LINUX.ORG.RU
 

Сертификация RHCE


0

0

Ребятки!
Я просто в шоке! Вы только посмотрите на это: http://www.redhat.ru/rhce_prepguide.html !!!
Неужто действительно можно за 6 часов наиболее оптимально установить Шапку, сконфигурировать DNS, APACHE, SENDMAIL, INN и многое другое???
Это ведь если учесть, что для всего этого придется очень много времени выкачивать апдейты из Инета...

>>> Там ещё много чего, побегайте по ссылкам

СКАЖИ СВОЕМУ КОМПЬЮТЕРУ, ЧТОБЫ ЗАПЕР ДВЕРЬ

любительская автоматизация; устройство с открытой прошивкой
исходные тексты всех программ, открытые библиотеки
http://www.unicontrollers.com/products/unc01x

1 2
[#]  

Re: Сертификация RHCE

извиняюсь за оффтопик, расскажите впечатления об линуксфесте

anonymous ()
[#]  

Re: Сертификация RHCE

2ROOT: Ну да не хацкер :) И далеко не в Москве. И официальное разрешение по телефону не катит. Ну да ладно.

anonymous ()
[#]  

Re: Сертификация RHCE

2ROOT: насколько я знаю, определенный сервак или сеть в течении суток не ломается. Ну конечно если не надо просто проверить, что общедоступные сервисы на сервере без дырок %) это можно и в гугле поискать или проверить чем-нить типа nessus-а.

anonymous ()
[#]  

Re: Сертификация RHCE

2anonymous (*) (2003-08-03 14:58:48.449849):
А впечатления более чем печальные. Зря съездил в такую даль: отдохнуть и напиться вполне можно было бы и в Подольске.
В общем-то, это всё было под эгидой конторки ALT Linux и мурзилки "Системный администратор". С соответствующими дифирамбами в их пользу. Народу было 150-200 человек.
Народ пил хуже верблюдов. :-) (Кстати, за свой счет... ALT Linux и "Системный администратор" не проставились... Разве что раздарили по номеру журнала и диску "ALT Linux Junior 2.1 PC Home Edition"...)
Лично я ехал на фест с желанием побеседовать с профи насчет кластеров... Наивный... :-) Народ там чуть менее яро, чем на форумах, обсасывал темку Linux-десктопа и ни о чем другом думать не хотел.
Про этот вот кластер для рендера 3D MAX'овского видео отзывались в стиле "КРУТО!", но никто ничего не сказал ни в пользу, ни в критику...
В общем, обыкновенная попойка на природе. В настоящий момент, ехать на linuxfest v.6 у меня желания нет.

# ()
[#] Ответ на: Re: Сертификация RHCE от R00T 02.08.2003 11:11:19  

Re: Re: Сертификация RHCE

Три дня "трахался с настройкой сервака под Debian GNU/Linux 3.0 Woody. Наблюдаю попытки сломать с апреля прошлого года. Не вышло ни разу. Что я не так делаю?

Слака - вещь красивая. Но я предпочитаю Gentoo. И не надо флейма по этому поводу. Я использую 2 дистра, о которых вы тут прочитали. И слака в их число не входит. Хотя дистр - хороший. Короче - OS - под задачу. Остальное - это время, желание и возможности админа.

anonymous ()
[#]  

Re: Сертификация RHCE

Спецы, как настроить dial-in на RH 7.2? Я поставил mgetty + AutoPPP, пришлось pppd пропатчить на предмет некорректного диалога с win9x-клиентами. Теперь с win пользователи ходят без проблем, а из linux все коннектится (модем, pppd, ip правильно выдается), а ни одного байта клиенту не возвращается (ping etc.). Я честно не понимаю, как такое может быть.

anonymous ()
[#]  

Re: Сертификация RHCE

2anonymous (*) (2003-08-03 18:38:25.033036): Слушай, а Инет уже отменили? Ты в гугле тот же вопрос задать не можешь? Есть огромное количество статей, где все это описано.

# ()
[#]  

Re: Сертификация RHCE

2R00T: то есть это известная проблема? именнно то, что я описал? почему-то найти таких статией мне не удалось, все методы, описываемые в статьях не отличаются от того что я делал. нашел бы в гугле давно все исправил бы.

anonymous ()
[#]  

Re: Сертификация RHCE

2ROOT: Слушай, а форумы уже отменили? Ты там свое удивление системой сертификации RedHat выразить не можешь? На главной странице вроде бы новости положено постить. Твое возмущение политикой редхата если даже и является новостью для неофитов ЛОР'а, оно не настолько интересно.

anonymous ()
[#] Ответ на: Re: Сертификация RHCE от anonymous 03.08.2003 18:38:25  

Re: Re: Сертификация RHCE

>Спецы, как настроить dial-in на RH 7.2? Я поставил mgetty + AutoPPP, >пришлось pppd пропатчить на предмет некорректного диалога с >win9x-клиентами. Теперь с win пользователи ходят без проблем, а из >linux все коннектится (модем, pppd, ip правильно выдается), а ни одного >байта клиенту не возвращается (ping etc.). Я честно не понимаю, как >такое может быть.

ты скорее всего влепил в pppd криптование mschap

anonymous ()
[#]  

Re: Сертификация RHCE

2anonymous (*) (2003-08-03 19:41:19.715433): Да я знаю, что я противный и ужасный R00T... :-))))))))))))))))
Дело в том, чтобы люди стремились познавать окружающий мир самостоятельно, а не под руководством сисадмина.

# ()
[#]  

Проблема с dial-in(pppd) ....

to anonymous (*) (2003-08-03 18:38:25.033036) Проблемы коннекта с Linux на Linux через pppd ? Было дело морочился. Решение просто: засунь в modules.conf следующие строки, и перегрузи:

alias ppp-compress-21 bsd_comp alias ppp-compress-24 ppp_deflate alias ppp-compress-26 ppp_deflate

и пойдут пакеты с Linux на Linux..))) А вообже неплохая мысль обновить дистр хотябы до ASP7.3 ..)))

# ()
[#]  

Re: Сертификация RHCE

Дело в том, что R00T лох, о чем тут давно известно. Луговской хоть жестко но верно говорил, а рут это просто пукалка с пальцами.

anonymous ()
[#]  
Sergio

Re: Сертификация RHCE

> Я использую 2 дистра, о которых вы тут прочитали. И слака в их число не входит.

Я тоже два. Без слаки. Один, правда, тут оффтопик, а по второму, как выяснил R00T, сертификаты дают. Дают их, правда, уже давно, (даже, если я правильно ошибаюсь, тут новость об этом была) но R00T узнал только недавно, а узнав - обалдел. По слаке, наверное, такого ничего не дают ;-))

* ()
[#] Ответ на: Re: Сертификация RHCE от barmaglot 02.08.2003 9:37:14  

Re: Re: Сертификация RHCE

Да вообще, при грамотном подходе и за час можно управиться...

anonymous ()
[#] Ответ на: Re: Сертификация RHCE от anonymous 02.08.2003 18:12:04  

Re: Re: Сертификация RHCE

Для anonymous (*) (2003-08-02 18:12:04.021888)
<<2 ranckont
<<<>> Придурок и тот может поставить...
<<<Сам дурак.
Ну раз я дурак...
Сам и ищи в Инете...
А трабла-то в маленькой фигне

* ()
[#] Ответ на: Re: Сертификация RHCE от anonymous 03.08.2003 18:38:25  

Re: Re: Сертификация RHCE

Млин, сколько можно?! В 7.2 pppd глюкавый. Уж сколько об этом писано-переписано!

anonymous ()
[#] Ответ на: Re: Сертификация RHCE от R00T 03.08.2003 15:38:14  

Re: Re: Сертификация RHCE

2 R00T
>А впечатления более чем печальные. Зря съездил в такую даль: отдохнуть и
>напиться вполне можно было бы и в Подольске.
Странно, а я в перерывал между пивом очень плодотворно пообщался в течении трёх дней на предмет IP-телефонии и т.п. фигни. Может ты плохо себе собеседников искал?

anonymous ()
[#]  

Re: Сертификация RHCE

62.5.228.3 можете не ломать:) или он сам упадет с такими грамотными заместителями или ROOT отмажется что его веб мастер уронил:)

2ROOT: Есть простое решение на такой случай - пароль root кладется в конверт, запечатывается и кладется в сейф/сдается ответственному лицу на хранение, если очень надо, то уполномоченный человек вскроет конверт и воспользуется паролем, после чего пароль должен быть изменен и снова положен в конверт.

anonymous ()
[#]  

Re: Сертификация RHCE

2anonymous (*) (2003-08-04 08:40:53.88558): Мда... Может быть. :-(

2anonymous (*) (2003-08-04 10:58:19.529269): Я же сказал. Оно ему надо ещё много для чего. Например, издеваться над Апачем (а тем более, иметь возможность поменять ему конфиги). И с MySQL поиграться. И ещё много с чем...

# ()
[#]  

Re: Сертификация RHCE

2 R00T
Хм ...
А в usermode это никак нельзя забацать ?????

* ()
[#]  

Re: Сертификация RHCE

2Noane (*) (2003-08-04 15:00:16.125192): Можно. Вот только геморру куча.
То есть:
1. На все эти демоны сделать пароли (а значит, дать потенциальную возможность заходить под их правами). Сейчас паролей у них нет - стоят звездочки везде.
2. Создать юзера веб-мастеру, да ещё и перераздать права: то бишь сделать его владельцем всех файлов (конфига и контента), включить во все демонические группы, а демонов заставить читать файло своё по правам члена группы.

Ну и так далее в том же духе. Отличие от того, что сейчас есть (то бишь, что веб-мастер работает под рутом) лишь в том, что у него геморра поменьше (а машину запороть он легко может в любом случае - против человека с отверткой ещё ни один компьютер не устоял).

# ()
[#]  

Re: Сертификация RHCE

Да, блин, дожились :-( Админы не слышали о sudo ...

* ()
[#]  

Re: Сертификация RHCE

да будет вам известно што наличие хотя бы одного RHCE в конторе являетца необходимым условием получения сертификации продукта для RedHate (там исчо есть требование продукту иметь инсталлер в виде .rpm и скока то денех проплатить)
Все, больше гордое звание RHCE никуда не уперлось
А вы тут флейм развели...

anonymous ()
[#]  

Re: Сертификация RHCE

2shsm (*) (2003-08-04 18:25:38.073711): Да-да... А какая ПРИНЦИПИАЛЬНАЯ разница между sudoer'ами и рутом??? :-) На мой взгляд - никакой.

# ()
[#]  

Re: Сертификация RHCE

2ROOT:

Да уж, приехали, нет разницы между sudoers и root... Вы того, RTFM пробовали, перед тем, как давать такие утверждения?!

Уже одна только возможность дать определенному пользователю выполнять ТОЛЬКО определенну(ю|е) команд(у|ы), плюс запись в логи на любые несанкционированные попытки выполнения других команд делают sudo незаменимым инструментом администрирования.

IMHO, правильное использование sudo критически необходимо при работе команды из нескольких администраторов.

* ()
[#]  

Re: Сертификация RHCE

Отцы, а чего вы удивляетесь? Вы про сертификацию Cisco ICSE слыхали? Там в первый день за 8 часов надо ПРАВИЛЬНО собрать нев.. (большую) схему из кучи железяк и уйти спать. За ночь "добрые" и очень ехидные люди наделают там таких ошибок, что мало не покажется. За второй день надо их исправить (ясное дело,не воссоздавая схему заново). Сдает ОЧЕНЬ мало народа, но зато сдавший может запросить себе ну очень скромную зарплату практически в любой стране мира. Сдавшие рассказывали, что не хватало времени команды набирать.

anonymous ()
[#] Ответ на: Re: Сертификация RHCE от anonymous 05.08.2003 8:56:28  

Re: Re: Сертификация RHCE

Наверное, имеется в виду 2-ух дневная лаба для сертификации на CCIE? Ибо никаких ICSE у циски нету. Более того чаще, имхо (и по отзывам), лабу сдать оказывается проще чем 4-ех часовой письменный экзамен.

* ()
[#] Ответ на: Re: Сертификация RHCE от shsm 04.08.2003 18:25:38  

Re: sudo

> Админы не слышали о sudo ...

А shsm, стало быть, о sudo слышал. Наверное, от приятеля краем уха, что это типа круто ;-) Еще и RTFM советует

Ведь написана же задача - править конфиги. Ну даст R00T вебмастеру sudo на редактор, тот из него shell запустит. И к чему тогда все это?

* ()
[#]  

Re: Сертификация RHCE

2 R00T
Я конешна всей ситуёвины незнаю ....
но судя по тому, что ты сказал
в usermode это пихается запросто ...
а про отвёртку хм ... это конешна даа :))

* ()
[#]  

Re: Сертификация RHCE

2
hilight (*) (2003-08-05 14:58:07.177151)
Noane (*) (2003-08-05 15:00:34.657632)

Не только. Я ему должен дать права на рутовый KILL (убивать... ненужное), права на рутовый VI (редактировать конфиги), права рутовые SMBD и NMBD (заливать данные на веб-сервак - с FTP неудобно, да и какая разница-то?), рутовые права на chmod и chown (менять права на контент и конфиги серверов Apache и MySQL), рутовые права на touch (создавать файлы в "нужных" каталогах)... Ну и т. п.

То есть, использование SUDO в данном случае является откровенным геморроем. С _ТАКИМИ_ правами юзер ничем не отличается от рута (в конце-концов, ему ничто не помешает перезаписать или отредактировать файл /etc/shadow на предмет рутового пароля).

Так что апологеты SUDO, на мой взгляд, несколько неадекватно относятся к этой системе...

# ()
[#]  
no-dashi

Re: Сертификация RHCE

2R00T (*) (2003-08-05 23:29:18.010402):

Зачем webmaster'у что-то "килять"? Дать ему sudo на apachectl, или как там оно у тебя в слаквари... Ну и напиши ему скрипт, который "стреляет" killall -HUP pppd. То же самое для mysql.

На предмет правки конфигов: отдай ему конфиги апача и mysql по chown. Говорят, помогает :-)

А еще у webmaster'а нет понятия "нужный каталог" вне DocumentRoot :-) И все документы принадлежат внутри него этому самому webmaster'у, и никому более, так что никакого рутового touch и chown ему нафиг не нужно, а chmod для своих файлов он сам сделает.

Пример:

/usr/local/apache/etc/httpd.conf принадлежит webmaster'у

Еще у него есть право вызывать по sudo /usr/local/sbin/killapapche, которые есть killall -9 httpd

также ему про'GRANT'овано право DBA в MySQL, а также право по sudo делать /usr/local/sbin/start_mysql и /usr/local/sbin/stop_mysql

Ну и заодно он может делать (опять же по sudo) /usr/local/sbin/start_samba и /usr/local/sbin/stop_samba

Это, конечно, если все "по уму" делать. И нафига ему теперь пароль администратора? Разве что чтобы сервер поломать :-) Кстати, все большие сервисы (типа оракла, информикса, дб2 и прочие) запускаются и рулятся под своими собственными эккаунтами, а некоторые особо правильные (типа оракла) под рутом работать не хотят совсем, совершенно правильно "упираясь" и сохраняя полную управляемость из-под не'rooot'ового эккаунта

***** ()
[#]  

Re: Сертификация RHCE

2hilight Во, еще один "грамотный админ" вылез, RTFM до посинения! Какой нахрен шелл из редактора, если явно задано запускать ТОЛЬКО один файл на редактирование? Читайте доку, она рулез (с) непомню.

Там ниже идет пост no-dashi - почитайте, это станет для Вас открытием.

Б#я, куда мы катимся!?

* ()
[#]  

Re: Сертификация RHCE

2no-dashi (*) (2003-08-06 00:50:10.517373):
Можно, конечно и так...
Вот только опять вопрос - насколько предлагаемое тобой отличается от рута? Что-то не очень...
Да и вообще, что же там в сервере ему ломать-то, когда убить apache и mysql, завалить sendmail элементарным DoS'ом он вполне сможет и имея предлагаемые тобой "ограниченные" права.
В общем, когда у меня вдруг произойдет сильнейший приступ шизофрении, я, может быть, сделаю так, как ты предлагаешь. Но уже сейчас понятно, что особого толка от этого не будет.

# ()
[#] Ответ на: Re: Сертификация RHCE от R00T 06.08.2003 12:22:45  

Re: Re: Сертификация RHCE

2 R00T Если ты ему доверяешь как себе - то одно Но всё-таки права разграничивать надо ....

* ()
[#]  

Re: sudo

2 R00T (*) (2003-08-05 23:29:18.010402) Да я понял из предыдущего, что не только правка конфигов ему нужна. ;-) Просто именно эта задача с помощью sudo не решается

2 shsm (*) (2003-08-06 01:32:23.00964) Пост no-dashi прочитал. Интересно, только открытием не стало ;-) Он все грамотно расписал, а ты про sudo заикнулся, не более. Причем не по делу:

> Какой нахрен шелл из редактора, если явно задано запускать ТОЛЬКО один файл на редактирование?

Попробуй, сделай алиас на vi blablabla.conf, пропиши его в sudoers для юзера. Потом запусти, набери в vi :sh. Получишь рутовый shell, и команды из него в лог sudo не попадут

sudo - хорошая вещь, но для правки рутовых конфигов она не годится. Нужно менять права этих файлов, создавать или изменять группы, а здесь легко ошибиться. А если то, что есть, хорошо работает - зачем менять?

> RTFM до посинения! ... Читайте доку, она рулез

С последним согласен. А вот синеть вредно ;-) "Linux Security Administrators Guide" - хорошая дока?

"Although sudo can be used to give specific users specific privileges for specific tasks, it does have several shortcomings. It should be used only for a limited set of tasks, like restarting a server, or adding new users. Any program that offers a shell escape will give the user root access. This includes most editors, for example. Also, a program as innocuous as /bin/cat can be used to overwrite files, which could allow root to be exploited. Consider sudo as a means for accountability, and don't expect it to replace the root user yet be secure."

Что-то надоело мне ругаться, давай дальше более спокойным тоном, ок?

* ()
[#]  

Re: Сертификация RHCE

Люди !!! ненадо пускать WWW под root'ом

* ()
[#]  

Re: Сертификация RHCE

2hilight: Sorry, на счет Вас я ошибался, вы доку читали :-)

Просто тот, кто пользуется sudo давно, обычно знает о его недостатках. Запуск sh или ! blah обходится очень просто - использованием restricted vim (vim -Z). Я же написал - читайте доку ;-) А проводить ликбез в форуме в развернутой форме я не собираюсь. Я использую sudo очень давно, и все требования, озвученные ROOT, с помощью sudo успешно решаются.

А насчет спокойного тона - я тоже с Вами полностью согласен, ругаться - последнее дело.

* ()
[#]  

Re: Сертификация RHCE

2Noane (*) (2003-08-06 13:56:00.098797): Погоди. Ты кого в виду имеешь? WWW-сервер или веб-мастера?
WWW-сервер никто под рутом и не запускает. А спор, вообще говоря, про веб-мастера... Которому просто по должности требуются рутовые (или весьма приближенные к таковым по предложению no-dashi) права.

# ()
[#]  

Re: Сертификация RHCE

2Noane (*) (2003-08-06 12:43:29.994936): Так права можно (и нужно) разграничивать не только электронными ограничениями. Но и ограничениями законодательными, корпоративной этикой и всем прочим... Я же про то и говорю: использование sudo, в ДАННОМ случае - есть не что иное, как сильнейший приступ шизофрении.
Есть и другой взгляд: если я веб-мастеру ограничу права, то ответственность за всё им содеянное буду нести ТОЛЬКО я. А вот если (с согласия начальства, разумеется) права в управлении сурверами у нас будут одинаковыми, то ответственность мы будем нести одинаково.

# ()
[#]  
no-dashi

Re: Сертификация RHCE

2ROOT: В твоем случае "доверенная морда" сможет, например, снеcти конфиг сендмайла, прибить бинд, удалить ядро и сделать еще кучу всяких пакостей (даже не по умыслу, по ошибке). В моем примере "доверенная морда" сможет ровно столько, сколько и обычный юзер - ну разве что еще перезапустить апача, mysql и самбу

"Почувствуйте две большие разницы" (с) нынешние русскоязычные

***** ()
[#]  

Re: Сертификация RHCE

Ну если это тебя учтраивает, и у тебя всё работает - я за тебя рад :))

* ()
[#]  

Re: Сертификация RHCE

Это сновая .
к-ть видел патчи что-бы можно было вешать на 1-1023 порты прогу
не под root'м в принципе ???

* ()
[#] Ответ на: Re: Сертификация RHCE от shsm 06.08.2003 14:15:28  

Re: sudo

Restricted vi, увы, позволяет писать в файл, изменив его имя, так что тоже не катит. Может, и это можно обойти, но что-то много граблей при использовании sudo с редактором появляется. Так что, при всем уважении к unix way, изменение прав доступа для этой задачи удобнее, если оно вообще необходимо.

P.S. 2 shsm Извинения приняты. Как ни печально, пионеров здесь много. Извиняюсь, что долго тормозил с постом - комп был далеко, лето все ж ;-)

* ()
1 2
Red Hat