Almost made a scapegoat

哥们B跟哥们A说开发测试服务器所有账号没权限。哥们A现在是负责内网环境的，让我帮看下。

先说说这俩哥们，我们经常周末去酒楼搓一顿，哥们A这家伙每天大大冽冽性格很好，我觉得人品不错很喜欢～

哥们B每天中午点餐必点汤~内网环境是逐渐交给他维护的，后来因公司拆分被分到6楼。

今天(2014-04-25)，哥们B把他账号给他们同事用，然后就有了今天的开发测试服务器账号没权限。

开发测试服务器有11台开发测试用的虚拟服务器，放有前端和后端系统，涉及产品开发周期、活动，开发和测试工作进度等。

[qhzou@szmlgw01 /]$ top
 5665 qemu      20   0 2394m 2.0g 2052 S 14.9  8.6  52488:36 qemu-kvm                                                                                  
 1743 qemu      20   0 4580m 3.9g 2076 S 13.0 16.7 176683:37 qemu-kvm                                                                                  
16191 qemu      20   0 2709m 2.1g 2160 S 11.0  9.0  69251:30 qemu-kvm                                                                                  
20252 qemu      20   0 2714m 1.6g 2184 S 10.6  6.6  26128:54 qemu-kvm                                                                                  
 1884 qemu      20   0 2394m 1.8g 2056 S  8.0  7.7  54624:36 qemu-kvm                                                                                  
 5630 qemu      20   0 2394m 2.0g 2052 S  7.3  8.6  38208:01 qemu-kvm                                                                                  
21641 qemu      20   0 4908m 579m 2160 S  1.0  2.4   1271:10 qemu-kvm                                                                                  
20206 qemu      20   0  925m 524m 2164 S  0.7  2.2   2214:09 qemu-kvm                                                                                  
21239 qemu      20   0 1604m 632m 2204 S  0.7  2.6 742:02.38 qemu-kvm                                                                                  
 5655 nobody    20   0  249m  77m 2032 S  0.3  0.3   0:50.74 nginx                                                                                     
21761 qemu      20   0 1897m 1.0g 2160 S  0.3  4.3 921:37.28 qemu-kvm                                                                                  
29661 qemu      20   0 4353m 642m 2148 S  0.3  2.7   2232:18 qemu-kvm

问题：

可看出执行了chown -R openerp:opengrp / 命令，导致账号没权限。幸好是虚拟服务器是正常工作的。

[qhzou@szmlgw01 /]$ ls -l
total 142
dr-xr-xr-x.   2 openerp      openerp       4096 May 15  2013 bin
dr-xr-xr-x.   5 openerp      openerp       1024 Nov 27  2012 boot
drwxr-xr-x. 139 openerp      openerp      12288 Apr 25 11:52 etc
dr-xr-x---.  32 openerp      openerp       4096 Apr 25 10:58 root
[qhzou@szmlgw01 /]$ sudo su -
sudo: /etc/sudoers is owned by uid 518, should be 0
sudo: no valid sudoers sources found, quitting
[qhzou@szmlgw01 /]$ tail /etc/passwd
openerp:x:518:518::/home/openerp:/bin/bash

让哥们Ａ用root账号登入，可发现登入时报root没权限登入。哥们Ａ说可能修改了/etc/ssh/sshd_config的PermitRootLogin no 不允许root账号登入。

解决方法：

1. 由于是不允许ssh协议直接root登入，但可以通过终端直接登入，改为对应root权限。操作前先在LAB环境实验一遍吧。联系机房管理人员，在终端登入，执行chown -R root:root /（注意：机房管理人员遇到报过来的问题，通常会重启服务器，要特别说明不能重启服务器，按照我们给出的实施步骤做，有疑惑问题直接电话沟通确认）。还有一点就是root密码是否修改过。。
   

2. 在第一种方法不成功的情况下要去机房，通过单用户登入修改权限、修改密码，这个得下班后没人用的时候操作。
   

实施前，需先确认好之前做的备份是否可用，最近备份时间点，是否有同事在用，影响大不大，

总结：

1. 账号权限要及时回收，这个是我们没做好的。

2. 账号不能共用，哪能随便给人家，要有这种意识。如出问题可是我们团队背黑祸，影响不太好，也有我们没做好的原因。

3. 账号权限申请，流程方面需要完善普及推广使用。

本文出自 “那些花儿” 博客，请务必保留此出处http://zouquehui.blog.51cto.com/1399114/1403089

Almost made a scapegoat,布布扣,bubuko.com

Almost made a scapegoat

原文：http://zouquehui.blog.51cto.com/1399114/1403089