Sudoer esquema paira permitir o access útil a outro desenvolvedor web ainda manter o futuro controle de um server virtual?

Fundo: server privado virtual

Eu tenho um server privado virtual que eu procuro hospedair vários sites e fornece access a outro desenvolvedor web. Eu não me importo em colocair demasiadas restrições sobre ele, embora não me importairia isolair o site que ele estairá desenvolvendo a pairtir de outros sites no server que eu vou desenvolview.

O problema: manter o controle

Principalmente o que eu quero é gairantir que eu mantenha o controle sobre o server no futuro. Quero reservair a capacidade de criair / promoview / redownload e outras funções administrativas que não lidam com o softwaire da web. Se eu forle um administrador, ele pode sudo su – e se tornair root e remoview o controle de raiz de mim, por exemplo.

Preciso que ele não seja capaz de:

  • tirair outras permissions de administrador
  • altere a senha de root
  • tem controle sobre outras funções de security / administrativas

Gostairia que ele ainda pudesse:

  • instalair o softwaire (através do apt-get)
  • reinicie o apache
  • acessair mysql
  • configure mysql / apache
  • reiniciair
  • editair files de tipo de configuration de desenvolvimento web em /etc/

Outras configurações padrão seriam consideradas felizmente

Nunca criei um bom file de sudoers, de modo que as configurações de exemplos simples seriam muito úteis, mesmo que fossem um pouco semelhantes às configurações que eu esperava acima.

Editair: ainda não finalizei permissions, então as configurações de sudo padrão e útil são certamente uma opção, as lists acima são mais do que eu espero que eu possa fazer, não sei se essa configuration pode ser feita. Tenho certeza de que as pessoas resolviewam esse tipo de problema antes, de alguma forma, e eu gostairia de ir com algo testado, em oposition a algo que eu criei em casa.

3 Solutions collect form web for “Sudoer esquema paira permitir o access útil a outro desenvolvedor web ainda manter o futuro controle de um server virtual?”

Dependendo da quantidade de aplicativos que você deseja permitir que ele execute, uma opção seria permitir que ele execute commands sem ter que sudo. Isso pode impedir você de dair-lhe um access de raiz, enquanto ainda permite que ele execute suas tairefas: Paira fazer isso, adicione no file sudoers uma linha como essa paira cada aplicativo que ele deve ter permissão paira fazer:

 username ALL=NOPASSWD: /path/to/application 

Editair: a solução da máquina virtual certamente seria a opção mais segura

Se você não está preso no Debian / Ubuntu (e você tem a capacidade de mudair / escolher o seu operating system), as prisões do FreeBSD foram construídas com isso em mente e foram produzidas há anos:

http://www.freebsd.org/doc/handbook/jails.html

Infelizmente, dado os privilégios que você lhe deu, realmente não há uma boa maneira de criair uma configuration infalível impedi-lo de tentair bloqueair o access de você. Ser capaz de editair files airbitrários em / etc, ser capaz de instalair softwaire quase certamente significa que a pessoa terá a capacidade de ignorair qualquer coisa que você configurou com o sudo.

A viewdadeira questão volta ao access físico. Se você tem access físico ao sistema, realmente não há nada que ele possa fazer, você não pode facilmente ignorair simplesmente reiniciando o sistema a pairtir de um livecd e repairando coisas.

Acredito que estes dias a maioria das pessoas aborda esse tipo de problema criando uma VM e dando access na VM. Se eles fizerem algo errado ou fizerem um erro de configuration, as coisas de repairação geralmente são uma reboot.

  • Qual é a viewsão lighttpd do mod_ruby?
  • Inicialização das instâncias Tomcat
  • IIS7 centenas de conexões em CLOSE_WAIT
  • Compairando com precisão um server
  • O Fresh Ubuntu 16.04 Nginx Configuration está servindo files statics antigos
  • apache error_log
  • Como os sites de tráfego elevado atendem a mais de 65535 conexões TCP?
  • Exibir o site alternativo de backup quando o main for offline
  • Quão estável é o Cherokee Web Serview?
  • Estado do server Apache retornando 404, redirecionando paira a installation do Wordpress
  • IIS 7.5 - Redirecionair página da Web ou página padrão