chaowbkimo wrote:
我也覺得這也是一個好...(恕刪)
您說的沒錯,就是因為異動的太頻煩,所以才想把這部份還給子公司的MIS
忘了說,我家的Linux裡是裝上ERP系統,由於原ERP系統管理人離職,請我先代管
但本身沒接觸過Linux,所以對這部份不熟悉,只好上來請教各位高手,非常感謝您的建議.
個人積分:10分
文章編號:53713051
個人積分:278分
文章編號:53713442
就等於給他root
他可以開一個有管理權限的帳號
即便不是他 他會不會把你給他的帳密洩露給其他人使用也是個問號
你只是代管的 又沒接觸過Linux
不應該因為作業麻煩而增加系統風險
因為root在你手上也是個風險
http://d8890007.blogspot.tw/2012/11/linux_14.html
你只能從作業上做管理
人員異動問題 可以限制子公司提交名單的時間跟次數
用上面連結的方式以一個指令來建立一批帳號
或是改使用跟人名無關的帳號
例如以部門別加編號
人員異動是補上原本空缺的位置 帳號應該要/也可以如此延用
3C的世界裡,別滿腦子只想著"超值"。就像無線網路一樣,別人推薦的,只適用在他家的環境,到了你家又是另外一回事。小烏龜牽到北京也不會變成千里馬。
個人積分:1248分
文章編號:53713491
個人積分:43分
文章編號:53718090
個人積分:12928分
文章編號:53718503
xs910203 wrote:
寫一個開帳號的script ... 幫他開sudo權限,僅限於跑該script,只要他沒權限修改該script,無其他風險..(恕刪)
這個思路不錯,好方法
***************************************
簡易範例,供樓主參考:
useradd.sh
--------------------
#/bin/bash
# 讀入參數
userName="$1"
# 檢查使用者是否有輸入參數,若無則顯示使用方法的訊息並退出腳本
if [ -z "$1" ] ; then
echo '未輸入使用者名稱!腳本結束。'
exit 0
fi
# 主程式區
useradd ${userName}
---------------------------
chown root:mis useradd.sh
chmod 4710 useradd.sh
把那位使用者歸類在 mis 群組
4710 root:mis (rws --x ---)
mis 群組可執行(--x)
第一碼4(set UID),執行時,程序的運行身份等同檔案創建者(這個例子創建者是 root)
passwd 也可以寫個類似腳本。
或整合在一起。$1 參數指定模式,$2 參數帶入資料。
不過 passwd 的部份,腳本就不能這麼草率,要檢查欲更改的帳號名稱,系統帳號禁止更改密碼。不然會有漏洞。
腳本中,螢幕顯示訊息的部份可以再改良一下。
順便加入一個 LOG 紀錄功能,也是不錯的主意。
紀錄 log 範例:
--------------------
# 取得時間
timeNow=` date '+%Y%m%d%H%M%S' `
# 寫入 log 紀錄
echo " 操作員: ` whoami ` 在 ${timeNow} 時,建立了使用者帳號 ${userName}" >> /var/log/創建帳號紀錄檔.log
------------------------
touch /var/log/創建帳號紀錄檔.log
chown root:root /var/log/創建帳號紀錄檔.log
chmod 700 /var/log/創建帳號紀錄檔.log
先把紀錄檔創好,設定適當權限,防止被竄改和偷看。
log 紀錄擋因為是由 useradd.sh 去寫入的,而它會以 root 身份運行。所以 log 檔權限 700 ,可寫入,又可不被竄改。
個人積分:210分
文章編號:53719741
