GoldenLine
Zaloguj się
Szymon Dziech

Szymon Dziech Administrator
Systemów

Temat: Zdalne polecenia SSH, sudo, klucze.

Witam

Posiadam router, który jest odpowiedzialny oczywiście za routing, ale także pełni rolę serwera DHCP w sieci.

Wszelkie modyfikacje pliku konfiguracyjnego serwera DHCP odbywają się zdalnie przez aplikację webową na innym serwerze.
Aplikacja jest napisana w PHP wiec aby wykonać wszelkie operacje na routerze używa scp do przesłania pliku oraz możliwości wykonywania zdalnych poleceń ssh.

Serwer SSH jest skonfigurowany z kluczami więc aplikacja nie potrzebuje hasła aby polecenie zostało wykonane.

Aplikacja łączy się za pomocą root-a, gdyż takie prawa są potrzebne aby usługą zarządzać. Program modyfikuje czasami też wpisy w iptables.

Chciałbym zablokować możliwość logowania się wszystkim użytkownikom bezpośrednio na roota ( jest to sytuacja niezbyt bezpieczna, ale aplikacja mi wymusza )

Czy jest możliwość udostępnienia konta roota bezpośrednio aplikacji, a zarazem zablokowania użytkownikom.
Myślałem o sudo, ale aplikacja nie ma możliwości wpisania hasła.

Chciałbym również wykonywać backupy wszystkich plików oraz baz mysql i czy aby mieć taką możliwość też muszę pozostawić konto roota dostępne do logowania?

Pozdrawiam
SzymonSzymon Dziech edytował(a) ten post dnia 30.07.10 o godzinie 11:46
Link do wypowiedziLink
Irek Słonina

Irek Słonina programowanie, bazy
danych i linuksy

Temat: Zdalne polecenia SSH, sudo, klucze.

Może udostępnij aplikacji inne, nieuprzywilejowane konto i wszystkie komendy poprzez sudo bez wymagania wpisywania hasła (NOPASSWD).

Do mysqla nie potrzebujesz w ogóle się logować jeśli możesz robić dumpy na innej maszynie. Jeśli na tej samej to utwórz sobie specjalne konto w mysqlu, które nie ma nic wspólnego z kontem uniksowym.Irek Słonina edytował(a) ten post dnia 30.07.10 o godzinie 11:49
Link do wypowiedziLink

konto usunięte

Temat: Zdalne polecenia SSH, sudo, klucze.

Szymon Dziech:

Chciałbym zablokować możliwość logowania się wszystkim użytkownikom bezpośrednio na roota ( jest to sytuacja niezbyt bezpieczna, ale aplikacja mi wymusza )

Czy jest możliwość udostępnienia konta roota bezpośrednio aplikacji, a zarazem zablokowania użytkownikom.
Myślałem o sudo, ale aplikacja nie ma możliwości wpisania hasła.

Nie wiem czy dobrze zrozumiałem, ale mógłbyś dla potrzeb komunikacji (wspomnianej aplikacji) stworzyć nowe konto, które będzie miało odpowiednie prawa i dla tego konta wygenerować nowe klucze SSH, wtedy dla konta "root" możesz wygenerować nowe klucze lub zabezpieczyć hasłem.
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Zdalne polecenia SSH, sudo, klucze.

Przyjrzyj się jak to jest realizowane przez LMS
http://www.lms.org.pl/
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

"Kilka" sesji ssh naraz




Wyślij zaproszenie do
Anuluj