@alexpogodin

Capistrano: ограничения пользователя на сервере

Доброго времени суток!

Пытаемся внедрить Capistrano для развертывания релизов на серверах. Все бы хорошо, если бы не праведная паранойя администратора. В связи с этим возникает вопрос: какими средствами правильно ограничить набор разрешенных действий для пользователя, используемого для деплоя. Равно как и список ресурсов файловой системы, к которым пользователь должен иметь (или не иметь) доступ.

В голову приходит всего 2 варианта:
— пляски с ~/.ssh/authorized_keys и command
— AppArmor & SELinux

Интересен опыт коллег в этом плане.
  • Вопрос задан
  • 3208 просмотров
Пригласить эксперта
Ответы на вопрос 2
Meliborn
@Meliborn
Создать нового юзера (developer), выставить ему права, добавить в authorized_keys?
Ответ написан
pomeo
@pomeo
у меня hubot сидит отдельно в контейнере на далекой машине, у него есть все ключи от серверов на которые он умеет ходить, и умеет он только capistrano запускать. Т.е. на те сервера попасть руками невозможно, выполнить там что-то в шеле тоже.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы