以往小弟都是用Root的權限登入系統建立帳號,但近來公司來了位新人,想將Linux建立系統帳號密碼的工作交給他處理
但又擔心給新人用Root帳號,他會不小心去誤刪/更改了其他東西(新人完全不懂Linux),這是件很可怕的事情.
由於小弟也不是很熟悉Linux,所以想請教版上的各位高手,有什麼方法可以不給root帳號和權限,但可以讓新人建立/刪除Linux的帳號密碼呢?
關閉廣告
個人積分:278分
文章編號:53708775
個人積分:0分
文章編號:53709321
個人積分:10分
文章編號:53709331
個人積分:10分
文章編號:53709432
個人積分:278分
文章編號:53709797
個人積分:0分
文章編號:53710792
個人積分:2分
文章編號:53711810
個人積分:12928分
文章編號:53712022
webmin 這個軟體的登入帳號,是獨立帳號資料庫的,與 unix 帳號無關
安裝後,root 登入,新增一位 webmin 管理者(不要與 unix 帳號同步,設定獨立密碼)
權限只給他:使用者與群組、更改密碼
就是說:這個人登入 webmin 後,管理界面就只會有這兩項
新增後,webmin 登出 root,登入那個帳號,檢查看看設定是否 OK。
使用者與群組 的管理界面,可以 新增、修改 unix 使用者(/etc/passwd)
關於安全性:
webmin 程序是以 root 身份運行的
亦即:如果你給某個人權限,在 webmin 中可以修改 unix 使用者帳號,那麼他也可以去改變 uid 500 以下的系統帳號密碼,包括 uid 0 的 root 。
就是說,假如他要有意要控制那台伺服器,仍可以辦到的,更改 root 密碼後,他就可以用 root 身份登入(ssh 或 webmin)
要防止這種情況,ssh 可以禁止 root 登入,webmin 則是限制 root 帳號登入的 IP 位址。
但除了 root 以外,如果 httpd、postfix 什麼的,系統帳號被改了密碼、甚至刪除,也會很困擾。
所以上述這種 webmin 的方法,只是防呆,不具安全性。
防呆就是說:防止那個人去亂改伺服器設定。
安全性方面,如果他有意要 破壞、侵入 伺服器,可以辦到。不具安全性。
也就是說:你信任他不會亂來,但不信任他的專業知識,這種情況下,可以採用這方法。
※ 假如允許遠端網路登入 webmin 的話,因為 webmin 非常強大,等同於 root,允許登入的 IP 務必要限制,以防被外界侵入。(在 webmin 組態 那邊,有個 IP存取控制。)
需要加入 unix 帳號(Linux 帳號),推測應該是 e-mail 用途吧。如果 smb 用途的,smb 的帳號也是獨立的,與 unix 帳號無關。
組織很龐大的話,e-mail 找找看方法,能不能脫離 unix 帳號,使用第三方帳號資料庫(獨立的,與 Linux 帳號無關的),印象中有這樣的方法,這樣會比較容易管理和安全性。至於方法,這部份個人沒研究,所以不清楚,只是建議這樣會比較好,有興趣可自行搜尋爬文研究。
個人積分:10分
文章編號:53712990
關閉廣告