的权限需要以用户在系统中的angular色为基础,但是最终没有人应该拥有账户的所有权力(至less,如果有其他人被雇佣处理多个职能的话) 。

如果您是DBA,只要您拥有数据库系统进程和文件系统存储区域,则不需要任何forms的超级用户访问。 这可能意味着您必须要求磁盘pipe理员在您的分区上获得有趣的fsck或者不时恢复它们,但是DBA不应该有能力使用自己的访问权限取下机器,除非他们“拥有”服务器。

也就是说,如果你是pipe理服务器上所有进程的唯一的人,那么sudo是绝对足够的。 只有当其他人使用服务器和/或pipe理其上的东西(或依赖于它),并且有多个pipe理员权限分离进入帐户时,无论如何。

只要通过ssh和su禁用rootlogin即可。 它在我参与过的任何组织中一直运行良好。 只需使用控制台以root身份login进行维护,所有其他用户只需使用sudo即可。

你会放弃根帐户? 我的经验表明,主要是系统pipe理员与root帐户有个人关系,并且没有保存他们自己的服务器的密码有很大的问题。

如果我负责一台服务器,我将需要一些级别的特权访问。 这个帐户名称是否是root ,或者是否需要以我自己的身份login并使用某些工具来提升我的权限并不重要。

如果系统是一个标准的* nix(或者接近标准),那么我可能需要某个pipe理任务的访问权限,因为这是几十年来的方式,而且有很多惯于以这种方式做事。 但是,这并不意味着我不需要login帐户,否则我会将该帐户保持打开并且不受保护。

如果我不对主机负责,那么我可能不应该给root帐户。 事实上,我经常试着避免让任何人告诉我什么是root密码。

因此,如果您的IT基础架构完全冗余,并且对某个特定服务器的非访问权限不重要,并且可以通过群集,虚拟化,克隆,快速备份系统等来解决。

老实说,我不明白这是如何涉及需要一个特权帐户在计算机上执行特权任务。

我们仍然保持根帐户和login在我们的所有服务器上。 原因是所有其他用户帐户来自中央目录服务器。 如果某台服务器脱机或者某种程度上失去了与该目录的连接,则需要有一种方法才能login到该服务器上。 我不知道除了拥有一个root帐号以外还有什么可以做的。

我在工作的组织中关于“根”帐户的常见最佳实践。

  • 完全禁用远程访问,或只允许通过密钥validation的SSH。
  • 禁用/lockingroot的密码(一个Ubuntu的)。
  • 严格要求使用sudo并确保其正确logging。
  • locking/bin/su只能由某个组(通常是wheelsysadmin )执行。
  • 确保根shell已被logging(强制script ,使用sudosh ,shell历史技巧等)。
  • 只有需要root访问权限的用户被授予sudo ALL权利,并且通过sudo以其他方式授予权限。

UID 0仍然是必需的,特别是对于像1024以下的开放端口这样的任务,即使在应用运行之后丢弃了priv也是如此。

IT中的安全性和便利性是相互排斥的。 直接使用root帐户往往是一个方便的问题,而不是必要的,也许是因为pipe理员讨厌一直打字sudo

在Unix和GNU / Linux上,仍然有些时候你需要做root,但不经常。 如果您正确设置了sudo,SELinux和/或function,您可以显着降低对root的需求。

有关故障的大量信息隐藏在仅限根目录的日志文件中,但给予正确的权限设置以允许我使用这些相同的日志文件以及testing环境,如果我愿意的话可以是root,那么是的。 我会。

如果sudo让我做我需要做的事 – 有时我需要一个root shell – 那么是的,我会放弃root帐户。 实际上,我可能会更快乐。

我的答案只是“不”。 当然,我需要pipe理权限时使用root帐户,否则使用正常的用户帐户。

作为MS Windows开发人员,我一直使用具有本地pipe理权限的域帐户。 否则就麻烦太多了,特别是当你需要处理COM / COM +等等时,我曾尝试在Windows 2000的早期使用普通用户进行开发,最后在一个月的时间里放弃了……“RunAs “当时不能救我所有的麻烦…

在过去的几年中,我工作的大多数环境都有密码安全的root密码,用于紧急情况,所有的特权访问都通过sudo或ksu。 这不仅可以实现更细粒度的访问控制,而且还具有维护审计跟踪的副作用 – 您可以确定升级哪个非特权帐户来执行哪个命令。

如果您打破了sudo的configuration或者普通用户的身份validation方法失败(例如在LDAP环境中),那么能够启用root帐户是非常好的。 如果你有一个本地用户,并总是使用visudo(这将validationsudoconfiguration,并捕获大多数错误),那么你应该没问题。 如果出现问题,请准备好使用启动光盘进入系统。 有权访问root帐户,即使密码保存在一个安全的地方,在正常使用情况下也无法访问,如果出现问题,可以为您提供一个安全网。