Posts by Julian P:
sudoers – How-To Exclusion List
Vor Kurzem lief mir folgendes Scenario über den Weg:
Ein SAP System wird auf SLES 12 Server betrieben. Hier haben zum einen die Administratoren Zugang, unteranderem aber auch die Kollegen aus dem Support Team.
Da die Benutzer sich nur via Named-Usern am Linux Anmelden können, müssen diese, um Administrative Rechte zu erlangen, mit sudo einen Benutzerwechsel durchführen.
Bisher war die Konfiguration recht einfach gehalten: Alle Named-User hatten komplette root Rechte über sudo.
Um nun zu verhindern, dass die Benutzer des Supports in den Kontext des Benutzers root oder weiteren erhöhten Benutzern wechseln können, kann man in der sudoers eine Exclusion List definieren.
Definiert wird die Liste mit Hilfe eines Alias. Hierfür gibt es den sogenannten Runas_Alias.
zB.:
Runas_Alias RESTRICTED = root
Ebenso Definiert man einen User_Alias für die Benutzer:
User_Alias AD_SUPPORT_USER = %support_user
Vorweg der Logische Aufbau eines sudoers Eintrags:
<Benutzer/Alias> <Quell Host> = <User Kontext> <Kommando>
Nun baut man auf folgende Weise den sudoers Eintrag zusammen:
AD_SUPPORT_USER ALL = (ALL,!RESTRICTED) NOPASSWD:ALL
Der Eintrag bewirkt folgendes:
Alle Benutzer, welche Bestandteil des Alias AD_SUPPORT_USER sind, dürfen von jedem Host, alle Befehle ausführen und in jeden Benutzer Kontext wechseln, außer zu jenen Usern welche in dem Alias RESTRICTED definiert sind. Das ganze, ohne Passwortabfrage, da die Option NOPASSWD gesetzt ist.
Durch den Eintrag des Benutzer Kontextes legt man fest dass alle Benutzer (ALL) außer die Benutzer des Alias RESTRICTED (!RESTRICTED) verwendet werden dürfen.
Die Mitarbeiter können zum Beispiel mit Hilfe des folgenden Befehls:
sudo -u www-data /bin/bash
in eine BASH Session des Benutzers www-data wechseln.
SAP ASE System Kopie
In den letzten Tagen war ich dabei, eine System-Kopie für einen Kunden durchzuführen, welcher aus seiner 2-Systemlandschaft eine 3-Systemlandschaft machen wollte. Dazu wurde das Produktivsystem kopiert und zum neuen QAS System gemacht. Bei den Systemen handelte es sich alle um ein NetWeaver 7.4 und eine SAP ASE 16. Beim Laden des Database dump musste ich […]
ESXi Konfigurations Backup
Da die meisten ESXi Hosts mittlerweile nicht mehr auf lokalen Festplatten sondern auf einem USB-Stick oder SD-Karten installiert sind, kommt es öfters mal vor, dass diese Devices kaputt gehen. Dann taucht eine Meldung im vSphere auf, dass der ESXi Host sein Boot Device nicht mehr findet. Diese Meldung ist erstmal kein Problem, da der ESXi […]
vCenter Server migrieren
Bei einem Kunden stand in den letzten Tage eine Umstellung von einem Windows vCenter Server zu einer Appliance an. Hierfür gibt es keine Offiziellen Tools von VMware. Jedoch bin ich nach einer weile „Googeln“ auf folgen Eintrag in den VMware Labs gestoßen: VCS to VCSA converter Dieses Tool kommt als eine Appliance und kann ab […]
Meine App’s auf dem Mac
Nachdem immer mehr Kollegen und Freunde Windows ablösen und Richtung MAC OS X wandern, wollte ich hier mal eine kleine Liste erstellen, welche App’s ich so in meinem Täglichen doing auf meine MAC benötige: Microsoft Office & Lync: Da ich doch recht viele Windows User noch um mich habe, welche mir ständig Office Dokumente oder […]
SSL Zertifikate vCenter Server Appliance
In den letzten Tagen habe ich eine Umstellen von einem Windows vCenter Server zu einer vCenter Server Appliance 5.5 U2 durchgeführt.In diesem Zuge mussten die Standart SSL Zertifikate durch die des Kunden ersetzt werden. Dazu gibt es einen KB Artikel von VMware, in welchem dieser Vorgang auch sehr gut beschrieben wird. Nach jedem Neustart hatte ich nur […]
VM HDD Controller austauschen
In den letzten Tagen ist mir vermehrt der folgende Fehler im Windows System Event Log aufgefallen (vorrangig bei Windows Servern): Dieser hatte zur Folge, dass manche Systeme vermehrt komplette Ausfalle im Produktiven System hatten und neu gebootet werden mussten. Dieser Fehler wird durch ein Treiber Problem mit dem LSI Controller verursacht. VMware bietet zwei Lösungsmöglichkeiten an (KB […]
Private Datenablage ohne Dropbox & co
Eine recht kostengünstige Alternative zu Dropbox & co ist OwnCloud. Bei den meisten Anbietern für Online Datenspeicher bekommt man nur ein paar Gigabyte kostenlos. Dies reicht aber meistens nicht besonders lange aus. Mit OwnCloud baut man sich seinen eigenen Online Speicher welcher unter eigener Kontrolle steht und man weiß wo die Daten liegen. OwnCloud ist […]
Ubuntu und Microsoft Exchange
Wenn man in einer Firma arbeitet die vorwiegend auf Microsoft Produkte in der Infrastruktur setzt muss man als Linux User manchmal sehr kreativ werden. Besonders wenn der Exchange Server nur noch das hauseigene MAPI Protokoll zur Verfügung stellt. Zum Glück gibt es hierfür „evolution-mapi“. Das Modul ist eine Erweiterung für den E-Mail Client Evolution. Installiert […]