Если вам нужно выполнить действие, требующее прав root, как вы поступаете?

Да потому что правило «не работай рутом» следует воспринемать буквально, что нельзя работать под рутом. Если у тебя где-то открыта root-консоль - то это правило ты уже нарушил.

Охренеть, срывы покровов.

И все работает? Я когда-то очень давно такой темой развлекался, косяки при работе возникали, кто именно косячил за давностью лет уже не помню.

Так он уникальный и только для этой машинки. Зачем его запоминать? На крайняк его можно сбросить при наличии физического доступа к машине.

Так я и написал, шутка. У меня н-цать серверов с уникальными рутовыми паролями. Тоже же храню сами пароли отдельно, т.к. есть серваки с которыми раз в год, а то и реже приходиться работать под рутом. Только не на бумажке храню :)

Сам спросил

Интересно, те 7% действительно работают под рутом....?

Сам ответил

Разве что если ты админишь серваки

мультивыбор же.

sudo -i

Постоянно работаю под рутом

Потому что линукс на серверах. На серверах пользователям не место.

$ sudo apt install ...

APT-GET!!!!!!11111111адин..

Так я и написал, шутка. У меня н-цать серверов с уникальными рутовыми паролями. Тоже же храню сами пароли отдельно, т.к. есть серваки с которыми раз в год, а то и реже приходиться работать под рутом. Только не на бумажке храню :)

Ну я пронял, что шутка :) Просто самое безопасное хранить пародь root на бумажке в безопасном месте.

чому apt-get?

А где опция запускаю сеанс root через su и не ввожу пароль?

Вызываю своих двух персональных системных рабов и заставляю их выполнять на электронном клэптике команды r00t

Потому что линукс на серверах. На серверах пользователям не место.

Защита вроде нужна не только от пользователей, но и от тебя.

Защита вроде нужна не только от пользователей, но и от тебя.

Нужна и она есть. А вот «sudo что-то там» таковой защитой ну никак не является.

захожу под рутом :)

Запускаю необходимые команды через sudo и ввожу пароль пользователя

про флаг rootpw в sudoers не знаю, как было при установке Ubuntu так и есть

Запускаю необходимые команды через sudo и ввожу пароль пользователя (флаг rootpw в sudoers сброшен)

А что такое rootpw?

Нужна и она есть.

Поделишься опытом?

Нужна и она есть. А вот «sudo что-то там» таковой защитой ну никак не является.

Далеко не все операции при работе на сервере необходимо выполнять под рутом. Т.е. шансов выстрелить себе в ногу все-таки становиться меньше. Поэтому sudo, su – как раз и получается защитой от себя, т.к. это еще одно действие.
Например у меня есть сервера на которые под рутом захожу оочень редко, но так же и те на которых работаю под рутом постоянно. Все от задач зависит.

Далеко не все операции при работе на сервере необходимо выполнять под рутом.

Мне на вскидку очень сложно представить такие операции. наверное htop или nload запустить. Но их запускаешь чтобы увидеть проблему, а проблему опять же без рута не пофиксить.

«На вскидку»: Работа с субд, серверные приложения. Для анализа возникших(возможно возникших) проблем, логи распарсить так же можно и из под юзера. Да много еще чего.
Так же не забываем о возможности установки suid на тобой же написанную программу/скрипт с правами только на запуск и чтение (знаю что suid считается очень плохим и в старые времена скрипты вообще не работали) но случайно испортить ты ее не сможешь, зато получаешь профит при регулярном использовании или в составе большого комплекса где она является маленьким винтиком. Можно и через sudo, но вопрос зачем плодить лишнюю сущность?

Мне на вскидку очень сложно представить такие операции. наверное htop или nload запустить.

Маны тоже читаешь под рутом. И файлы аплоудишь на сервер под рутом? И логи просматриваешь под рутом?

Маны тоже читаешь под рутом.

btw такое бывает. Если уж ты сейчас и здесь под рутом.

И файлы аплоудишь на сервер под рутом?

Тоже бывает up/download если эти файлики только для рута и нужны, ибо нефиг чтобы юзвер даже случайно на них наткнулся.

И логи просматриваешь под рутом?

Некоторые да. Не все логи r--r--r--.

чому apt-get

щьюрт побьяри: я лет пять на дебиане и не знал что бывает apt, а не только apt-get, apt-cache, aptitude...

так он только в Debian 8 появился, ничего страшного =)

Маны тоже читаешь под рутом. И файлы аплоудишь на сервер под рутом? И логи просматриваешь под рутом?

Да. А какую ошибку в этих операциях можно совершить, работая под рутом? Можно пример?

Ну если твой сайт располагается в /srv/http/mysite.ru/www, то аплоудя на него файлы под рутом ты можешь запроста перезаписать /usr используя путь ../../../../usr

Использование всяких "../" и «~/» это очень плохой стиль, недопустимый для серьёзных дядек. Фактически аналог однострочников на перл. Все аргументы должны быть указаны явно и однозначно. Без понимания таких вещей к серверам лучше не приближаться на пушечный выстрел.

эмм, чё?

Похоже на вечер пятницы у Вас плохо с парсингом. Завтра еще раз перечитайте.

Аж подавился. Это простите как? Я имею ввиду как это физически исполнить можно? Серьезно, я про путь, расскажите плиз?
А вот заливать сайты по фалово под рутом, что ж…до этого еще сильно додуматься нужно. ССЗБ тот кто это делает и совсем не по причине указанной Вами.

так он только в Debian 8 появился, ничего страшного =)

// с облегчением выдыхаю и продолжаю любоваться собой в зеркало какой я умный и красивый :)

sudo. на одной машине rootpw сброшен, на второй используется.

Выбрал два варианта:

1) Если нужно «ручками», что - то сделать - тогда в консоли su и пароль рута.

2) Для скриптов от пользователя (виджеты суперкарамбы) в скриптах команды запускаются через sudo без паролей (команды вроде получения температуры hdd, подъем сетевого соединения и т.п.)

PS: естественно все это локально. Если по сети нужно, то через ssh под рутом вхожу с паролем естественно.

su пароль

Если понимать, что делаешь, работает конечно. Напрямую с именем root ни одна вменяемая программа работать не будет

За BASH-скрипты же с проверками вида [[ $(whoami) == 'root' ]] - нужно бить, причём бить больно.

Если понимать, что делаешь, работает конечно.
Если понимать, что делаешь

Т.е. все-таки тюнить нужно и одного переименования рута недостаточно, или я не так понял?

Напрямую с именем root ни одна вменяемая программа работать не будет
За BASH-скрипты же с проверками вида [[ $(whoami) == 'root' ]] - нужно бить, причём бить больно.

Раньше бывали косяки не только в скриптах.

Трудно отвечать за все скрипты и как правило криворуко написанные Python-приблуды - наверняка где-нибудь, да упоминается всуе имя «рута». Но в общем это отличный повод написать в багтрек любимого дистрибутива, ибо подобные вещи - это явный минус к репутации, и по-хорошему конечно это нужно будет убрать или пропатчить хотя бы.

Простите, но я так и не понял, это был ответ на мой вопрос?

Т.е. все-таки тюнить нужно и одного переименования рута недостаточно, или я не так понял?

Или просто размышления?
Мне действительно интересен Ваш опыт. Т.е. просто переименовали или все-таки потом тюнить пришлось? И если доводка понадобилась то в чем?

У 95 человек крепкие яйца, ведь они всегда сидят под рутом!

Кстати понял, что не владею информацией как вообще su и sudo работают. Понятно, что они меняют pid, но как они это делают? Как работает защита которая su, sudo и login разрешает менять pid, а другим программам - нет?

Элементарно, они суидные :)

Прочитал https://ru.wikipedia.org/wiki/Suid Надо же, и не знал такого. То есть если сделать:

touch script.sh
chown root:root script.sh
chmod u=rwxs,g=rwx,o=rwx

Вот и выросло поколение, даже про права в *nix не в курсе :( А тут еще упоминают про acl, основы и то не знают :(
Отвечая на вопрос, да так и будет. А вот это g=rwx уже лишнее, а за это o=rwx вообще молотком по голове стучать надо, долго, нудно и больно, хотя какой смысл видимо мозга там нэма. :(