哥们B跟哥们A说开发测试服务器所有账号没权限。哥们A现在是负责内网环境的,让我帮看下。
先说说这俩哥们,我们经常周末去酒楼搓一顿,哥们A这家伙每天大大冽冽性格很好,我觉得人品不错很喜欢~
哥们B每天中午点餐必点汤~内网环境是逐渐交给他维护的,后来因公司拆分被分到6楼。
今天(2014-04-25),哥们B把他账号给他们同事用,然后就有了今天的开发测试服务器账号没权限。
开发测试服务器有11台开发测试用的虚拟服务器,放有前端和后端系统,涉及产品开发周期、活动,开发和测试工作进度等。
[qhzou@szmlgw01 /]$ top 5665 qemu 20 0 2394m 2.0g 2052 S 14.9 8.6 52488:36 qemu-kvm 1743 qemu 20 0 4580m 3.9g 2076 S 13.0 16.7 176683:37 qemu-kvm 16191 qemu 20 0 2709m 2.1g 2160 S 11.0 9.0 69251:30 qemu-kvm 20252 qemu 20 0 2714m 1.6g 2184 S 10.6 6.6 26128:54 qemu-kvm 1884 qemu 20 0 2394m 1.8g 2056 S 8.0 7.7 54624:36 qemu-kvm 5630 qemu 20 0 2394m 2.0g 2052 S 7.3 8.6 38208:01 qemu-kvm 21641 qemu 20 0 4908m 579m 2160 S 1.0 2.4 1271:10 qemu-kvm 20206 qemu 20 0 925m 524m 2164 S 0.7 2.2 2214:09 qemu-kvm 21239 qemu 20 0 1604m 632m 2204 S 0.7 2.6 742:02.38 qemu-kvm 5655 nobody 20 0 249m 77m 2032 S 0.3 0.3 0:50.74 nginx 21761 qemu 20 0 1897m 1.0g 2160 S 0.3 4.3 921:37.28 qemu-kvm 29661 qemu 20 0 4353m 642m 2148 S 0.3 2.7 2232:18 qemu-kvm
问题:
可看出执行了chown -R openerp:opengrp / 命令,导致账号没权限。幸好是虚拟服务器是正常工作的。
[qhzou@szmlgw01 /]$ ls -ltotal 142dr-xr-xr-x. 2 openerp openerp 4096 May 15 2013 bindr-xr-xr-x. 5 openerp openerp 1024 Nov 27 2012 bootdrwxr-xr-x. 139 openerp openerp 12288 Apr 25 11:52 etcdr-xr-x---. 32 openerp openerp 4096 Apr 25 10:58 root[qhzou@szmlgw01 /]$ sudo su -sudo: /etc/sudoers is owned by uid 518, should be 0sudo: no valid sudoers sources found, quitting[qhzou@szmlgw01 /]$ tail /etc/passwdopenerp:x:518:518::/home/openerp:/bin/bash
让哥们A用root账号登入,可发现登入时报root没权限登入。哥们A说可能修改了/etc/ssh/sshd_config的PermitRootLogin no 不允许root账号登入。
解决方法:
由于是不允许ssh协议直接root登入,但可以通过终端直接登入,改为对应root权限。操作前先在LAB环境实验一遍吧。联系机房管理人员,在终端登入,执行chown -R root:root /(注意:机房管理人员遇到报过来的问题,通常会重启服务器,要特别说明不能重启服务器,按照我们给出的实施步骤做,有疑惑问题直接电话沟通确认)。还有一点就是root密码是否修改过。。
在第一种方法不成功的情况下要去机房,通过单用户登入修改权限、修改密码,这个得下班后没人用的时候操作。
实施前,需先确认好之前做的备份是否可用,最近备份时间点,是否有同事在用,影响大不大,
总结:
账号共用存在安全隐患。
账号权限的回收,最小化原则。
账号权限申请,流程方面需要完善普及推广。