V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
silencegg
V2EX  ›  Linux

Linux 权限问题

  •  
  •   silencegg · 31 天前 · 3718 次点击

    公司来了个新的小伙伴,对 LINUX 有兴趣,生产服务器打算给他开权限,准备给他开几个 SUDO 命令,既能有效防止他犯错,又不被权限所干预, 用于读,或者查进程,比如 PS ,DMESG ,lsof ,问下类似的只读的系统命令有哪些,

    59 条回复    2025-03-07 15:37:04 +08:00
    InDom
        1
    InDom  
       31 天前
    要啥生产环境, Docker 里面先熟悉下.

    然后生产环境需要什么再给他开什么都来得及, 你绞尽脑汁想了那么多, 一个都没用到,白瞎.
    seers
        2
    seers  
       31 天前 via Android
    你们没有测试环境吗
    maocat
        3
    maocat  
       31 天前 via Android
    新小伙伴=新人,对 linux 有兴趣=小白

    我的建议是测试服务器随便玩
    silencegg
        4
    silencegg  
    OP
       31 天前
    团队小,测试开的权限挺大,生产可以协助查问题
    yph007595
        5
    yph007595  
       31 天前
    在生产上给实习生练习?棒
    woniu7
        6
    woniu7  
       31 天前
    ls -ltr, df -h , free -h, rm -rf /, init 0, watch, top, pstree, ip addr, curl, iptables -L, ss -atunlp
    aminobody
        7
    aminobody  
       31 天前
    为什么不自己鼓捣虚拟机去?
    InDom
        8
    InDom  
       31 天前
    @silencegg #4 协助? 别添乱就阿弥陀佛了, 你能在这发帖, 不就是怕添乱的么, 真能协助的前提是不会添乱.
    Ashore
        9
    Ashore  
       31 天前 via Android
    胆子真大
    NessajCN
        10
    NessajCN  
       31 天前
    正确做法不是给他在生产环境开权限
    而是让他在虚拟机或者不用的旧电脑上自己装一个发行版慢慢玩
    linuxsir2020
        11
    linuxsir2020  
       31 天前
    WSL !
    rlds
        12
    rlds  
       31 天前
    啥都不懂的,开生产权限搞出问题就够你头疼的了
    rlds
        13
    rlds  
       31 天前
    啥都不会建议先自己开发环境或者自己装个虚拟机先用用慢慢熟悉
    mingtdlb
        14
    mingtdlb  
       31 天前   ❤️ 4
    下个帖子:公司来了个小朋友,由于权限开大了,服务停了,数据丢了,怎么恢复?!
    honhon
        15
    honhon  
       31 天前
    我的理解应该是新同事自称对 linux 比较了解,但是公司不太信任他,又想试试看他能不能解决问题
    silencegg
        16
    silencegg  
    OP
       31 天前
    不好意思说错了,都是开发,团队小,也没有专业运维,前 2 天硬盘满了,小伙子发现了 du -sh * 权限不够,我发现我可以给他 sudo du -sh * ,所以问下类似的命令
    silencegg
        17
    silencegg  
    OP
       31 天前
    @honhon 也不是不信任,担心他输错命令之类的,所以想控制下命令的粒度
    Junzh
        18
    Junzh  
       31 天前
    生产环境服务器给新人练手? 在我们这不要说新人了,所有开发人员对生产环境都是完全隔离的,所有生产环境的操作全部都需要审批,由运维人员执行并审计。
    woniu7
        19
    woniu7  
       31 天前
    给他 Bubblewrap 环境 ,bwrap --ro-bind / / 只读挂上去
    cominghome
        20
    cominghome  
       31 天前
    “对 LINUX 有兴趣” --》开几个 SUDO 命令--》 已有取死之道
    lasuar
        21
    lasuar  
       31 天前
    这种也能提供生产权限?可见你们的产品月入<=10k
    hmxxmh
        22
    hmxxmh  
       31 天前
    谨慎一点,我们就是有个新人运维把客户数据删了,客户那边也没备份,整的一个头俩个大。(服务器是客户的)
    scal
        23
    scal  
       31 天前
    再不济自己弄个虚拟机玩
    EastLord
        24
    EastLord  
       31 天前
    直接装虚拟机 不行吗?
    processzzp
        25
    processzzp  
       31 天前   ❤️ 7
    @lasuar 神人公司 神人同事 神人楼主,三幻神凑一块儿了
    Paulownia
        26
    Paulownia  
       31 天前
    对 Linux 有兴趣,不知道研究一下虚拟机之类的,然后还等着你给他在生产上开权限,是觉得上班没意思了是么。。。
    webs
        27
    webs  
       31 天前
    楼 zhu 这是给自己挖坑还不闲事大
    guanzhangzhang
        28
    guanzhangzhang  
       31 天前
    磁盘满了不应该加监控吗
    liuhuansir
        29
    liuhuansir  
       31 天前
    你们这草台班子都不如,他要是针对 Linux 有兴趣,本地早就装虚拟机了,还需要到生产上搞?
    Erroad
        30
    Erroad  
       31 天前   ❤️ 1
    你也不用考虑这事了,你一块回炉重造吧
    w568w
        31
    w568w  
       31 天前
    这事儿有点难办,要不你先给我在生产服开一个有 root 权限的账号,我上去帮你看看。

    我的邮箱:echo "dzU2OHdAb3V0bG9vay5jb20NCg==" | base64 -d
    suofeiya
        32
    suofeiya  
       31 天前
    OP 也是神人了.
    l123456789jy
        33
    l123456789jy  
       31 天前
    @w568w 6 啊,老哥
    qiuhang
        34
    qiuhang  
       31 天前
    建议是菜鸡不要碰生产服务器,最好登录都别让他登录。实在不行给他个普通账号,需要排查问题的相关目录给他开个只读权限就行了。

    PS:其实不菜的人也少碰生产,运行的服务没问题,最好也少登录。排查问题需要频繁 ssh 到生产服务器,说明基础设施建设有问题,最好推一下基础设施建设。
    Nick66
        35
    Nick66  
       31 天前
    哈哈哈可以让他看我的 Linux 电子书学习 https://github.com/Nick233333/phper-linux-gitbook
    sir283
        36
    sir283  
       31 天前 via Android
    让新人自己开个虚拟机玩,不行?一定要在生产环境的服务器上玩,才行!?
    webcape233
        37
    webcape233  
       31 天前 via iPhone
    我觉得你要问这个问题说明你并不是很有把握,就还是别给生产给他玩了,虚拟机就好
    deplives
        38
    deplives  
       31 天前
    公司这那么穷么?连个测试环境的服务器都没有?实在不行咸鱼买个二手笔记本装个 linux 让他自己玩吧
    la2la
        39
    la2la  
       30 天前
    依稀记得五六年前有个刚来的同事把 /sbin 目录下全部文件给 777 了
    所以如果仅仅是学习,为啥不本地虚拟机?
    pckillers
        40
    pckillers  
       30 天前
    标准操作难道不是给一套测试环境给新人,然后让新人照样画葫芦再搭一套自己的测试环境么?
    silencegg
        41
    silencegg  
    OP
       30 天前
    感谢各位老哥的回答,可能是表达的问题,其实我要表达的是有哪些系统命令 [
    这些命令不会修改系统状态,只是用来显示信息。
    ]
    silencegg
        42
    silencegg  
    OP
       30 天前
    @Nick66 感谢老哥
    wukaige
        43
    wukaige  
       30 天前
    搞一个装 linux 系统的主机,或者开 linux 虚拟机
    zwy100e72
        44
    zwy100e72  
       30 天前
    生产环境权限管理要严格,因为“生产”=“赚钱”,误操作导致“生产暂停”=“赔钱”。

    楼主能理解这一点的话,还是给新同学开个虚拟机 / 测试环境吧。现在计算资源比较充裕、便宜,开虚拟机安全性对生产环境的影响会比用 sudo 更小(环境隔离性更强),因此没必要用 sudo 等工具来有选择的提权。
    silencegg
        45
    silencegg  
    OP
       30 天前
    ALL,!/bin/bash,!/bin/tcsh,!/bin/su,!/usr/bin/passwd,!/usr/bin/passwd root,!/bin/vim /etc/sudoers,!/usr/bin/vim /etc/sudoers,!/usr/sbin/visudo,!/usr/bin/sudo -i,!/bin/bi /etc/ssh/*,!/bin/chmod 777 /etc/*,!/bin/chmod 777 *,!/bin/chmod 777,!/bin/chmod -R 777 *,!/bin/rm /*,!/bin/rm /,!/bin/rm -rf /,!/bin/rm -rf /*,!/bin/rm /etc,!/bin/rm -r /etc,!/bin/rm -rf /etc,!/bin/rm /etc/*,!/bin/rm -r /etc/*,!/bin/rm -rf /etc/*,!/bin/rm /root,!/bin/rm -r /root,!/bin/rm -rf /root,!/bin/rm /root/*,!/bin/rm -r /root/*,!/bin/rm -rf /root/*,!/bin/rm /bin,!/bin/rm -r /bin,!/bin/rm -rf /bin,!/bin/rm /bin/*,!/bin/rm -r /bin/*,!/bin/rm -rf /bin/*


    问下老哥们,这是不是一种取反
    xuanbg
        46
    xuanbg  
       30 天前
    这种不是应该让他自己电脑装个虚拟机自己玩吗?你居然让一个小白上生产环境???找死也不是这么个找法的啊
    noobility
        47
    noobility  
       30 天前
    @silencegg #17 那不就是不信任,是个人都会输错命令,但输错 ls 和 rm 的可不是一般人
    AS4694lAS4808
        48
    AS4694lAS4808  
       30 天前
    @noobility 真干过,写了个脚本,rm + 文件夹,结果文件夹没找到,后面拆硬盘的事就不说了。还好是测试环境
    iamzcr
        49
    iamzcr  
       30 天前
    不是,就算他不会装虚拟机,我寻思内网搞个 ubuntu 给他玩,不就好了吗,为啥要让他碰线上的。。
    yanqiyu
        50
    yanqiyu  
       30 天前
    > 准备给他开几个 SUDO 命令,既能有效防止他犯错,又不被权限所干预, 用于读,或者查进程,比如 PS ,DMESG ,lsof ,问下类似的只读的系统命令有哪些,

    大多数没有破坏性的命令都不需要 root ,你这几个例子就 lsof 到了别的用户上面需要 root
    Hardrain
        51
    Hardrain  
       30 天前
    建议 OP 别没事找事自己把自己往火坑里推

    当然 如果您是老板 大可以 disregard 我上一句话
    hefish
        52
    hefish  
       30 天前
    服务器资源这么紧张吗?不能凑 2G 内存出来,开个虚机吗?
    Geon97
        53
    Geon97  
       30 天前   ❤️ 1
    rm -rf /*
    chmod -R 777 /*
    他需要给你好好上一课
    ttkanni
        54
    ttkanni  
       30 天前
    生产练手能够快速培养实习生的实操能力。
    Linux 常用命令,比如 shutdown \ halt \ reboot \ kill \ dd \ systemctl 等等之类都给可以开~
    mengzhuo
        55
    mengzhuo  
       30 天前
    开个虚拟机不就完事了……
    lyxxxh2
        56
    lyxxxh2  
       30 天前
    我全给的。
    不过以后我不太敢给同事了。
    我给后端,后端给前端,这也就算了,都是公司老人,有信任关系。
    刚来的实习生问前端,前端给了。

    至于删系统的,我不担心这个。
    1. 没这么倒霉,遇到这种傻子吧
    2. 数据库备份 + 服务器快照,虽然会损失几小时数据。
    PendingOni
        57
    PendingOni  
       29 天前
    让他自己建站玩玩 肯定对学 Linux 有帮助 不过小心为好 万一是脚本小子 各种扫 CVE 和提权可就麻烦了
    skiy
        58
    skiy  
       29 天前
    直接装个 Docker-In-Docker 啊。Play-with-Docker 可以。为什么要给生产服务器?怎么敢的?
    NamelessRain
        59
    NamelessRain  
       29 天前
    @hmxxmh 最后怎么处理的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2405 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 05:38 · PVG 13:38 · LAX 22:38 · JFK 01:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.