Linux zarządzanie kontami

Question

Witam.

Może Ktoś mi wytłumaczyć lub podrzucić jakiś poradnik, który pomoże zrozumieć zarządzanie kontami w Linux a dokładniej mam na myśli kwestie uprawnień użytkownika, bo często spotykam się z tym iż chce zainstalować (Linux serwer - testowy) jakikolwiek program np teamspeak, lamp itp, to cokolwiek chce z tym programem zrobić muszę mieć uprawnienia root - a z tego co wiem to nie powinno się tak robić, lecz dać uprawnienia jakiemuś userowi do programu, grupy i tego właśnie nie wiem@#$!%??

Podam na przykładzie...

Chciał bym zainstalować serwer ftp i móc go konfigurować, zarządzać stworzonym użytkownikiem jak to zrobić?

Comments

Przy okazji, jeśli chcesz mieć FTP, ale nie konkretnie FTP tylko po prostu zdalny dostęp do plików, to znacznie lepszym wyborem jest SFTP - bo idzie po szyfrowanym połączeniu. Jeśli się łączysz z serwerem przez SSH to już masz dostęp do SFTP. Jak nie to wystarczy zainstalować serwer OpenSSH.

---

Tak to wiem a ftp było tylko przykladem... ale thx za info

Answer 1

Chciał bym zainstalować serwer ftp i móc go konfigurować, zarządzać stworzonym użytkownikiem jak to zrobić?

To typowe zadanie administracyjne -> powinien je realizować administrator -> potrzebne sudo.

Z uprawnieniami to pole minowe - trudno dać komuś "częściowe uprawnienia administracyjne", bo często mając dostęp do jednego narzędzia administracyjnego można już łatwo eskalować uprawnienia i zrobić więcej niż było oryginalnie zamierzone. Dlatego zazwyczaj się stosuje twardy podział na adminów i userów.

Comments

OK rozumiem, lecz często można się spotkać z taką praktyką gdzie przy instalacji np proftp na samym początku zostaje utworzony nowy użytkownik o nazwie  (często takiej samej jak program/usługa) proftp, więc myślałem że to właśnie po to by zarządzać/konfigurować tą usługą to logujemy sie na tego właśnie usera (zapewne musi on mieć odpowiednie uprawnienia związane z tą usługą...) i dla bezpieczeństwa to właśnie na tym koncie działamy - bo jak wiadomo przejęcie np jednego takiego konta nie zagraża innym usługom/systemowi.

---

Każdy proces musi działać jako jakiś user. Nie ma sensu żeby proces działający 24/7 działał jako jakiś konkretny istniejący user; tym bardziej nie ma sensu żeby działał jako root - więc dostaje nowego, osobnego usera.

---

...więc dostaje nowego, osobnego usera

 tzn właśnie jak?

---

No, jest tworzony podczas instalacji, np. w apt'cie:

Dodawanie użytkownika systemowego "proftpd" (UID 124)...
Dodawanie nowego użytkownika "proftpd" (UID 124) w grupie "nogroup"...

 

---

Aha rozumiem automatycznie ?

To jeszcze zapytam co jeśli ja jako Admin chciał bym dać uprawnienia do zarządzania np apache-m innej osobie aby tylko mogła adminować serwerem www to jak to zrobić? - bo przecież nie praktykuje się chyba przekazywania hasła do root innym

---

Do edytowania plików konfiguracyjnych Apache'a (czemu nie nginx :/): dodaj usera do grupy "webadmini", i przypisz pliki do tej grupy: http://askubuntu.com/a/487535

Do zarządzania samą usługą (start, stop, restart, reload) ożesz dać dostęp do pojedynczych komend w pliku sudoers.

Systemy z sysvinit/podobnymi (m.in. starsze Debiany, Ubuntu): http://serverfault.com/a/69854

Systemy z systemd (m. in. Arch, Debian 8, Ubuntu 16): http://unix.stackexchange.com/a/192714

Answer 2

Aby nadać prawa konkretnemu użytkownikowi/grupie użyj /etc/sudoers potem przed każdym wydaniem polecenia dopisujesz na początku sudo np. sudo /etc/init.d/ftpd start

Najprościej zainstalować z repo (root lub user uprawniony bo on ma prawa do tego). Wtedy demon będzie ładnie startował z systemem i nic nie będziesz cudował.

Ewentualnie możesz spróbować zainstalować w przestrzeni użytkownika ale to jest często rzeźbienie i to najczęściej ze źródełek, a na końcu zazwyczaj i tak root musi zrobić dziurkę w firewall'u...

Answer 3

Być może to coś Ci pomoże

http://www.linuxportal.pl/wpisy/zarzadzanie-usuwanie-i-wylaczanie-kont-uzytkownikow-dodawanie-nowych-uzytkownikow-cz-6-id100211