我已经将jenkins用户添加到了jenkins组,他们认为这将允许Jenkins作业运行Docker命令。 如果我切换到jenkins用户,我可以validation它的工作原理(手动): ubuntu@hostname:~$ ps aux | grep java jenkins 2210 9.5 7.5 1950316 292896 ? Sl 00:01 1:00 /usr/bin/java -jar /data/jenkins/jenkins-1.586.war –httpPort=8080 -Xloggc:/var/log/jenkins/gc.log ubuntu@hostname:~$ getent group docker docker:x:999:jenkins ubuntu@hostname:~$ ls -la /var/run/docker.* -rw-r–r– 1 root root 4 Oct 23 18:32 /var/run/docker.pid srw-rw—- 1 root docker 0 Oct 23 18:32 /var/run/docker.sock ubuntu@hostname:~$ sudo su -s /bin/bash […]
我刚刚开始为一家中小型公司提供IT支持。 也许150或更less的用户。 现在每个用户都拥有对自己机器的pipe理权限。 这允许他们安装更新或其他任何他们想要的。 我厌倦了用自己的废话臃肿的用户机器。 所以我首先想到的是将pipe理权限移交给他们的电脑。 这也有其他的好处,比如防止networking上的大量恶意软件等。 问题出现在用户无法安装更新。 (尽pipe我发现无论如何都忽略了这些) 大公司如何处理所有客户机器上的软件更新? 编辑:Windows环境。 大多数服务器是Windows Server 2003 Enterprise。 客户端都是Windows。 Win XP,Vista和7。
我注意到正在/var/log中创build的邮件日志正在被root(用户和组)所创build和拥有。 我写了一个监视日志的Nagios检查,为了让Nagios用户可以访问它,我给了other组的读取权限,那就是: chmod o+r /var/log/maillog 现在当我想到的时候,这只是一个日志文件,当日志文件被填满时,日志的旋转机制会重命名这个文件并打开一个新文件,但是新的maillog文件将不具有我允许的read right 。 所以我的问题是,我怎样才能确保日志旋转机制将创build所有新的mailllog文件与Nagios用户的权限? 提前致谢
我试图创build一个MySQL用户,只允许从一个特定的主机名连接到MySQL数据库。 将所有db_name。*授予'user_name'@appserver-lan.mydomain.com'由'some_passwd'标识 通过检查MySQL数据库中的用户表,我可以看到用户已成功创build: 使用mysql; select*从用户其中用户='用户名'和主机='appserver-lan.mydomain.com' 要么 显示'username'@appserver-lan.mydomain.com' 我指定的主机名是amazon-ec2名称的别名,当由AWS DNS服务器parsing时,会生成一个LAN地址: [root @ db_server〜]#host appserver-lan.mydomain.com appserver-lan.mydomain.com是ec2-xxx-xxx-xxx-xxx.compute-1.amazonaws.com的别名。ec2-xxx-xxx-xxx-xxx.compute-1.amazonaws.com的地址为10.xxx .xxx.xxx 问题是,当我尝试从这个appserver-lan连接到数据库LAN IP时,虽然密码是正确的,但是我得到一个访问被拒绝的错误。 这里奇怪的是,错误中显示的主机名不是我在创build用户时指定的主机名: 错误1045(28000):访问拒绝用户'user_name'@' appserver.mydomain.com '(使用密码:是) 所以,我的问题是:如何确定客户端主机名? 我相信这不是通过反向DNS查找,因为我检查,它不指向“appserver.mydomain.com”既不指向“appserver-lan.mydomain.com”。 此外,数据库服务器没有与/ etc / hosts上的应用程序服务器相关的条目。 总之,我敢肯定这是一个主机名parsing问题,因为授予主机“%”或局域网IP的权限工作得很好。 任何我想念的想法?
任何人都知道是否存在允许非pipe理员用户closures服务器的设置? 很明显,我可以设置“允许服务器closures而不login”GPO,但这不是一回事。 我正在寻找一种方法来正确分配closures权限,如果可能的话,特定的用户。
一个客户想要一个新的软件。 通常他们在签署合同之前就碰巧提到IT。 通过技术要求的浏览显示没有什么特别的,除了客户端/代理软件的所有用户都需要对他们本地机器的“高级用户”权限。 这将被部署在一个呼叫中心,在那里我不会像其他业务一样考虑到这些“可信”。 因此,我立即扼杀了这一点,但似乎在Windows 7高级用户什么也没有做。 在XP上,它给了你一堆访问权限 ,我不认为我知道它曾经被使用过的任何地方。 我不得不承认,自从Vista以来,我甚至都没有想过。 在Win 7计算机上检查secpol.msc,用户权限分配不显示与高级用户关联的任何内容 。 然而它的描述会让你相信“高级用户是为了向后兼容而拥有有限的行政权力” 有谁知道这些“有限的行政权力”究竟是什么? 微软似乎没有生成任何文件(我无法find一个),详细说明这个小组是做什么的,而且我能find的唯一详细的技术描述可以追溯到2003 / xp和之前。
我曾经使用主pipe来pipe理一个运行Django站点的Gunicorn进程,尽pipe这个问题可能与pipe理员正在pipe理的任何东西有关。 以前我是pipe理和使用我们服务器的唯一人员,而且pipe理员只是以root身份运行,我会在需要时使用sudo来运行supervisorctl restart myapp 。 现在我们的服务器必须支持在不同地点工作的多个用户,每个项目都需要能够重新启动他们自己的gunicorn进程,而不能重新启动其他用户的进程。 我跟着这个博客文章: http://drumcoder.co.uk/blog/2010/nov/24/running-supervisorctl-non-root/ 并能够允许非root用户使用supervisorctl,但现在任何人都可以重新启动其他人的进程。 从外观上看,主pipe没有办法做每个用户的访问控制。 任何人有任何想法如何让用户只重新启动自己的进程没有根? 编辑:我们曾经想过的一些事情包括编写一个脚本所拥有的suid位设置,只包含supervisorctl restart myapp并将其放在拥有myapp的用户的目录中的一个脚本。 互联网似乎是说,如果做错了,这样的脚本是不安全的。 我们还考虑编写一个自定义守护进程来监听来自特定用户的命令,并在用户有权限的情况下重新启动监督进程。 如果简单的解决scheme可行,这个想法似乎过于复杂。
作为一名开发人员和一名开发团队的ITpipe理员/支持人员,我已经遇到了许多不同types的环境,从完全locking到完全不存在。 在我有限的支持经验下,我认为用较less的locking机器来支持的努力就不那么容易了,我当然觉得这很容易,但当然这可能是偏差。 我想从IT支持的angular度来了解这个观点是否真的难以支持那些没有locking机器的开发者?
我最近设置了我的服务器,以便我的suPHP“虚拟”用户不能使用这篇文章login 我现在的问题是,之前当我运行在服务器上运行的Ruby on Rails应用程序的rake命令时,我用su来进入www-data并从那里执行命令 – 显然我不能再那样做了,因为NOLOGIN。 所以作为root用户,即使他们是nologin,我怎样才能像其他用户一样执行命令呢?
我刚刚遇到服务器房间里有东西在燃烧; 我怎么能快速识别它是什么? 。 在评论中,我发现了下面的引用: you don't let a developer anywhere near your root passwords 作为一名开发人员,还有一些对系统pipe理员非常感兴趣的人,我想知道这个短语是否对每个人都是标准呢?也就是说,不要放弃密码? 评论者指出,这在系统pipe理员社区中是相当常见的知识。 是吗?