извиняюсь за оффтопик, расскажите впечатления об линуксфесте

2ROOT: Ну да не хацкер :) И далеко не в Москве. И официальное разрешение по телефону не катит. Ну да ладно.

2ROOT: насколько я знаю, определенный сервак или сеть в течении суток не ломается. Ну конечно если не надо просто проверить, что общедоступные сервисы на сервере без дырок %) это можно и в гугле поискать или проверить чем-нить типа nessus-а.

2anonymous (*) (2003-08-03 14:58:48.449849):
А впечатления более чем печальные. Зря съездил в такую даль: отдохнуть и напиться вполне можно было бы и в Подольске.
В общем-то, это всё было под эгидой конторки ALT Linux и мурзилки "Системный администратор". С соответствующими дифирамбами в их пользу. Народу было 150-200 человек.
Народ пил хуже верблюдов. :-) (Кстати, за свой счет... ALT Linux и "Системный администратор" не проставились... Разве что раздарили по номеру журнала и диску "ALT Linux Junior 2.1 PC Home Edition"...)
Лично я ехал на фест с желанием побеседовать с профи насчет кластеров... Наивный... :-) Народ там чуть менее яро, чем на форумах, обсасывал темку Linux-десктопа и ни о чем другом думать не хотел.
Про этот вот кластер для рендера 3D MAX'овского видео отзывались в стиле "КРУТО!", но никто ничего не сказал ни в пользу, ни в критику...
В общем, обыкновенная попойка на природе. В настоящий момент, ехать на linuxfest v.6 у меня желания нет.

Три дня "трахался с настройкой сервака под Debian GNU/Linux 3.0 Woody. Наблюдаю попытки сломать с апреля прошлого года. Не вышло ни разу. Что я не так делаю?

Слака - вещь красивая. Но я предпочитаю Gentoo. И не надо флейма по этому поводу. Я использую 2 дистра, о которых вы тут прочитали. И слака в их число не входит. Хотя дистр - хороший. Короче - OS - под задачу. Остальное - это время, желание и возможности админа.

Спецы, как настроить dial-in на RH 7.2? Я поставил mgetty + AutoPPP, пришлось pppd пропатчить на предмет некорректного диалога с win9x-клиентами. Теперь с win пользователи ходят без проблем, а из linux все коннектится (модем, pppd, ip правильно выдается), а ни одного байта клиенту не возвращается (ping etc.). Я честно не понимаю, как такое может быть.

2anonymous (*) (2003-08-03 18:38:25.033036): Слушай, а Инет уже отменили? Ты в гугле тот же вопрос задать не можешь? Есть огромное количество статей, где все это описано.

2R00T: то есть это известная проблема? именнно то, что я описал? почему-то найти таких статией мне не удалось, все методы, описываемые в статьях не отличаются от того что я делал. нашел бы в гугле давно все исправил бы.

2ROOT: Слушай, а форумы уже отменили? Ты там свое удивление системой сертификации RedHat выразить не можешь? На главной странице вроде бы новости положено постить. Твое возмущение политикой редхата если даже и является новостью для неофитов ЛОР'а, оно не настолько интересно.

>Спецы, как настроить dial-in на RH 7.2? Я поставил mgetty + AutoPPP, >пришлось pppd пропатчить на предмет некорректного диалога с >win9x-клиентами. Теперь с win пользователи ходят без проблем, а из >linux все коннектится (модем, pppd, ip правильно выдается), а ни одного >байта клиенту не возвращается (ping etc.). Я честно не понимаю, как >такое может быть.

ты скорее всего влепил в pppd криптование mschap

2anonymous (*) (2003-08-03 19:41:19.715433): Да я знаю, что я противный и ужасный R00T... :-))))))))))))))))
Дело в том, чтобы люди стремились познавать окружающий мир самостоятельно, а не под руководством сисадмина.

Проблема с dial-in(pppd) ....

to anonymous (*) (2003-08-03 18:38:25.033036) Проблемы коннекта с Linux на Linux через pppd ? Было дело морочился. Решение просто: засунь в modules.conf следующие строки, и перегрузи:

alias ppp-compress-21 bsd_comp alias ppp-compress-24 ppp_deflate alias ppp-compress-26 ppp_deflate

и пойдут пакеты с Linux на Linux..))) А вообже неплохая мысль обновить дистр хотябы до ASP7.3 ..)))

Дело в том, что R00T лох, о чем тут давно известно. Луговской хоть жестко но верно говорил, а рут это просто пукалка с пальцами.

> Я использую 2 дистра, о которых вы тут прочитали. И слака в их число не входит.

Я тоже два. Без слаки. Один, правда, тут оффтопик, а по второму, как выяснил R00T, сертификаты дают. Дают их, правда, уже давно, (даже, если я правильно ошибаюсь, тут новость об этом была) но R00T узнал только недавно, а узнав - обалдел. По слаке, наверное, такого ничего не дают ;-))

Да вообще, при грамотном подходе и за час можно управиться...

Для anonymous (*) (2003-08-02 18:12:04.021888)
<<2 ranckont
<<<>> Придурок и тот может поставить...
<<<Сам дурак.
Ну раз я дурак...
Сам и ищи в Инете...
А трабла-то в маленькой фигне

Млин, сколько можно?! В 7.2 pppd глюкавый. Уж сколько об этом писано-переписано!

2 R00T
>А впечатления более чем печальные. Зря съездил в такую даль: отдохнуть и
>напиться вполне можно было бы и в Подольске.
Странно, а я в перерывал между пивом очень плодотворно пообщался в течении трёх дней на предмет IP-телефонии и т.п. фигни. Может ты плохо себе собеседников искал?

62.5.228.3 можете не ломать:) или он сам упадет с такими грамотными заместителями или ROOT отмажется что его веб мастер уронил:)

2ROOT: Есть простое решение на такой случай - пароль root кладется в конверт, запечатывается и кладется в сейф/сдается ответственному лицу на хранение, если очень надо, то уполномоченный человек вскроет конверт и воспользуется паролем, после чего пароль должен быть изменен и снова положен в конверт.

2anonymous (*) (2003-08-04 08:40:53.88558): Мда... Может быть. :-(

2anonymous (*) (2003-08-04 10:58:19.529269): Я же сказал. Оно ему надо ещё много для чего. Например, издеваться над Апачем (а тем более, иметь возможность поменять ему конфиги). И с MySQL поиграться. И ещё много с чем...

2 R00T
Хм ...
А в usermode это никак нельзя забацать ?????

2Noane (*) (2003-08-04 15:00:16.125192): Можно. Вот только геморру куча.
То есть:
1. На все эти демоны сделать пароли (а значит, дать потенциальную возможность заходить под их правами). Сейчас паролей у них нет - стоят звездочки везде.
2. Создать юзера веб-мастеру, да ещё и перераздать права: то бишь сделать его владельцем всех файлов (конфига и контента), включить во все демонические группы, а демонов заставить читать файло своё по правам члена группы.

Ну и так далее в том же духе. Отличие от того, что сейчас есть (то бишь, что веб-мастер работает под рутом) лишь в том, что у него геморра поменьше (а машину запороть он легко может в любом случае - против человека с отверткой ещё ни один компьютер не устоял).

Да, блин, дожились :-( Админы не слышали о sudo ...

да будет вам известно што наличие хотя бы одного RHCE в конторе являетца необходимым условием получения сертификации продукта для RedHate (там исчо есть требование продукту иметь инсталлер в виде .rpm и скока то денех проплатить)
Все, больше гордое звание RHCE никуда не уперлось
А вы тут флейм развели...

2shsm (*) (2003-08-04 18:25:38.073711): Да-да... А какая ПРИНЦИПИАЛЬНАЯ разница между sudoer'ами и рутом??? :-) На мой взгляд - никакой.

2ROOT:

Да уж, приехали, нет разницы между sudoers и root... Вы того, RTFM пробовали, перед тем, как давать такие утверждения?!

Уже одна только возможность дать определенному пользователю выполнять ТОЛЬКО определенну(ю|е) команд(у|ы), плюс запись в логи на любые несанкционированные попытки выполнения других команд делают sudo незаменимым инструментом администрирования.

IMHO, правильное использование sudo критически необходимо при работе команды из нескольких администраторов.

Отцы, а чего вы удивляетесь? Вы про сертификацию Cisco ICSE слыхали? Там в первый день за 8 часов надо ПРАВИЛЬНО собрать нев.. (большую) схему из кучи железяк и уйти спать. За ночь "добрые" и очень ехидные люди наделают там таких ошибок, что мало не покажется. За второй день надо их исправить (ясное дело,не воссоздавая схему заново). Сдает ОЧЕНЬ мало народа, но зато сдавший может запросить себе ну очень скромную зарплату практически в любой стране мира. Сдавшие рассказывали, что не хватало времени команды набирать.

Наверное, имеется в виду 2-ух дневная лаба для сертификации на CCIE? Ибо никаких ICSE у циски нету. Более того чаще, имхо (и по отзывам), лабу сдать оказывается проще чем 4-ех часовой письменный экзамен.

> Админы не слышали о sudo ...

А shsm, стало быть, о sudo слышал. Наверное, от приятеля краем уха, что это типа круто ;-) Еще и RTFM советует

Ведь написана же задача - править конфиги. Ну даст R00T вебмастеру sudo на редактор, тот из него shell запустит. И к чему тогда все это?

2 R00T
Я конешна всей ситуёвины незнаю ....
но судя по тому, что ты сказал
в usermode это пихается запросто ...
а про отвёртку хм ... это конешна даа :))

root, sudoers.... RSBAC!

http://www.rsbac.org/documentation.htm

No more superusers.

2
hilight (*) (2003-08-05 14:58:07.177151)
Noane (*) (2003-08-05 15:00:34.657632)

Не только. Я ему должен дать права на рутовый KILL (убивать... ненужное), права на рутовый VI (редактировать конфиги), права рутовые SMBD и NMBD (заливать данные на веб-сервак - с FTP неудобно, да и какая разница-то?), рутовые права на chmod и chown (менять права на контент и конфиги серверов Apache и MySQL), рутовые права на touch (создавать файлы в "нужных" каталогах)... Ну и т. п.

То есть, использование SUDO в данном случае является откровенным геморроем. С _ТАКИМИ_ правами юзер ничем не отличается от рута (в конце-концов, ему ничто не помешает перезаписать или отредактировать файл /etc/shadow на предмет рутового пароля).

Так что апологеты SUDO, на мой взгляд, несколько неадекватно относятся к этой системе...

2R00T (*) (2003-08-05 23:29:18.010402):

Зачем webmaster'у что-то "килять"? Дать ему sudo на apachectl, или как там оно у тебя в слаквари... Ну и напиши ему скрипт, который "стреляет" killall -HUP pppd. То же самое для mysql.

На предмет правки конфигов: отдай ему конфиги апача и mysql по chown. Говорят, помогает :-)

А еще у webmaster'а нет понятия "нужный каталог" вне DocumentRoot :-) И все документы принадлежат внутри него этому самому webmaster'у, и никому более, так что никакого рутового touch и chown ему нафиг не нужно, а chmod для своих файлов он сам сделает.

Пример:

/usr/local/apache/etc/httpd.conf принадлежит webmaster'у

Еще у него есть право вызывать по sudo /usr/local/sbin/killapapche, которые есть killall -9 httpd

также ему про'GRANT'овано право DBA в MySQL, а также право по sudo делать /usr/local/sbin/start_mysql и /usr/local/sbin/stop_mysql

Ну и заодно он может делать (опять же по sudo) /usr/local/sbin/start_samba и /usr/local/sbin/stop_samba

Это, конечно, если все "по уму" делать. И нафига ему теперь пароль администратора? Разве что чтобы сервер поломать :-) Кстати, все большие сервисы (типа оракла, информикса, дб2 и прочие) запускаются и рулятся под своими собственными эккаунтами, а некоторые особо правильные (типа оракла) под рутом работать не хотят совсем, совершенно правильно "упираясь" и сохраняя полную управляемость из-под не'rooot'ового эккаунта

2hilight Во, еще один "грамотный админ" вылез, RTFM до посинения! Какой нахрен шелл из редактора, если явно задано запускать ТОЛЬКО один файл на редактирование? Читайте доку, она рулез (с) непомню.

Там ниже идет пост no-dashi - почитайте, это станет для Вас открытием.

Б#я, куда мы катимся!?

2no-dashi (*) (2003-08-06 00:50:10.517373):
Можно, конечно и так...
Вот только опять вопрос - насколько предлагаемое тобой отличается от рута? Что-то не очень...
Да и вообще, что же там в сервере ему ломать-то, когда убить apache и mysql, завалить sendmail элементарным DoS'ом он вполне сможет и имея предлагаемые тобой "ограниченные" права.
В общем, когда у меня вдруг произойдет сильнейший приступ шизофрении, я, может быть, сделаю так, как ты предлагаешь. Но уже сейчас понятно, что особого толка от этого не будет.

2 R00T Если ты ему доверяешь как себе - то одно Но всё-таки права разграничивать надо ....

2 R00T (*) (2003-08-05 23:29:18.010402) Да я понял из предыдущего, что не только правка конфигов ему нужна. ;-) Просто именно эта задача с помощью sudo не решается

2 shsm (*) (2003-08-06 01:32:23.00964) Пост no-dashi прочитал. Интересно, только открытием не стало ;-) Он все грамотно расписал, а ты про sudo заикнулся, не более. Причем не по делу:

> Какой нахрен шелл из редактора, если явно задано запускать ТОЛЬКО один файл на редактирование?

Попробуй, сделай алиас на vi blablabla.conf, пропиши его в sudoers для юзера. Потом запусти, набери в vi :sh. Получишь рутовый shell, и команды из него в лог sudo не попадут

sudo - хорошая вещь, но для правки рутовых конфигов она не годится. Нужно менять права этих файлов, создавать или изменять группы, а здесь легко ошибиться. А если то, что есть, хорошо работает - зачем менять?

> RTFM до посинения! ... Читайте доку, она рулез

С последним согласен. А вот синеть вредно ;-) "Linux Security Administrators Guide" - хорошая дока?

"Although sudo can be used to give specific users specific privileges for specific tasks, it does have several shortcomings. It should be used only for a limited set of tasks, like restarting a server, or adding new users. Any program that offers a shell escape will give the user root access. This includes most editors, for example. Also, a program as innocuous as /bin/cat can be used to overwrite files, which could allow root to be exploited. Consider sudo as a means for accountability, and don't expect it to replace the root user yet be secure."

Что-то надоело мне ругаться, давай дальше более спокойным тоном, ок?

Люди !!! ненадо пускать WWW под root'ом

2hilight: Sorry, на счет Вас я ошибался, вы доку читали :-)

Просто тот, кто пользуется sudo давно, обычно знает о его недостатках. Запуск sh или ! blah обходится очень просто - использованием restricted vim (vim -Z). Я же написал - читайте доку ;-) А проводить ликбез в форуме в развернутой форме я не собираюсь. Я использую sudo очень давно, и все требования, озвученные ROOT, с помощью sudo успешно решаются.

А насчет спокойного тона - я тоже с Вами полностью согласен, ругаться - последнее дело.

2Noane (*) (2003-08-06 13:56:00.098797): Погоди. Ты кого в виду имеешь? WWW-сервер или веб-мастера?
WWW-сервер никто под рутом и не запускает. А спор, вообще говоря, про веб-мастера... Которому просто по должности требуются рутовые (или весьма приближенные к таковым по предложению no-dashi) права.

2Noane (*) (2003-08-06 12:43:29.994936): Так права можно (и нужно) разграничивать не только электронными ограничениями. Но и ограничениями законодательными, корпоративной этикой и всем прочим... Я же про то и говорю: использование sudo, в ДАННОМ случае - есть не что иное, как сильнейший приступ шизофрении.
Есть и другой взгляд: если я веб-мастеру ограничу права, то ответственность за всё им содеянное буду нести ТОЛЬКО я. А вот если (с согласия начальства, разумеется) права в управлении сурверами у нас будут одинаковыми, то ответственность мы будем нести одинаково.

2ROOT: В твоем случае "доверенная морда" сможет, например, снеcти конфиг сендмайла, прибить бинд, удалить ядро и сделать еще кучу всяких пакостей (даже не по умыслу, по ошибке). В моем примере "доверенная морда" сможет ровно столько, сколько и обычный юзер - ну разве что еще перезапустить апача, mysql и самбу

"Почувствуйте две большие разницы" (с) нынешние русскоязычные

Ну если это тебя учтраивает, и у тебя всё работает - я за тебя рад :))

Это сновая .
к-ть видел патчи что-бы можно было вешать на 1-1023 порты прогу
не под root'м в принципе ???

Restricted vi, увы, позволяет писать в файл, изменив его имя, так что тоже не катит. Может, и это можно обойти, но что-то много граблей при использовании sudo с редактором появляется. Так что, при всем уважении к unix way, изменение прав доступа для этой задачи удобнее, если оно вообще необходимо.

P.S. 2 shsm Извинения приняты. Как ни печально, пионеров здесь много. Извиняюсь, что долго тормозил с постом - комп был далеко, лето все ж ;-)