Нет описания правки |
Нет описания правки |
||
| (не показаны 4 промежуточные версии 2 участников) | |||
| Строка 1: | Строка 1: | ||
По умолчанию управляемый кластер | '''''[[Установка и настройка]] / [[Установка и настройка|Основные элементы АппОптима]] / [[АппОптима]] / [[АппОптима|Конфигурация]] / Настройка повышенных прав доступа''''' | ||
По умолчанию управляемый кластер АппОптима использует <code>sudo</code> для повышения разрешений для определенных операций обслуживания, и вам не нужно выполнять какие-либо дополнительные действия при запуске установки с целью настройки пользователей, разрешений и служб. Однако, если <code>sudo</code> недоступен в вашей ОС или вам необходимо использовать альтернативную команду для повышения разрешений, вы должны указать их во время установки. | |||
* В интерактивном режиме, когда вас спросят о повышенных разрешениях, передайте префикс команды, включая программу, например <code>pbrun</code>, <code>sesudo</code> и <code>suexec</code> | * В интерактивном режиме, когда вас спросят о повышенных разрешениях, передайте префикс команды, включая программу, например <code>pbrun</code>, <code>sesudo</code> и <code>suexec</code> | ||
| Строка 6: | Строка 8: | ||
'''Примечание'''. Во всех примерах команд на этой странице предполагается следующее: | '''Примечание'''. Во всех примерах команд на этой странице предполагается следующее: | ||
* <code> | * <code>appoptima</code>(по умолчанию) — это пользователь, который запускает все службы ОС АппОптима. | ||
* | * АппОптима установлен в <code>/opt/appoptima-АппОптима/</code> | ||
* Данные расположены в директории <code>/var/opt/ | * Данные расположены в директории <code>/var/opt/appoptima-АппОптима/</code> | ||
Если ваша конфигурация отличается, измените свои действия соответствующим образом. | Если ваша конфигурация отличается, измените свои действия соответствующим образом. | ||
== Когда требуются повышенные разрешения == | == Когда требуются повышенные разрешения == | ||
Пользователю ОС, запускающему управляемые службы | Пользователю ОС, запускающему управляемые службы АппОптима, требуются повышенные разрешения для выполнения следующих задач: | ||
* Запуск сценария установки или перенастройки | * Запуск сценария установки или перенастройки | ||
| Строка 22: | Строка 24: | ||
== Перенастройка команду dtrun sudo == | == Перенастройка команду dtrun sudo == | ||
Чтобы упростить управление разрешениями ОС, | Чтобы упростить управление разрешениями ОС, АппОптима использует один скрипт для запуска всех команд, требующих повышенных разрешений. Сценарий под названием <code>dtrun</code> представляет собой оболочку для <code>sudo</code> или любой другой команды, которую вы должны указать во время установки. Файл <code>dtrun</code> находится в директории <code>/opt/dtrun/dtrun</code>, и все команды, которые исполняются файлом <code>dtrun</code>, находятся в директории <code>/opt/dtrun/dtrun.conf</code>. Исполняться могут только скрипты и команды в директории <code>/opt/dtrun/dtrun.conf</code> can be run. | ||
Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор <code>SUDO_COMMAND</code> во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле <code>/var/opt/ | Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор <code>SUDO_COMMAND</code> во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле <code>/var/opt/appoptima-АппОптима/log/dtrun.log</code>. | ||
Если вам нужно перенастроить существующую установку для использования альтернативы <code>sudo</code>, вы можете запустить сценарий перенастройки. Например, чтобы изменить команду <code>sudo</code> на <code>pbrun</code>, используйте этот скрипт для повторного запуска программы установки: | Если вам нужно перенастроить существующую установку для использования альтернативы <code>sudo</code>, вы можете запустить сценарий перенастройки. Например, чтобы изменить команду <code>sudo</code> на <code>pbrun</code>, используйте этот скрипт для повторного запуска программы установки: | ||
<code>sudo /opt/ | <code>sudo /opt/appoptima-АппОптима/installer/reconfigure.sh --sudo-cmd "/usr/bin/pbrun \$CMD"</code> | ||
== Исправление неполадок == | == Исправление неполадок == | ||
Неправильно настроенные разрешения могут привести к различным проблемам, например, с | Неправильно настроенные разрешения могут привести к различным проблемам, например, с АппОптима АппОптима или сетью. Если есть проблема с разрешениями, вы увидите такие записи в журнале установки, как: | ||
< | <sudo: pam_open_session: System error | ||
sudo: policy plugin failed session initialization | sudo: policy plugin failed session initialization | ||
Также вы увидите проблемы в этих журналах: | Также вы увидите проблемы в этих журналах: | ||
* <code>/var/opt/ | * <code>/var/opt/appoptima-АппОптима/log/dtrun.log</code> (логи dtrun) | ||
* <code>/var/opt/ | * <code>/var/opt/appoptima-АппОптима/log/launch-logging.log</code> (логи скриптов запуска служб) | ||
При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод: | При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод: | ||
< | <cat /etc/sudoers | grep -i include | ||
cat /etc/sudoers.d/ | cat /etc/sudoers.d/appoptima | ||
su - | su - appoptima-s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n' | ||
cat /etc/sudoers | grep | cat /etc/sudoers | grep appoptima | ||
cat /etc/passwd | grep | cat /etc/passwd | grep appoptima | ||
cat /etc/shadow | grep | cat /etc/shadow | grep appoptima | ||
chage -l | chage -l appoptima | ||
Команда <code>chage</code> сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к <code>sudo</code>). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять <code>dtrun</code>, вы можете легко узнать, работает ли <code>sudo</code> должным образом, выполнив следующую команду от имени пользователя root: | Команда <code>chage</code> сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к <code>sudo</code>). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять <code>dtrun</code>, вы можете легко узнать, работает ли <code>sudo</code> должным образом, выполнив следующую команду от имени пользователя root: | ||
<code>su - | <code>su - appoptima -s /bin/bash -c 'sudo /opt/dtrun/dtrun service appoptima-server status'</code> | ||
Следующая команда является примером проверки повышения разрешений с помощью альтернативы <code>sudo</code>, <code>pbrun</code>: | Следующая команда является примером проверки повышения разрешений с помощью альтернативы <code>sudo</code>, <code>pbrun</code>: | ||
<code>su - | <code>su - appoptima -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service appoptima-server status'</code> | ||
Текущая версия от 08:04, 7 января 2025
Установка и настройка / Основные элементы АппОптима / АппОптима / Конфигурация / Настройка повышенных прав доступа
По умолчанию управляемый кластер АппОптима использует sudo для повышения разрешений для определенных операций обслуживания, и вам не нужно выполнять какие-либо дополнительные действия при запуске установки с целью настройки пользователей, разрешений и служб. Однако, если sudo недоступен в вашей ОС или вам необходимо использовать альтернативную команду для повышения разрешений, вы должны указать их во время установки.
- В интерактивном режиме, когда вас спросят о повышенных разрешениях, передайте префикс команды, включая программу, например
pbrun,sesudoиsuexec - В тихом режиме этот параметр можно указать через настраиваемую установку
Примечание. Во всех примерах команд на этой странице предполагается следующее:
appoptima(по умолчанию) — это пользователь, который запускает все службы ОС АппОптима.- АппОптима установлен в
/opt/appoptima-АппОптима/ - Данные расположены в директории
/var/opt/appoptima-АппОптима/
Если ваша конфигурация отличается, измените свои действия соответствующим образом.
Когда требуются повышенные разрешения
Пользователю ОС, запускающему управляемые службы АппОптима, требуются повышенные разрешения для выполнения следующих задач:
- Запуск сценария установки или перенастройки
- Добавка или удаление ноду кластера
- Запуск, останавка, перезапуск и проверка состояния служб
Полный список команд, требующих повышенных разрешений, находится в файле /opt/dtrun/dtrun.conf. Директория /opt/dtrun и все файлы внутри принадлежат пользователю root по соображениям безопасности.
Перенастройка команду dtrun sudo
Чтобы упростить управление разрешениями ОС, АппОптима использует один скрипт для запуска всех команд, требующих повышенных разрешений. Сценарий под названием dtrun представляет собой оболочку для sudo или любой другой команды, которую вы должны указать во время установки. Файл dtrun находится в директории /opt/dtrun/dtrun, и все команды, которые исполняются файлом dtrun, находятся в директории /opt/dtrun/dtrun.conf. Исполняться могут только скрипты и команды в директории /opt/dtrun/dtrun.conf can be run.
Если кластеру необходимо выполнить команду от имени пользователя root (например, чтобы добавить iptables, перезапустить компонент или запустить средство обновления), он будет использовать набор SUDO_COMMAND во время установки, чтобы попытаться получить повышенные разрешения. Вы также можете искать проблемы в лог-файле /var/opt/appoptima-АппОптима/log/dtrun.log.
Если вам нужно перенастроить существующую установку для использования альтернативы sudo, вы можете запустить сценарий перенастройки. Например, чтобы изменить команду sudo на pbrun, используйте этот скрипт для повторного запуска программы установки:
sudo /opt/appoptima-АппОптима/installer/reconfigure.sh --sudo-cmd "/usr/bin/pbrun \$CMD"
Исправление неполадок
Неправильно настроенные разрешения могут привести к различным проблемам, например, с АппОптима АппОптима или сетью. Если есть проблема с разрешениями, вы увидите такие записи в журнале установки, как:
<sudo: pam_open_session: System error sudo: policy plugin failed session initialization
Также вы увидите проблемы в этих журналах:
/var/opt/appoptima-АппОптима/log/dtrun.log(логи dtrun)/var/opt/appoptima-АппОптима/log/launch-logging.log(логи скриптов запуска служб)
При устранении неполадок с sudo или повышенными разрешениями лучший подход — запустить всю конфигурацию сразу и сравнить. Под пользователем root все приведенные ниже команды должны генерировать вывод:
<cat /etc/sudoers | grep -i include cat /etc/sudoers.d/appoptima su - appoptima-s /bin/bash -c 'sudo /opt/dtrun/dtrun iptables -L -n' cat /etc/sudoers | grep appoptima cat /etc/passwd | grep appoptima cat /etc/shadow | grep appoptima chage -l appoptima
Команда chage сообщает вам, истекает ли срок действия пароля (это также может вызвать проблемы с доступом к sudo). Когда вы выполняете дополнительные проверки безопасности, чтобы контролировать, что разрешено выполнять dtrun, вы можете легко узнать, работает ли sudo должным образом, выполнив следующую команду от имени пользователя root:
su - appoptima -s /bin/bash -c 'sudo /opt/dtrun/dtrun service appoptima-server status'
Следующая команда является примером проверки повышения разрешений с помощью альтернативы sudo, pbrun:
su - appoptima -s /bin/bash -c 'pbrun /opt/dtrun/dtrun service appoptima-server status'