Apache-2.2
如何使用 Debian 管理系統服務的非特權管理?
在我們的實驗室,我們有幾項服務由不同的博士生(比如我自己)處理。波動很大,人們在研究職責旁邊做這項工作。直到現在,服務都在不同的機器上執行,具有不同的作業系統設置,這可能會很快導致管理地獄。
我們想鞏固我們的服務設置。我們的主要想法是負責服務的人不應該再乾預底層系統。除了 NFS 和 kerberos 等核心系統外,典型的服務已經能夠以非 root 身份執行。我說的是 apache、mysql、subversion、帶有 openxchange 的郵件等等。重定向特權埠也沒有問題(來源)。
剩下的是服務的配置及其有效負載。我們設想的一種情況是,每個服務都有自己的使用者和主目錄,相應的管理員可以訪問。服務的備份和回退很容易,因為服務執行所需的一切都在一個地方找到。
- 是否有既定的方法來創建這樣的設置?
- 是否存在一種最獨特的方法來使服務在仍然使用相應的 debian 包的同時找到它們的文件(除了在系統目錄中)?
- 我們的想法是否有任何我們可能忽略的問題?
- 您是否會聲稱虛擬化是我們問題的答案?(在我們的 POV 中,將系統設置與服務設置嚴格分開無濟於事。)
感謝您的任何建議!
我有時會想你要做什麼,但最後我總是求助於 sudo。我認為在 linux 中本機很難達到這個目標,也許使用一些 SElinux。看看這篇文章:
http://www.ibm.com/developerworks/linux/library/l-rbac-selinux/
不是很容易,但很有趣。使用 solaris 可能會更容易一些,它的 rbac 可能性。當您必須更新軟體包時,將服務配置文件移動到其他一些目錄上會很麻煩。在這種情況下,也許最好的辦法是重新打包軟體並更改目標目錄。