哥們B跟哥們A說開發測試服務器所有賬號沒權限。哥們A現在是負責內網環境的,讓我幫看下。
先說說這倆哥們,我們經常週末去酒樓搓一頓,哥們A這傢伙每天大大冽冽性格很好,我覺得人品不錯很喜歡~
哥們B每天中午點餐必點湯~內網環境是逐漸交給他維護的,後來因公司拆分被分到6樓。
今天(2014-04-25),哥們B把他賬號給他們同事用,然後就有了今天的開發測試服務器賬號沒權限。
開發測試服務器有11臺開發測試用的虛擬服務器,放有前端和後端系統,涉及產品開發週期、活動,開發和測試工作進度等。
[qhzou@szmlgw01 /]$ top 5665 qemu 20 0 2394m 2.0g 2052 S 14.9 8.6 52488:36 qemu-kvm 1743 qemu 20 0 4580m 3.9g 2076 S 13.0 16.7 176683:37 qemu-kvm 16191 qemu 20 0 2709m 2.1g 2160 S 11.0 9.0 69251:30 qemu-kvm 20252 qemu 20 0 2714m 1.6g 2184 S 10.6 6.6 26128:54 qemu-kvm 1884 qemu 20 0 2394m 1.8g 2056 S 8.0 7.7 54624:36 qemu-kvm 5630 qemu 20 0 2394m 2.0g 2052 S 7.3 8.6 38208:01 qemu-kvm 21641 qemu 20 0 4908m 579m 2160 S 1.0 2.4 1271:10 qemu-kvm 20206 qemu 20 0 925m 524m 2164 S 0.7 2.2 2214:09 qemu-kvm 21239 qemu 20 0 1604m 632m 2204 S 0.7 2.6 742:02.38 qemu-kvm 5655 nobody 20 0 249m 77m 2032 S 0.3 0.3 0:50.74 nginx 21761 qemu 20 0 1897m 1.0g 2160 S 0.3 4.3 921:37.28 qemu-kvm 29661 qemu 20 0 4353m 642m 2148 S 0.3 2.7 2232:18 qemu-kvm
問題:
可看出執行了chown -R openerp:opengrp / 命令,導致賬號沒權限。幸好是虛擬服務器是正常工作的。
[qhzou@szmlgw01 /]$ ls -l total 142 dr-xr-xr-x. 2 openerp openerp 4096 May 15 2013 bin dr-xr-xr-x. 5 openerp openerp 1024 Nov 27 2012 boot drwxr-xr-x. 139 openerp openerp 12288 Apr 25 11:52 etc dr-xr-x---. 32 openerp openerp 4096 Apr 25 10:58 root [qhzou@szmlgw01 /]$ sudo su - sudo: /etc/sudoers is owned by uid 518, should be 0 sudo: no valid sudoers sources found, quitting [qhzou@szmlgw01 /]$ tail /etc/passwd openerp:x:518:518::/home/openerp:/bin/bash
讓哥們A用root賬號登入,可發現登入時報root沒權限登入。哥們A說可能修改了/etc/ssh/sshd_config的PermitRootLogin no 不允許root賬號登入。
解決方法:
由於是不允許ssh協議直接root登入,但可以通過終端直接登入,改爲對應root權限。操作前先在LAB環境實驗一遍吧。聯繫機房管理人員,在終端登入,執行chown -R root:root /(注意:機房管理人員遇到報過來的問題,通常會重啓服務器,要特別說明不能重啓服務器,按照我們給出的實施步驟做,有疑惑問題直接電話溝通確認)。還有一點就是root密碼是否修改過。。
在第一種方法不成功的情況下要去機房,通過單用戶登入修改權限、修改密碼,這個得下班後沒人用的時候操作。
實施前,需先確認好之前做的備份是否可用,最近備份時間點,是否有同事在用,影響大不大,
總結:
賬號共用存在安全隱患。
賬號權限的回收,最小化原則。
賬號權限申請,流程方面需要完善普及推廣。