Лучше придумай как ты по горло занят улучшением системы и какой профит это приносит конторе чтобы было понятно как это невыгодно тратить твоё время на обсуждение каких-то там рутовых паролей, не говоря уже о поиске и исправлении ошибок, которые потенциально могут быть внесены упырём.

> Странно, но я, почему-то, ниразу его не спрашивал, нахера ему вообще рутовый пароль и права... Завтра спрошу, правда, интересно
Вот именно, сначала нужно понять что контрагенту надо, а потом совместно придумать и принять выгодное тебе решение его проблемы. А скандалить с привлечением начальства - ну разве что не удалось достичь консенсуса мирным путём..

Странно, но я, почему-то, ниразу его не спрашивал, нахера ему вообще рутовый пароль и права... Завтра спрошу, правда, интересно.

А как контроллировать? Есть такая фраза "если у вас, в плане IT, все работает, а админ ничего не делает - радуйтесь.

2)man sandbox

3)можно поднять виртуальную машину с набором апачей, биндов и прочих серверной ерунды, которая стоит на реальном сервере, пусть играется

> Завтра будем разговаривать втроем. Вопрос рутового доступа я поставил сразу - либо только мне (или некому вообще), либо я за сервера ответственности не несу. Мне надоело уже время от времени на серваке чудом находить такие ошибки, которые я не могу допустить в принципе - например не так давно "чудом" в /etc/networks/interfaces в дебиане вместо "auto" стояло "uto", учитывая, что я больше года назад при установке задал все параметры интерфейсов и вообще даже не помнил про этот конфиг. И таких подобных куча.
А упырь он как техдиректор за тебя отвечает, как минимум тебе перед завтрашним разговором надо подумать как он сможет контролировать качество твоей работы, а так же в случае чего принимать меры если что-то случилось, а ты недоступен. Вот потребуется ему ночью что-то срочно поменять, допустим. Что он должен делать - звонить генеральному, брать у него пароль, чего-то чинить, как-то так? А вдруг чего-то случится, он накосячит, всё наебнётся - ты уверен что на тебя не свалят всё равно? Ну например чтобы тебя среди ночи на работу дёрнуть исправлять проблему, или чтобы не подставлять этого ценного для бизнеса упыря. А он ценнее тебя - ведь он способен удовлетворять клиентов, а ты несёшь вторичные функции.

Кстати. Дождался я таки гендиректора и переговорил с ним по поводу этого упыря. Завтра будем разговаривать втроем. Вопрос рутового доступа я поставил сразу - либо только мне (или некому вообще), либо я за сервера ответственности не несу. Мне надоело уже время от времени на серваке чудом находить такие ошибки, которые я не могу допустить в принципе - например не так давно "чудом" в /etc/networks/interfaces в дебиане вместо "auto" стояло "uto", учитывая, что я больше года назад при установке задал все параметры интерфейсов и вообще даже не помнил про этот конфиг. И таких подобных куча.

P.S.

Кстати, тест правильный, мну одобряет. Зря ты на мужика взъелся, помирись просто.

С другой стороны вроде существуют какие-то базовые формулировки что должен человек на своей должности. Чем-то же юристы пользуются в таких как у тебя случаях, когда явно в договоре не прописаны конкретные обязанности работников.. Может считается, что ты как одмин отвечаешь за выработку, докуметирование и реализацию политик безопасности предприятия, в частности схемы обращения рутового пароля. А ты ничего не вырабртал и не задокуметировал в связи с чем возникают такие вот эксцессы в которых тебе самому не на что сослаться. Так бы сказал - вот согласно распоряжению сисадмина в лице меня, я не имею права выдать вам пароль, гражданин хороший. Если хотите внести изменения в полиси - пишите служебку, я рассмотрю ваши обоснования и приму решение (отрицательно, разумеется) - и всё, и не было бы ничего.

Тут действительно, можно решать только административными методами.

Какой самый неудобный shell существует? :)

Правда, он слишком mc любит, так на шелл надеяться не стоит

Сам логинься под юзером и делай судо.

Вообще, мне надо было донастроить нагиос для мониторинга работы серваков и всех их демонов. И нотификацию по email. Что я и сделал. Но, учитывая, что на каждом сервере бывает по 10-15 важных демонов, я банально забыл мониторить bind'ы на ns1 и ns2. Но это не проблема, учитывая, что за все время работы этих серверов (я их сам настраивал и сам проверял) bind ни там ни там не падал ниразу!

Для проверки нотификации я использовал один сервак, который в серверной вырублен (на нем нет ничего важного) и не подымал, пока не убедился, что все работает.

Что делает этот пряник? Для проверки, как я там все настроил, он, не предупредив никого, тупо на одном серваке вырубает bind9, а на втором - apache2. bind9 - хер с ним, он на вторичном вырубил, а вот apache2 обслуживает несколько сайтов, в т.ч. и наш корпоративный!! Я заметил тут же и включил (из-за этого, собственно и пост начался). Down bind'а я не заметил (нагиос не мониторил) и он лежал около 6 часов, пока мне об этом не сказал сам начальник.

Я бы за такое уволил бы сразу, но гендир не я.

root'овый пароль требует он. С генеральным по этому вопросу тоже буду разговаривать. Тут 2 варианта теперь будет - либо кроме меня никто не знает (и пароль в конвертик и в сейф генерального), либо подпись бумажки, что я ответственности не несу, в случае чего. И то, остальным исключительно гостевые учетки с парой простейших строчек в sudoers (да и они им там нах не нужны, скорее всего, обойдутся).

Что самое интересное, заебал этот пряник не только меня. С ним давно не общается мой напарник (админ по части оборудования), от него нередко лила слезы бухгалтерша (он с нее требовал ипанутые вещи, о которых ранее вообще не упоминал). Да его терпеть не может даже родная дочь (первокурсница, он на нее не так давно серьезно хотел повесить gps'ку :) )! И вообще, он хронический неврастеник.

Но вот увольнять его никто не будет, поскольку он ценный сотрудник, который единственный отлично разбирается со всеми делами и устройствами нашего ключевого клиента (самого главного и прибыльного).

Но работать с ним я все-равно не собираюсь. Все приказы хочу получать впредь не от него, а от генерального напрямую. Этому дебилу надо - пусть не ко мне, а к генеральному идет.

Выговор я не подписал. Сегодня позже пойду к генеральному обсуждать.

>>auditd
Вот это сейчас почитаю.

Проблема усугубляется еще тем, что он любит лазить туда исключительно из-под root'а. Если бы он заходил под своей учеткой, а потом sudo -s, насколько реальней таким образом его действия отследить? Да и еще этот баран (кстати, его фамилия Баранов)любит mc, из-за которого ту же историю в bash'е не посмотришь.

Вобщем, как бы отследить все его действия и/или максимально усложнить вообще что-либо там делать?

Просто сказать "хватит там лазить" не вариант - он упертый, нервный и зам.директора.