مانیتورینگ کاربران در لینوکس ردهت

[H4dad]

سلام دوستان
من توی یک شرکت چند تا سرور لینوکس ردهت راه اندازی کردم و با یک RPM که روی سرورهام نصب کردم اونارو جوین اکتیو دایرکتوری کردم
هرکس با یوزر خودش لاگین میکنه به سرورها، یک گروه توی اکتیو به نام sa درست کردم  کسایی که جزو اون گروه هستن میتونن su کنن تو root بعضی از کاربرها برای برخی از کارهاشون حتما نیاز دارن تا پرمیژن روت رو داشته باشن، خیلی وقت گذاشتم برای دسترسی هاشون اما نشد. حالا سوال من این هست ابزاری میشناسید که بشه کاربرها رو مانیتور کرد؟ خودم بعضی وقت ها از bash history کاربرا اون ها رو مانیتور می کنم، اما کاربری رو که su زده چطوری مانیتور کنم؟
ممنون

[دانیال بهزادی]

شما در هر توزیعی باید پیش از هر چیز کاربر ریشه رو از کار بندازین. با این کار su هم از کار می‌افته و برای داشتن دسترسی ریشه، باید از روش استاندارد sudo استفاده کنن که توی تاریخچه می‌آد.

[H4dad]

ممنون از راهنماییت
میشه یک راهنمایی با یک مثال ازتون بگیرم؟
مثلا crs اوراکل رو میشه با sudo استاپ/استارت کرد؟
ممنون

[H4dad]

چیزی که متوجه شدم اینه که تو /etc/sudoers به اون کاربر پرمیژن ALL ALL بدم؟
یک موضوع دیگه هم که هست کاربر مورد نظر میتونه راحت history خودش رو پاک کنه! مگر اینکه اون لاگ هیستوری برای یک سرور دیگه ارسال بشه، آخه این مدلی خیلی سناریو پیچیده میشه کاش یک ابزار چیزی وجود داشت.
مرسی

[nixoeen]

با sudo به کاربرها دسترسی کار خاصی که لازم دارند رو بهشون بدید، نه دسترسی ریشه.

[جعفر فرقانلوژ]

ریک سوال اصلا چرا دسترسی روت وجود داره که باید از کار انداخته بشه ؟

[Dragon-]

ممنون از راهنماییت
میشه یک راهنمایی با یک مثال ازتون بگیرم؟
مثلا crs اوراکل رو میشه با sudo استاپ/استارت کرد؟
ممنون

بله باید بشه. به نظرم بهتره یه گروه بسازید (مثلا به اسم oracle) بعد توی sudoers تنظیم کنید که اعضای این گروه اجازه اجرای یه دستور خاص رو دارند. بعد هر کاربری که لازم هست اینکار رو انجام بده، عضو این گروه کنید.
ولی بهتره که توی فایل sudoers اینکار رو انجام ندید تا اون فایل مثل اول بمونه، بجاش می‌تونید یه فایل داخل دایرکتوری زیر درست کنید و تنظیمات رو اونجا قرار بدید.

کد: [انتخاب]

/etc/sudoers.d
بهتر نبود به‌جای active directory، از ldap استفاده می‌کردید؟
اون بسته rpm که گفتید نصب کردید، از خود مخازن rhel بوده یا اینکه از جای دیگه دریافتش کردید؟ اگه از جای دیگه بوده، حتما مطمئن بشید که امن هست و پشتیبانی میشه. همینطور مطمئن بشید که در آینده با بسته‌های داخل مخازن تداخل پیدا نمی‌کنه.

ریک سوال اصلا چرا دسترسی روت وجود داره که باید از کار انداخته بشه ؟

توی سرور بهتره از کار افتاده بشه. چون اگه کسی مستقیم وارد کاربر روت بشه، می‌تونه خرابکاری‌های زیادی انجام بده. ولی استفاده از sudo امن‌تر هست چون میشه کنترل خیلی بیشتری روش داشت.

توی کامپیوتر خانگی هم بهتره تا میشه، کاربر روت غیرفعال باشه تا کاربر اشتباهی وارد روت نشه و چیزی رو خراب نکنه.

[H4dad]

ممنون از راهنمایی دوستان

بهتر نبود به‌جای active directory، از ldap استفاده می‌کردید؟

اگه دست خودم بود اینکار رو می کردم اما سیاست سازمان استفاده از اکتیو دایرکتوری هست.

یک سوال اصلا چرا دسترسی روت وجود داره که باید از کار انداخته بشه ؟

بیشتر به خاطر همین دسترسی های اوراکل

[H4dad]

ولی بهتره که توی فایل sudoers اینکار رو انجام ندید تا اون فایل مثل اول بمونه، بجاش می‌تونید یه فایل داخل دایرکتوری زیر درست کنید و تنظیمات رو اونجا قرار بدید.

منظورتون اینه ازش یک Backup بگیرم، فکر نمی کنم مشکلی پیش بیاد انتهای فایل تغییرات رو میزارم، یک امتحان کردم دسترسی crs رو درست کردم، اما دسترسی ها زیاد، متاسفانه دونه دونه باید دسترسی ها رو اوکی کنم، میدونید وابستگی Grid به یوزر root خیلی زیاد هست ، به خاطر اینکه با یوزر root نصب شده.

[دانیال بهزادی]

ریک سوال اصلا چرا دسترسی روت وجود داره که باید از کار انداخته بشه ؟

جاش این‌جا نیست، ولی یا توزیعشون توزیع بدیه که کاربر ریشه‌اش فعّاله (احتمال کم)، یا کسی که نصبش کرده، اشتباه کرده که کاربر ریشه رو به کار انداخته (احتمال بیش‌تر).

[H4dad]

جاش این‌جا نیست، ولی یا توزیعشون توزیع بدیه که کاربر ریشه‌اش فعّاله (احتمال کم)، یا کسی که نصبش کرده، اشتباه کرده که کاربر ریشه رو به کار انداخته (احتمال بیش‌تر).

توزیع Oracle Linux 7.9 به صورت دیفالت کاربر ریشه فعال هست، واسه نصب اوراکل RAC باید یک سری از کارها با کاربر ریشه انجام بشه اما واقعا درستش اینه که کاربر ریشه غیرفعال باشه

[دانیال بهزادی]

توزیع Oracle Linux 7.9 به صورت دیفالت کاربر ریشه فعال هست، واسه نصب اوراکل RAC باید یک سری از کارها با کاربر ریشه انجام بشه اما واقعا درستش اینه که کاربر ریشه غیرفعال باشه

اون که توزیع بدیه واقعاً و بنیاد نرم‌افزار آزاد هم کلّی ازش بد گفته

[H4dad]

اون که توزیع بدیه واقعاً و بنیاد نرم‌افزار آزاد هم کلّی ازش بد گفته

بیشتر به خاطر سازگاریش با اوراکل هست

[Dragon-]

منظورتون اینه ازش یک Backup بگیرم، فکر نمی کنم مشکلی پیش بیاد انتهای فایل تغییرات رو میزارم، یک امتحان کردم دسترسی crs رو درست کردم، اما دسترسی ها زیاد، متاسفانه دونه دونه باید دسترسی ها رو اوکی کنم، میدونید وابستگی Grid به یوزر root خیلی زیاد هست ، به خاطر اینکه با یوزر root نصب شده.

نه منظورم این بود که چیز‌هایی که می‌خواهید بنویسید رو به فایل زیر اضافه نکنید.

کد: [انتخاب]

/etc/sudoersبلکه توی یه فایل توی دایرکتوری زیر اون چیز‌ها رو بنویسید. اینجوری فایل sudoers مثل اولش می‌مونه.

کد: [انتخاب]

/etc/sudoers.d
در هر دو حالت توی عملکرد فرقی نداره. کاری که من گفتم باعث میشه در آینده راحت‌تر بشه فهمید که اون دسترسی‌ها وجود داره.

[H4dad]

در هر دو حالت توی عملکرد فرقی نداره. کاری که من گفتم باعث میشه در آینده راحت‌تر بشه فهمید که اون دسترسی‌ها وجود داره.

چه جالب نمیدونستم میشه اینکار رو کرد. مرسی