abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 17:02 | Pozvánky
Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.
Miška | Komentářů: 0
dnes 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: vlastník /etc

13.11.2012 19:44 steel | skóre: 1
vlastník /etc
Přečteno: 782×
Dobrý den všem, jsem začátečník a stal se mi moc závažný problém. Nemůžu se připojit do terminálu přes putty. Pravděpodobně z důvodu napsání do putty "chown -R vlastnik /etc" čímž jsem změnil vlastníka složky "etc" z "root" na "vlastnik" což sem si neuvědomil, že si to tím takhle znefunkčním. Na server, který je nefunkční je nová řeská verze Debianu.

No co řekl jsem si zkusím se přihlásit do Vmware a přes konzoli změnim vlastníka zase zpátky "chown -R root /etc" a po restartu bz to zase mělo být v pořádku.

To by, ale nesměl nastat problém č.2, abych se mohl připojit do konzole ve Vmware musím si editovat v mém PC win7 soubor /system32/drivers/etc/host kam mám připsat ip esxi.domena.cz a ip vc.domena.cz + stažení pluginu do prohlížeče, tím bych si měl zprovoznit tu konzoly ve webové administraci VMware. Měla bz se ta IP dát pingnout, ale to mi nejde.

Prostě musím změnit vlastníka rekurzivně složky /etc jinak jsem v Prčicích :X

Prosím porad'te každá rada pro mě je zlatá.

Odpovědi

13.11.2012 20:04 NN
Rozbalit Rozbalit vše Re: vlastník /etc
Pres rozhrani VMWare se nedostanes do konzole ?
13.11.2012 21:29 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
Právě že ne. Píše něco jako připojení se nezdařilo. Nejde mi ani pingout ta IP právě.
Max avatar 13.11.2012 20:09 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: vlastník /etc
Takže debian provozuješ pod ESXi a to ESXi někomu patří, takže si asi platíš nějakou VPS? A tobě se nejde přihlásit na VM (debian) přes ssh a nejde se ti ani přihlásit do managementu ESXi?
Pokud je to tak, tak nevím, co chceš slyšet? Jak se dostat do shellu bez ssh?
Obrať se na support toho ESXi, aby jsi se na něj mohl dostat a lognout se do shellu.
Jinak v dnešní době každý idiot blokuje icmp, takže je otázkou, zda ti nejde ping třeba právě kvůli tomu.
Zdar Max
Měl jsem sen ... :(
13.11.2012 21:33 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
Ano tak nějak nejde mi v webclientu konzole a nedostanu se do SSH doustanu se pouze do FTP. Jelikož jsem neudělal snapshot tak si nemůžu dovolit o VPS přijít. Chci tedy bud' vědět jak je možné, že nemůžu do konzole ve VM ( to nešlo ani před problémem ) nebo jak se dostat do putty jinak pomocí FTP například jak mi poradil ten hodný člověk o příspěvěk níže. Pomocí FTP sprovoznit SSH abzch do konzole mohl poslat prikaz který vše zase napraví a příkaz je "chown -R root /etc"
Max avatar 13.11.2012 21:58 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: vlastník /etc
Stále nechápu, zda ti nejde i přístup ke správě VPS, nebo jen ssh + lokální shell (tzn. správa VPS jede a v ESXi si otevřeš okno s VM a snažíš se zalogovat přímo do debianu).
Pokud nejde ani správa k VPS, tak se snad obrátím na support té VPS, ne? A pokud se do toho ESXi managementu dostaneš, tak snad není problém buď se lokálně přihlásit, nebo nabootovat z nějaého livecd a práva opravit?
Zdar Max
PS: pokud máš aspoň trochu základně rozjeto ftp, tak nepočítej, že přes něj nastavíš práva na /etc a něco v něm
Měl jsem sen ... :(
13.11.2012 22:28 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
Ano připojit k terminálu mi nejde. Ne připojit do VMW mi jde. Ano pžipojit do konzole pře VMW mi nejde. ( ale důvodem může být uzavřený port pro konzoli doufám )

PS : Nepočítám, protože se mi to povedlo, změnil jsem pomocí FPT + VMW admina vlastníka na root souboru /etc :P Ale nezměnil jsem vlastníka /usr který by měl být také root a tím je nespíš ten problém, takže jelikož /etc už je root a můj FTP root není nemám k etc přístup tudíž už se ani do SSH nedostanu tusíž jsem zazděný ve své amatérské hlouposti a nevědomosti.
13.11.2012 22:58 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: vlastník /etc

SSH v debiane používa pam modul, ktorý zaisťuje bezpečné prihlásenie roota. V man stránke tohto manualu je napísané, že si súbor /etc/securetty stráži a sleduje jeho pristupové práva. Je možné, že zmeneného vlastníka /etc/ považuje ako nastavenie pre čítanie pre ostatných užívateľov. Je rozumné si pri prvom použitý vytvoriť bežného užívateľa a potom priamy login roota zakázať a používať zmenu UID pomocou su.Modul pam_securetty.so sa aplikuje na užívateľa root, to znamená UID=0.

sec.linuxpseudosec.sk
13.11.2012 23:18 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
to jsem vůbec nepochopil :X
pavlix avatar 13.11.2012 23:24 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Je rozumné si pri prvom použitý vytvoriť bežného užívateľa a potom priamy login roota zakázať a používať zmenu UID pomocou su.
Proč to má být rozumné?
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.11.2012 22:42 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: vlastník /etc
Proto aby jsi to neskurvil jak teď.

Pracovat pod rootem se nemá!

Pouze se na něj přepnout když potřebuješ změnit nastavení pro OS které nemůže udělat normální uživatel.
pavlix avatar 15.11.2012 00:16 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Non sequitur.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
15.11.2012 08:39 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
Podle mne tím chtěl Petr říct, že pod rootem se mají dělat jen nezbytné věci, a protože proces přihlašování mezi tyto nezbytné věci nepatří, nemělo by se pod rootem ani přihlašovat. Logické to je, a vychází to z jím stanovené premisy (alespoň jak jsem to já pochopil).
pavlix avatar 15.11.2012 08:57 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Podle mne tím chtěl Petr říct, že pod rootem se mají dělat jen nezbytné věci, a protože proces přihlašování mezi tyto nezbytné věci nepatří, nemělo by se pod rootem ani přihlašovat.
To by říct mohl, i když si zdaleka nejsem jistý, jestli chtěl. Nicméně proces přihlašování je proces mezi autentizační službou, která má možnost uživatele přihlásit jako roota (ať už sama běží jako root či nikoliv) a uživatelem, který není k systému přihlášení (v případě ssh) nebo je k systému přihlášený jinak než chtěl (v případě su).

Tudíž doufám, že toto Petr říct nechtěl.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
16.11.2012 06:44 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
Nikoliv, za proces přihlašování jsem ve svém příspěvku považoval období mezi tím, kdy začnu psát ssh 123.456... do okamžiku, kdy mi naskočí rootovská konzole bash#.
pavlix avatar 16.11.2012 11:57 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Nikoliv, za proces přihlašování jsem ve svém příspěvku považoval období mezi tím, kdy začnu psát ssh 123.456... do okamžiku, kdy mi naskočí rootovská konzole bash#.
Pak ovšem nerozumím, proč ta věta začíná slovem nikoliv.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
16.11.2012 15:12 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
Protože změnu uživatele (su) v tomto kontextu nepovažuji za přihlášení.
pavlix avatar 17.11.2012 07:59 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Domnívám se, že se tím dopouštíš chyby, použití příkazu su nese všechny rysy přihlášení k administrátorskému účtu.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
17.11.2012 09:57 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
To jistě nese :) Já ale uvažoval přihlašování přes ssh, ne prostřednictvím su. Měl jsem říct "proces přihlášení přes ssh", řekl jsem jen "proces přihlášení" a pak upřesnil že tím myslím prostřednictvím ssh, neboť mezi použitím ssh a příkazu su je rozdíl, byť oba vedou ke stejnému cíli.
pavlix avatar 17.11.2012 16:56 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
To jistě nese :) Já ale uvažoval přihlašování přes ssh, ne prostřednictvím su. Měl jsem říct "proces přihlášení přes ssh", řekl jsem jen "proces přihlášení" a pak upřesnil že tím myslím prostřednictvím ssh
Tentokrát nemám páru, co se snažíš sdělit.
mezi použitím ssh a příkazu su je rozdíl, byť oba vedou ke stejnému cíli.
Pokud je cílem přihlášení ke vzdálenému účtu z lokálního počítače, tak k tomu su rozhodně nevede.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
17.11.2012 19:59 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
Pouze konstatuji, že procesem přihlašování jsem myslel ssh, a to není potřeba dělat na rootovský účet.
15.11.2012 09:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: vlastník /etc
V čem je ten "proces přihlašování" tak zásadně odlišný od toho, co se stane po "su -"? V tom, že se nezapíše položka do wtmp? (což ostatně za výhodu nepovažuji)
16.11.2012 06:39 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
Zásadně odlišný není, je jen mírně odlišný. Ale jak jsem řekl, je hlavně často zbytečný, konkrétně v případech, kdy stačí jen su.

Navíc mám vysledovanou jistou neochotu lidí, kteří se na stroj přihlásí pod rootem, dělat opravdu jen věci, které je potřeba dělat pod rootem. Většinou se najde ještě pár drobných "neškodných" příkazů navíc, které už jsou zbytečné. Přece "když už jsem tam přihlášen". Ne každý je ochoten proces přihlašování (bavíme se o ssh) podstupovat znova, i když je často (ne vždy) rychlý.

Dále uvažuji i dosti diskutabilní situace, jako že

"přihlásím se na uživatelský účet, potřebuji udělat něco pod rootem, su, něco udělám, exit, pokračuji pod uživatelem. Zůstanu přihlášen, jdu na oběd a konzoli nechám bez dozoru"

versus

"přihlásím se na roota, něco udělám, potřebuji udělat něco pod uživatelem, su uživatel, pokračuji pod uživatelem. Zůstanu přihlášen, jdu na oběd a konzoli nechám bez dozoru"

A nebyla by diskuze bez hloupých přirovnání: Pro mne to je prostě jako když dám dítěti nůžky s tupou špičkou, které když budu chtít používat já, tak si je nabrousím, versus dát dítěti nůžky s ostrou špičkou na které nasadím krytku, které když budu chtít použít já, tak ji sundám (vždyť to jde snadno...).
16.11.2012 08:17 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: vlastník /etc
Zásadně odlišný není, je jen mírně odlišný. Ale jak jsem řekl, je hlavně často zbytečný, konkrétně v případech, kdy stačí jen su.

Takže na jednu stranu připouštíte, že v tom vlastně skoro žádný rozdíl není, ale na druhou stranu pořád tvrdošíjně píšete "zbytečný" a "stačí jen su". Já se právě snažím o to, abyste si uvědomil, že není žádné "jen su", protože je to v podstatě totéž. Jinak řečeno: odmítám spadnout do pasti vaší nenápadné sugesce, že "su -" je nějak víc lightweight.

Navíc mám vysledovanou jistou neochotu lidí, kteří se na stroj přihlásí pod rootem, dělat opravdu jen věci, které je potřeba dělat pod rootem. Většinou se najde ještě pár drobných "neškodných" příkazů navíc, které už jsou zbytečné. Přece "když už jsem tam přihlášen".

V tom ale není naprosto žádný rozdíl mezi shellem pod rootem, který získáte přihlášením pod rootem, a shellem pod rootem, který získáte přihlášením pod normálním uživatelem a použitím "su -". V obou se pracuje úplně stejně pohodlně a je jen na uvážení uživatele, co bude spouštět tam a co vedle pod normálním uživatelem.

Ze zbytku vašeho příspěvku mám pocit, jako byste vycházel z předpokladu, že (fyzický) uživatel může být na počítači přihlášen v daném okamžiku jen jednou a mít tam spuštěný jen jeden interaktivní shell. Pak by totiž jedině mohly platit vaše záměry. Ale tak to není, ať už se bavíme o vzdáleném přihlášení přes ssh nebo o textové konzoli, může být - a obvykle je - uživatel přihlášen víckrát současně. O přímém přihlašování pod rootem do prostředí typu KDE se snad, doufám, nebavíme - to by samozřejmě bylo zvěrstvo a bezpečnostní hazard.

16.11.2012 11:22 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
V prvním odstavci jste smíchal jste dohromady "su -" a "su", já to beru tak, že login > su - > su, a většinou stačí to "su".

V druhém odstavci ano - teoreticky si může uživatel - v momentě kdy zjistí, že by měl udělat nějakou drobnost pod uživatelským účtem - otevřit další terminál a na stroj se přes ssh přihlásit ještě jednou jako běžný uživatel... Prakticky empiricky ověřeno trvám na své premise "no když už jsem tam přihlášen" vedoucí k zbytečným akcím pod rootem, bez ohledu na to, kolik může člověk teoreticky použít terminálů :)

Pokud jde o KDE, neuznávám že bez KDE je riziko 0 a v KDE je riziko X >> 0 a mezi tím je skok z 0 na velké číslo X nastávající okamžikem spuštění KDE. Očekávám spíš pozvolný nárust rizika s množstvím používaných nástrojů, přičemž to KDE je samozřejmě někde na vrcholu. Nicméně chápu že většina lidí slyší až na to KDE, a dokud pod rootem nepustí KDE, jsou v bezpečí.

Jinak ale ano, rozdíl mezi ssh na roota a ssh na běžného uživatele je malý, zvýšenou bezpečnost vidím spíš v tom, že pod běžným uživatelem člověk přepne na roota jen když to opravdu potřebuje, a na dobu jen nezbytně nutnou, na rozíl od případů, kdy se na roota sshčkuje, protože když se tam sshčkne a zjistí, že to vlastně udělat pod rootem nemusí, vůle se odhlásit a sshčknout se tam pod jiným uživatelem je prostě malá, což není technické omezení, ale omezení člověčí. Stejně tak ukončovat ssh spojení na krátkou dobu, na rozdíl od opuštění root shellu při použití su a tak dále.

pavlix avatar 16.11.2012 12:05 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Jinak ale ano, rozdíl mezi ssh na roota a ssh na běžného uživatele je malý, zvýšenou bezpečnost vidím spíš v tom, že pod běžným uživatelem člověk přepne na roota jen když to opravdu potřebuje, a na dobu jen nezbytně nutnou, na rozíl od případů, kdy se na roota sshčkuje, protože když se tam sshčkne a zjistí, že to vlastně udělat pod rootem nemusí, vůle se odhlásit a sshčknout se tam pod jiným uživatelem je prostě malá, což není technické omezení, ale omezení člověčí. Stejně tak ukončovat ssh spojení na krátkou dobu, na rozdíl od opuštění root shellu při použití su a tak dále.
Měl bys pravdu, ale jenom pokud bychom se bavili o jednom konkrétním způsobu používání (který se s mým rozhodně neshoduje) a o jednom konkrétním případu užití (který se s mým často neshoduje).

Je mi líto, ale pokud se připojuju do rootovského shellu za účelem administrace stroje, tak to znamená, že chci být root a nepotřebuju k tomu uživatelský shell. Naopak, pokud se přihlašuju do uživatelského shellu za účelem přístupu k uživatelským datům a práci s nimi, tak zase nepotřebuju rootovský shell.

Pokud, což se mi stává výjimečně, potřebuju souběžně pracovat jak s rootem, tak s uživatelem, otevřu si shelly oba. Přepínat mezi rootovským a uživatelským shellem pomocí CTRL+D a su je z mého pohledu nesmysl, protože pokud pracuju soubežně, můžu mít na každém shellu rozdělanou práci, kterou nechci zavřít.

Není dobré vztahovat své (podle mě možná i špatné) návyky na ty, kterým se snažíš poradit. Nepomůže jim to.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
16.11.2012 12:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: vlastník /etc

Díky za ušetření práce s psaním příspěvku. :-)

Ještě bych dodal, že model, kdy uživatel opakovaně několikrát (nebo dokonce mnohokrát) za den spouští su, provede pár příkazů a hned shell zase ukončí, je nešťastný i tím, že to výrazně zvyšuje potřebný počet napsání hesla roota, což považuji za nevýhodu i z bezpečnostního hlediska.

pavlix avatar 16.11.2012 12:26 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
:)

Přesně tak. Navíc považuju za ideální frekvenci psaní rootovského hesla vzdáleného stroje 0 a rok.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
16.11.2012 15:37 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
No, souhlasím v podstatě se vším, a také to tak dělám (mám dvě konzole pro roota a uživatele apod.), až na ten jeden drobný detail, že na roota se přihlašuji pod uživatelem, a až pak dělám su :D

Když jsem se nad tím hodně zamyslel, ve skutečnosti mne bezpečnost až tak netrápí, jde o to, že práv roota nás tu má více, a když někdo něco rozbije, tak je lepší vedět, kdo se třeba naposledy přihlašoval, což lze docílit tím su.

Stejně tak, kdyby se tam přihlašoval nějaký útočník, musel by použít nějaký existující uživatelský účet, a to by oprávněného uživatele mohlo trknout, a nebo by použil přímo root, a to by trklo také. Když se tam prostě objeví "nějaký root", což je případ přímého přihlášení, není jasné, o koho jde.

Takže jde vlastně o to, identifikovat roota, aby nebyl anonymní, jako v případě ssh. Pokud je root jeden, tento problém samozřejmě nemá. Takže doma se na stroje také přihlašuji přímo :)

Myslím (doufám) že lidem snad neradím, že by se neměli sshčkovat na roota, podle mne to je každého věc, ale za lepší považuji to su, které je minimalističtější, i když samozřejmě výhody a nevýhody su vs ssh jsou obecně asi vyrovnané, záleží na konkrétním prostředí, zda se více uplatní výhody su či přímého přihlášení.
pavlix avatar 17.11.2012 08:02 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
tak je lepší vedět, kdo se třeba naposledy přihlašoval, což lze docílit tím su.
Pokud by ti u toho SSH stačilo odkud se dotyčný přihlásil, tak to už tam myslím je. Ale možná by stálo za to přidat do SSH logování popisku SSH klíče.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
pavlix avatar 17.11.2012 08:04 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
za lepší považuji to su, které je minimalističtější
Minimalističtější rozhodně není, když přidává druhou akci a ještě k tomu s autentizací.
výhody a nevýhody su vs ssh
Nejde o su versus ssh, ale o ssh+su versus ssh.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
16.11.2012 11:34 marek
Rozbalit Rozbalit vše Re: vlastník /etc
Dobry den.

Kolegove primy login roota zakazuji.

Pak mi ale vznikaji zrudnosti typu:

for i in server{1,2,3}{1,2,3} ; do  echo $i; ssh -t uzivatel@$i 'sudo su -c "cat /etc/modprobe.d/bond0.conf" root'; done

Pokud ale potrebuji v tom prikazu uvozovku, neco cist ze stdin ...

Tak uz je slozitost zapisu zbytecne nachylna k preklepu.

Proto me to sudo su -, ktere ma byt snad nejak bezpecnejsi (nebo co?) vlastne docela dost ...

Marek
pavlix avatar 16.11.2012 12:12 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: vlastník /etc
Kolegove primy login roota zakazuji.

Pak mi ale vznikaji zrudnosti typu:
Přesně z těchto důvodů radši zakazuji SSH přihlášení heslem a roota ponechávám :). Popřípadě jsou další možnosti.
sudo su -
Je nesmysl. Bezpečnější má být než co? Než standardní sudo -i? Nebo ssh user@server -t sudo su - má být bezpečnější než ssh root@server?

Já osobně považuju přihlášení klíčem přímo na roota za bezpečnější. Už jenom tím, že se během přihlašování nepřenáší informace dostatečná k přihlášení k nějakému stroji (například plaintext heslo).
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
16.11.2012 15:41 Ash | skóre: 53
Rozbalit Rozbalit vše Re: vlastník /etc
Tak přímo zakazovat je to asi hloupost, někdy je to prostě potřeba, nedělají to prostě také proto, že chtějí vědět, kdo se jim na ten stroj hlásí (nebo alespoň... koho předstírá že jím je?).
13.11.2012 20:39 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: vlastník /etc

Ak sa chceš prihlásiť na takto nastavený systém, tak musíš zmeniť vlastníka súboru /etc/securetty a nastaviť mód 700. Potom skús login. Alebo skús non-root užívateľa.

sec.linuxpseudosec.sk
13.11.2012 21:28 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
non-root nevím co je ( asi nemám ), ale 700 nepomohlo :X ale díky moc za radu ;)
13.11.2012 21:45 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: vlastník /etc
Ono toho může být víc, např. sshd také často odmítá spojení, pokud mají důležité konfigurační soubory příliš volná práva.
13.11.2012 22:29 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
aha napadlo mě nastavit rekurzivně /etc chmod 777 a reboot xD to bych to vymnouknul xD
13.11.2012 21:54 xx
Rozbalit Rozbalit vše Re: vlastník /etc
Co scp? to ti funguje? Kdyby jo, tak tim muzes prekopirovat celou /etc/ slozku...
13.11.2012 22:24 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
SCP bz fungovat mělo, ale nikdy sem s tím nedělal a nevím ani uživatele do toho ani heslo :X nicméně napadla mě jedna věc jak vrátit vlastníka složce /etc i bez SSH jenom pomocí FTP udělal jsem tak, ale nepomohlo zapoměl jsem to ale udělat i pro /usr a /opt a /home a /var, které by měli mít také vlastníka root, ale nemají. Nicméně na ty soubory už jsem zapoměl SSH nejde a já jelikož jsem dal root složce /etc už nemůžu obejít to SSH jako se mi povedlo jednou takže ted' jsem zazděný. :X v linuxu a své hlouposti asi nezbývá nic jiného než reinstall. :X
13.11.2012 22:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: vlastník /etc
SCP bz fungovat mělo, ale nikdy sem s tím nedělal a nevím ani uživatele do toho ani heslo

Stejný uživatel a heslo jako pro SSH. Pokud pro SSH používáte autentizaci klíčem, tak by měla fungovat i pro SCP/SFTP.

13.11.2012 22:44 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
No to také nejde a mělo by to jit pod portem, který mám do SHH putty nebo pod portem, která je na FTP ?
13.11.2012 22:46 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
FPT port nejde a SSH port píše že připojení bylo admítnuto takže to samý nebo podobný co píše putty.:X
15.11.2012 03:24 Ales
Rozbalit Rozbalit vše Re: vlastník /etc
zdravim problem bude nekde jinde nez ve vlastnictvi adresare etc. vyblil jsem si testovaci xen debian squeeze, udelal chown -R trest /etc a ssh prihlaseni mi funguje v poradku:
[alles@bart ~]$ ssh 178.248.250.15 -l root
Last login: Thu Nov 15 03:20:10 2012 from 190.42.broadband4.iol.cz
root@test:~# ls -l /etc/shadow
-rw-r----- 1 trest shadow 751 Nov 15 03:07 /etc/shadow
root@test:~# ls -l /etc/passwd
-rw-r--r-- 1 trest root 855 Nov 15 03:07 /etc/passwd
zjisti si, zda nemas preklep v ip adrese tveho hosts souboru, a pak zda na tom debianu ssh vubec bezi (radeji nmapni ipecko nez hostname): nmap -p 22 ipecko_toho_deblijanu pokud bude otevreny, pak se tam sshackni z nakyho linuxu a nebo zjisti, zda ma putty ekvivalent prepinadla -vvv, tam uvidis debug kydy a spis zjistit na cem se to pripadne zasekne. preju peknou zabavu.
18.11.2012 18:22 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
Problém byl jinde to je pravda ;) Problém by protože jsem já noob změnil /home rekurzivně z roota. Obsah /home nemusí být root to patří uživatelům, / složka systému jinak je to úplně v hajzlu ;)
Josef Kufner avatar 18.11.2012 18:59 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: vlastník /etc
Zavolej/napiš podpoře, ze kdy mají poslední zálohu a pokud bude přijatelně stará, tak si jí nech poslat/obnovit. Ty práva dávat dohromady nemá smysl (moc práce), zachraň data a zahoď server.
Hello world ! Segmentation fault (core dumped)
19.11.2012 06:31 steel | skóre: 1
Rozbalit Rozbalit vše Re: vlastník /etc
1. Nemám žádnou podporu 2. Smazal jsem snapshot = bez záloh

Změna vlastníka je otázka sekundy, šlo mi jen o to zjistit jak se dostat do terminálu abzch toho vlastníka napravil.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.