ルートユーザーグループの役割は何ですか？ [コピー]

Question 1

「ルート」グループは特別な目的ではなく、一般的な目的を持っています。すべてのファイルは、ユーザーとグループが所有する必要があり、「root」は、他のユーザーに属さないファイルが所有するデフォルトのグループです。ホイール（セミヴィンテージ）やゴミ箱などのカテゴリ。（これは純粋に真実ではありませんが、経験に基づいた多くの個人的な意見です）。

Answer

「ルート」グループは特別な目的ではなく、一般的な目的を持っています。すべてのファイルは、ユーザーとグループが所有する必要があり、「root」は、他のユーザーに属さないファイルが所有するデフォルトのグループです。ホイール（セミヴィンテージ）やゴミ箱などのカテゴリ。（これは純粋に真実ではありませんが、経験に基づいた多くの個人的な意見です）。

Question 2

すでに扱っている記事です質問のパート0。

常習

まあ、これが最善の解決策であるかどうかはわかりませんが、これが私がしたことであり、コメント/改善/提案を歓迎します。

最近、クライアントのdrupalウェブサイトのリモートバックアップを設定しましたが、集中型バックアップサーバーがリモートサーバーにアクセスしてインポートされています。私はこの原則に従った。

管理者として（リモートで）使用してssh経由でログインできますが、パスワードは使用せずに公開/秘密鍵でのみログインできるユーザーを作成しました。（セキュリティを維持し、管理場所にバックアップする必要があります）。
SSH経由でリモートでrootログインを無効にします。
私の管理者がsudoを介してrootになることを許可します。

この機能を使用するユーザーはまさに私であり、私はバックアップサーバーに座っていません。そのため、以下のバックアップを設定するために使用しました。

これでリモートで管理できるようになり、ルートは私の特別な管理者としてのみログインできず、キー証明書を介してのみログインできます。

リモートおよびローカルでバックアップユーザー（バックアップを実行するユーザー）を作成しましたが、ユーザー名は同じではありません。遠隔から彼女にちょっと変わった名前を付けたので、鍵を手に入れても大丈夫でしょう。リモートユーザー名を推測してください。ユーザーには権限がなく、リモートディレクトリにアクセスできません（またはパスワードなしでデータベースをダンプできません）。
このユーザーがリモートで/ etc / sudoers myobscurebackupuser ALL = NOPASSWD：/ usr / bin / rsyncでコマンドを実行できるようにします。
中央バックアップサーバーのユーザー（やはり権限なし）の下に実行する公開/秘密鍵とバックアップスクリプトを保存します。このユーザーだけが読み取り用にスクリプト/キーにアクセスできます（ルートとは全く異なります）。
私のバックアップは2段階です
ステップ1_ 'ssh -i /path/to/key/file obscureuser@remote mysqldump [options] | gzip' | gunzip > local_dbdump.sql 最初の半分はリモートで（最大gzip）、2番目の半分はローカルで実行されます。
ステップ2 rsyncリモートディレクトリ構造

パスワードとデータベースダンプはリモートで保存されず、SSH接続を介して転送されます。 db_dump は gzip に直接パイプし、stdout 経由で送り返します。私はそれをgunzip経由でパイプし、stdoutをローカルデータベースダンプファイルに直接出力しました。

Answer

すでに扱っている記事です質問のパート0。

常習

まあ、これが最善の解決策であるかどうかはわかりませんが、これが私がしたことであり、コメント/改善/提案を歓迎します。

最近、クライアントのdrupalウェブサイトのリモートバックアップを設定しましたが、集中型バックアップサーバーがリモートサーバーにアクセスしてインポートされています。私はこの原則に従った。

管理者として（リモートで）使用してssh経由でログインできますが、パスワードは使用せずに公開/秘密鍵でのみログインできるユーザーを作成しました。（セキュリティを維持し、管理場所にバックアップする必要があります）。
SSH経由でリモートでrootログインを無効にします。
私の管理者がsudoを介してrootになることを許可します。

この機能を使用するユーザーはまさに私であり、私はバックアップサーバーに座っていません。そのため、以下のバックアップを設定するために使用しました。

これでリモートで管理できるようになり、ルートは私の特別な管理者としてのみログインできず、キー証明書を介してのみログインできます。

リモートおよびローカルでバックアップユーザー（バックアップを実行するユーザー）を作成しましたが、ユーザー名は同じではありません。遠隔から彼女にちょっと変わった名前を付けたので、鍵を手に入れても大丈夫でしょう。リモートユーザー名を推測してください。ユーザーには権限がなく、リモートディレクトリにアクセスできません（またはパスワードなしでデータベースをダンプできません）。
このユーザーがリモートで/ etc / sudoers myobscurebackupuser ALL = NOPASSWD：/ usr / bin / rsyncでコマンドを実行できるようにします。
中央バックアップサーバーのユーザー（やはり権限なし）の下に実行する公開/秘密鍵とバックアップスクリプトを保存します。このユーザーだけが読み取り用にスクリプト/キーにアクセスできます（ルートとは全く異なります）。
私のバックアップは2段階です
ステップ1_ 'ssh -i /path/to/key/file obscureuser@remote mysqldump [options] | gzip' | gunzip > local_dbdump.sql 最初の半分はリモートで（最大gzip）、2番目の半分はローカルで実行されます。
ステップ2 rsyncリモートディレクトリ構造

パスワードとデータベースダンプはリモートで保存されず、SSH接続を介して転送されます。 db_dump は gzip に直接パイプし、stdout 経由で送り返します。私はそれをgunzip経由でパイプし、stdoutをローカルデータベースダンプファイルに直接出力しました。

Question 3

通常、root で作業する必要がある場合は、次の ssh コマンドを実行します。

# ssh [email protected] "hostname ; sudo -S some_backup_script.sh"

sudoアクティビティを記録し、sudo権限を使用して、ログインした「sudo」ユーザーが実行できる操作を厳密に制限できます。これらのタスクを自動化し、システムの特定のユーザーにこれらの特定の機能を実装することをお勧めします。つまり、バックアップユーザーはtarとgzipを使用でき、/ tmpディレクトリに書き込むことができますが、cat、vimなどへのアクセスは拒否されます（デフォルトでは機密データを印刷できるコマンド）。

Answer

通常、root で作業する必要がある場合は、次の ssh コマンドを実行します。

# ssh [email protected] "hostname ; sudo -S some_backup_script.sh"

sudoアクティビティを記録し、sudo権限を使用して、ログインした「sudo」ユーザーが実行できる操作を厳密に制限できます。これらのタスクを自動化し、システムの特定のユーザーにこれらの特定の機能を実装することをお勧めします。つまり、バックアップユーザーはtarとgzipを使用でき、/ tmpディレクトリに書き込むことができますが、cat、vimなどへのアクセスは拒否されます（デフォルトでは機密データを印刷できるコマンド）。

ルートユーザーグループの役割は何ですか？ [コピー]

答え1

答え2

常習

答え3

関連情報