Настройка повышенных прав доступа: различия между версиями
Строка 6: | Строка 6: | ||
'''Примечание'''. Во всех примерах команд на этой странице предполагается следующее: | '''Примечание'''. Во всех примерах команд на этой странице предполагается следующее: | ||
* <code> | * <code>astromkey</code>(по умолчанию) — это пользователь, который запускает все службы ОС Ключ-Астром. | ||
* Ключ-Астром Managed установлен в <code>/opt/astromkey-managed/</code> | * Ключ-Астром Managed установлен в <code>/opt/astromkey-managed/</code> | ||
* Данные расположены в директории <code>/var/opt/astromkey-managed/</code> | * Данные расположены в директории <code>/var/opt/astromkey-managed/</code> | ||
Строка 22: | Строка 22: | ||
== Перенастройка команду dtrun sudo == | == Перенастройка команду dtrun sudo == | ||
Чтобы упростить управление разрешениями ОС, | Чтобы упростить управление разрешениями ОС, Ключ-Астром Managed использует один скрипт для запуска всех команд, требующих повышенных разрешений. Сценарий под названием <code>dtrun</code> представляет собой оболочку для <code>sudo</code> или любой другой команды, которую вы должны указать во время установки. Файл <code>dtrun</code> находится в директории <code>/opt/dtrun/dtrun</code>, и все команды, которые исполняются файлом <code>dtrun</code>, находятся в директории <code>/opt/dtrun/dtrun.conf</code>. Исполняться могут только скрипты и команды в директории <code>/opt/dtrun/dtrun.conf</code> can be run. | ||
Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор <code>SUDO_COMMAND</code> во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле <code>/var/opt/astromkey-managed/log/dtrun.log</code>. | Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор <code>SUDO_COMMAND</code> во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле <code>/var/opt/astromkey-managed/log/dtrun.log</code>. | ||
Строка 41: | Строка 41: | ||
При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод: | При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод: | ||
<code>cat /etc/sudoers | grep -i include | <code>cat /etc/sudoers | grep -i include | ||
cat /etc/sudoers.d/ | cat /etc/sudoers.d/astromkey | ||
su - | su - astromkey-s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n' | ||
cat /etc/sudoers | grep | cat /etc/sudoers | grep astromkey | ||
cat /etc/passwd | grep | cat /etc/passwd | grep astromkey | ||
cat /etc/shadow | grep | cat /etc/shadow | grep astromkey | ||
chage -l | chage -l astromkey</code> | ||
Команда <code>chage</code> сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к <code>sudo</code>). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять <code>dtrun</code>, вы можете легко узнать, работает ли <code>sudo</code> должным образом, выполнив следующую команду от имени пользователя root: | Команда <code>chage</code> сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к <code>sudo</code>). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять <code>dtrun</code>, вы можете легко узнать, работает ли <code>sudo</code> должным образом, выполнив следующую команду от имени пользователя root: | ||
<code>su - | <code>su - astromkey -s /bin/bash -c 'sudo /opt/dtrun/dtrun service astromkey-server status'</code> | ||
Следующая команда является примером проверки повышения разрешений с помощью альтернативы <code>sudo</code>, <code>pbrun</code>: | Следующая команда является примером проверки повышения разрешений с помощью альтернативы <code>sudo</code>, <code>pbrun</code>: | ||
<code>su - | <code>su - astromkey -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service astromkey-server status'</code> |
Текущая версия на 17:04, 15 сентября 2022
По умолчанию управляемый кластер Ключ-Астром использует sudo
для повышения разрешений для определенных операций обслуживания, и вам не нужно выполнять какие-либо дополнительные действия при запуске установки с целью настройки пользователей, разрешений и служб. Однако, если sudo
недоступен в вашей ОС или вам необходимо использовать альтернативную команду для повышения разрешений, вы должны указать их во время установки.
- В интерактивном режиме, когда вас спросят о повышенных разрешениях, передайте префикс команды, включая программу, например
pbrun
,sesudo
иsuexec
- В тихом режиме этот параметр можно указать через настраиваемую установку
Примечание. Во всех примерах команд на этой странице предполагается следующее:
astromkey
(по умолчанию) — это пользователь, который запускает все службы ОС Ключ-Астром.- Ключ-Астром Managed установлен в
/opt/astromkey-managed/
- Данные расположены в директории
/var/opt/astromkey-managed/
Если ваша конфигурация отличается, измените свои действия соответствующим образом.
Когда требуются повышенные разрешения
Пользователю ОС, запускающему управляемые службы Ключ-Астром, требуются повышенные разрешения для выполнения следующих задач:
- Запуск сценария установки или перенастройки
- Добавка или удаление ноду кластера
- Запуск, останавка, перезапуск и проверка состояния служб
Полный список команд, требующих повышенных разрешений, находится в файле /opt/dtrun/dtrun.conf
. Директория /opt/dtrun
и все файлы внутри принадлежат пользователю root по соображениям безопасности.
Перенастройка команду dtrun sudo
Чтобы упростить управление разрешениями ОС, Ключ-Астром Managed использует один скрипт для запуска всех команд, требующих повышенных разрешений. Сценарий под названием dtrun
представляет собой оболочку для sudo
или любой другой команды, которую вы должны указать во время установки. Файл dtrun
находится в директории /opt/dtrun/dtrun
, и все команды, которые исполняются файлом dtrun
, находятся в директории /opt/dtrun/dtrun.conf
. Исполняться могут только скрипты и команды в директории /opt/dtrun/dtrun.conf
can be run.
Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор SUDO_COMMAND
во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле /var/opt/astromkey-managed/log/dtrun.log
.
Если вам нужно перенастроить существующую установку для использования альтернативы sudo
, вы можете запустить сценарий перенастройки. Например, чтобы изменить команду sudo
на pbrun
, используйте этот скрипт для повторного запуска программы установки:
sudo /opt/astromkey-managed/installer/reconfigure.sh --sudo-cmd "/usr/bin/pbrun \$CMD"
Исправление неполадок
Неправильно настроенные разрешения могут привести к различным проблемам, например, с Ключом-Астром Managed или сетью. Если есть проблема с разрешениями, вы увидите такие записи в журнале установки, как:
sudo: pam_open_session: System error
sudo: policy plugin failed session initialization
Также вы увидите проблемы в этих журналах:
/var/opt/astromkey-managed/log/dtrun.log
(логи dtrun)/var/opt/astromkey-managed/log/launch-logging.log
(логи скриптов запуска служб)
При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод:
cat /etc/sudoers | grep -i include
cat /etc/sudoers.d/astromkey
su - astromkey-s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n'
cat /etc/sudoers | grep astromkey
cat /etc/passwd | grep astromkey
cat /etc/shadow | grep astromkey
chage -l astromkey
Команда chage
сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к sudo
). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять dtrun
, вы можете легко узнать, работает ли sudo
должным образом, выполнив следующую команду от имени пользователя root:
su - astromkey -s /bin/bash -c 'sudo /opt/dtrun/dtrun service astromkey-server status'
Следующая команда является примером проверки повышения разрешений с помощью альтернативы sudo
, pbrun
:
su - astromkey -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service astromkey-server status'