Я некоторое время управлял сервером с несколькими друзьями, мы все делим сервер, хотя я тот, кто на самом деле платит за сервер.
Я запускаю все свои вещи как пользователь root.
(Я знаю, что это плохая идея, и она может нанести непоправимый ущерб, но это было проще всего сделать при настройке сервера, и если я хочу зайти в чьи-либо файлы, мне не о чем беспокоиться разрешения, и они не могут попасть в мои файлы большинством методов)
Я не хочу, чтобы ЛЮБОЙ из постоянных пользователей мог попасть в пользователь root или каталог / root без фактического входа в систему с паролем учетной записи root. У меня отключено su - root
, но все еще есть sudo -i
, sudo -s
и возможность просто sudo cp -R /root ~/rootStuff
, я не хочу, чтобы они могли получить доступ к реальной учетной записи root или каталогу, все, что действительно нужно уметь делать - это работать в своих домашних каталогах, и материал, который регулярно доступен всем, /opt
, /etc
и т. д.
я не хочу полностью отнимать sudo у всех, так как это означает, что все, что им нужно делать с сервером, например, правильная установка пакетов, будет привлекать меня, но если это лучший способ, я могу это сделать. .
Не то, чтобы я не доверял людям, которые у меня есть на моем сервере, я верю, что они хорошие друзья, у меня просто есть несколько довольно чувствительных вещей, хранящихся в /root.
Единственные команды, которые им действительно нужны, чтобы быть в состоянии sudo, - это apt
и, возможно, некоторые другие случайные команды в будущем, но я могу с этим справиться, когда доберусь туда.
Версия сервера - 18.04.3 LTS, если это имеет большое значение. Кроме того, сервер является выделенным сервером от хостинговой компании, у меня есть только ssh, нет физического доступа или визуальный.
, Дают разрешение sudo определенным командам как это:
, Что это означает, пользовательский боб, от любого терминала (ВСЕ) могут sudo, который получают склонные команды, и склонные-.
Вы будете также видеть bob ALL = (ALL) foo, bar
в сети много, что означает, позволяют бобу, выполненному от ВСЕХ терминалов как ВСЕ пользователи. Я не думаю, что существует любое использование к использованию склонного как любой другой пользователь так или иначе.
, Если необходимо предоставить друга доступ к большему количеству программ, можно добавить больше объектов с запятыми.
Дайте всем их собственный контейнер LXD, затем заблокируйте их из хост-сервера.
Контейнеры могут выглядеть и чувствовать как полная система (кроме того, если Вы роете вокруг ядра), включая SSH и склонный. У каждого из Ваших друзей может быть их собственный контейнер, установить/удалить/настроить то, что они любят. Это берет часть ресурсов реального VM.