[請益]如何將service用service xxx start之後,限定非root使用者執行 [論壇 - 伺服器架設]


正在瀏覽:   1 名遊客


 到底部   前一個主題   下一個主題  [無發表權] 請登錄或者註冊

(1) 2 »


[請益]如何將service用service xxx start之後,限定非root使用者執行
會員一級
註冊日期:
2013/10/26 20:55
所屬群組:
已註冊使用者
等級: 2
HP : 0 / 28
MP : 3 / 504
EXP: 12
離線
各位前輩
小弟目前遇到一樣難題
主管希望所有的對外服務都只有指定的非root使用者執行
小弟用apt-get install 安裝了NGINX與APACHE
在設定檔指定了running user
但是在process中出現的還是root
請問,有沒有任何方式可以解決這個問題?
還是要將所有的對外的service全部用特定使用者來compile到完成?
另一個麻煩是小弟已經有一個嘗試是將tomcat用特定user裝完
只有tomcat需要的java是內建的openjdk
將webapps指定至該特定使用者的家目錄
但是這樣反而沒辦法正常瀏覽,與將專案的*.war解開
因為小弟之前的經驗,還沒有碰過有主管這樣的資安要求
是否各位前輩可以給小弟一點IDEA?
謝謝各位

2013/10/26 21:31
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行

註冊日期:
2009/12/6 10:32
所屬群組:
已註冊使用者
等級: 71
HP : 1404 / 1756
MP : 4456 / 51336
EXP: 24
離線
限定非root使用者執行

你這裏的 非root使用者 需要不需要 註冊帳號
如果 需要註冊 是註冊後 就可以瀏覽 還是還要經過一個額外核准的程序

不允許 root 使用者 執行嗎 ?

2013/10/27 16:27
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行
會員一級
註冊日期:
2013/10/26 20:55
所屬群組:
已註冊使用者
等級: 2
HP : 0 / 28
MP : 3 / 504
EXP: 12
離線
對不起
小弟沒寫清楚
現在系統只有一個單純的root,RD和另一個user三個帳號
RD開發就直接登進來
但是若要部屬*.war就是直接用這個user登入
再上傳
apache和nginx也是用這個使用者登作為running user

2013/10/27 17:31
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行
會員一級
註冊日期:
2013/10/26 20:55
所屬群組:
已註冊使用者
等級: 2
HP : 0 / 28
MP : 3 / 504
EXP: 12
離線
小弟講的非root使用者通通都是安裝完系統後額外用useradd增加的
主管的意思也是希望能讓對外服務都用非root執行

2013/10/27 17:34
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行

註冊日期:
2009/12/6 10:32
所屬群組:
已註冊使用者
等級: 71
HP : 1404 / 1756
MP : 4456 / 51336
EXP: 24
離線
現在系統只有一個單純的root,RD和另一個user三個帳號

RD 及 user 有沒有 使用 sudo 的權力 ?
主管的意思也是希望能讓對外服務都用非root執行

Root 可以 執行對外服務 嗎
註 : 在 Ubuntu, root 預設可以執行 所有 使用者 的工作
但是 你可以 設定 不讓 root 登入
如果 允許 root 登入 但是 不允許 root 執行對外服務 需看你 對外服務的 程式設定檔
非root使用者通通都是安裝完系統後額外用useradd增加的

所以 不是 讓他門自己在網頁註冊的

建議
設定一個 group 名稱
把 額外用 useradd 增加的 usernames 全部加入 該 group
把 對外服務的
目錄 權限 設為 750 或 770
檔案 權限 設為 640 或 660
權限所有者 user:group:other
詳細 權限 參考
FilePermissions

2013/10/27 18:37
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行
會員一級
註冊日期:
2013/10/26 20:55
所屬群組:
已註冊使用者
等級: 2
HP : 0 / 28
MP : 3 / 504
EXP: 12
離線
P大您好
這個user是沒有sudo權限,被認定應該是啟動對外service的人選
但是小弟困惑的是
如何讓這些service用這個user啟動
但是這些service仍然是用apt-get install安裝?

2013/10/27 18:48
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行

註冊日期:
2009/12/6 10:32
所屬群組:
已註冊使用者
等級: 71
HP : 1404 / 1756
MP : 4456 / 51336
EXP: 24
離線
請提供
1. server 那一台電腦的 作業系統及版本
1-1. 安裝時 使用 root 或 RD 或 user 安裝的 ?
2. 安裝在 server 提供服務的 程式套件名稱 及 版本
3. client 電腦 與 server 電腦 如何 連通 ?

2013/10/27 18:59
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行
會員一級
註冊日期:
2013/10/26 20:55
所屬群組:
已註冊使用者
等級: 2
HP : 0 / 28
MP : 3 / 504
EXP: 12
離線
1.ubuntu server 12.04
2.安裝用RD用sudo apt-get install 安裝
3.對外服務的是nginx 1.2,tomcat 7.4
4.client只有用瀏覽器對server連線,其他都不允許

2013/10/27 19:37
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行

註冊日期:
2009/12/6 10:32
所屬群組:
已註冊使用者
等級: 71
HP : 1404 / 1756
MP : 4456 / 51336
EXP: 24
離線
1.ubuntu server 12.04

Ubuntu 預設是 不讓 root 登入的
2.安裝用RD用sudo apt-get install 安裝

所以 設定 服務 權限 也是需要 RD
3.對外服務的是nginx 1.2,tomcat 7.4

這個部份 的設定檔 明天再補充
4.client只有用瀏覽器對server連線,其他都不允許

是任意瀏覽器還是指定瀏覽器 ?

2013/10/27 20:33
應用擴展 工具箱
回覆: [請益]如何將service用service xxx start之後,限定非root使用者執行
會員一級
註冊日期:
2013/10/26 20:55
所屬群組:
已註冊使用者
等級: 2
HP : 0 / 28
MP : 3 / 504
EXP: 12
離線
P大
我想我可能沒說清楚
設定服務的權限只有user
RD是用來維護與安裝的
瀏覽器會有分嗎?
目前QA組測只有chrome,safari,IE

2013/10/27 20:43
應用擴展 工具箱

(1) 2 »

 [無發表權] 請登錄或者註冊


可以查看帖子.
不可發帖.
不可回覆.
不可編輯自己的帖子.
不可刪除自己的帖子.
不可發起投票調查.
不可在投票調查中投票.
不可上傳附件.
不可不經審核直接發帖.