Byla vydána nová verze 2.45.0 distribuovaného systému správy verzí Git. Přispělo 96 vývojářů, z toho 38 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání. Vypíchnout lze počáteční podporu repozitářů, ve kterých lze používat SHA-1 i SHA-256.
Před 25 lety, ve čtvrtek 29. dubna 1999, byla spuštěna služba "Úschovna".
Byla vydána nová verze 24.04.28 s kódovým názvem Time After Time svobodného multiplatformního video editoru Shotcut (Wikipedie) a nová verze 7.24.0 souvisejícího frameworku MLT Multimedia Framework. Nejnovější Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.
Byla vydána verze 5.30 dnes již open source operačního systému RISC OS (Wikipedie).
V aktuálním příspěvku na blogu počítačové hry Factorio (Wikipedie) se vývojář s přezývkou raiguard rozepsal o podpoře Linuxu. Rozebírá problémy a výzvy jako přechod linuxových distribucí z X11 na Wayland, dekorace oken na straně klienta a GNOME, změna velikosti okna ve správci oken Sway, …
Rakudo (Wikipedie), tj. překladač programovacího jazyka Raku (Wikipedie), byl vydán ve verzi #171 (2024.04). Programovací jazyk Raku byl dříve znám pod názvem Perl 6.
Společnost Epic Games vydala verzi 5.4 svého proprietárního multiplatformního herního enginu Unreal Engine (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.
Byl vydán Nextcloud Hub 8. Představení novinek tohoto open source cloudového řešení také na YouTube. Vypíchnout lze Nextcloud AI Assistant 2.0.
Vyšlo Pharo 12.0, programovací jazyk a vývojové prostředí s řadou pokročilých vlastností. Krom tradiční nadílky oprav přináší nový systém správy ladících bodů, nový způsob definice tříd, prostor pro objekty, které nemusí procházet GC a mnoho dalšího.
Tento blog je spíš než blogpostem pokusem o vyvolání debaty, z níž bych mohl načerpat informace a dozvědět se, jak to dělají jinde. K jeho napsání mě přiměly jednak vlastní motivy z poslední doby, tak i poznámka z posledních jaderných novin, že jediný administrátor na údržbu komplexnějších systému asi nestačí.
Jak všichni víme, unixové stroje mají pouze jednoho roota. Z hlediska zastupitelnosti je však neúnosné aby tenhle účet spravoval pouze jeden člověk. Ovšem v případě, že má k účtu uživatele root přístup více osob, nutně, dřív nebo později narazíte.
V případě že více osob spravuje jeden systém se může stát, že v případě problémů začne stejný problém řešit více osob současně. A nebo také naopak - nezačne jej řešit nikdo. U nás to obvykle funguje tak, že se každý stará především o svůj písek. Jiné stroje řeší jen v případě, že mu je někdo výslovně svěří (kupř. při plánované dovolené), ovšem i tak až v případě, že se mu v případě problému nepodaří spojit s jejich "správcem" a problém přetrvává.
Nelze očekávat, že všechny osoby co mají spravovat nějaký systém mají stejnou úroveň odborných znalostí. Obzvlášťě v dnešní době, kdy objem toho co je nutné vědět oproti časům před pouhými pěti lety neskutečně nabobtnal. Bohužel na to neznám žádné jiné řešení než opravdu otevřený pracovní kolektiv, kde se všichni průběžně navzájem informují a radí.
S touto otevřeností souvisí i povědomí o tom kdo, na čem a co dělá. Je pochopitelně nemožné vědět o všem, takže základem všeho je kvalitní dokumentace, ve které je popsán s odpuštěním každý prd, byť by se to někdy mohlo zdát zbytečné. Zákon schválnosti říká, že největší záseky jsou právě na prkotinách.
I v případě, že spravujete systém sami můžete zanedlouho dospět do stádia, že už si prostě nepamatujete co kdy kde a jak jste nastavili. Já jsem se tomu rozhodl čelit následujícími kroky - jednak jsem začal používat uložení aktuálního času v historii příkazů a pak také nechávám veškerou historii archivovat. A už se mi to i vyplatilo, neboť jsem díky tomu mohl - porovnáním historie ze dvou strojů zjistit, že za úplným kolapsem virtuálního stroje během mé dovolené byl zdánlivě triviální problém - a to, že kolega při řešení problému udělal přesně to udělat nikdy neměl - restartoval fyzický stroj, ze kterého virtuál měl připojená data a konektivitu, v domnění, že se tím problém vyřeší.
Zkrátka, jak se říká - mnoho psů, zajícova smrt. Zajímá mne tedy, jak se s tím potýkáte jinde. Předem díky za vaše příspěvky.
Tiskni
Sdílej:
17.10.2011 10:21
Jan Drábek | skóre: 41
| blog: Tartar
| Brno
17.10.2011 10:56
Max | skóre: 72
| blog: Max_Devaine
HISTFILE="/dev/null" MYSQL_HISTFILE="/dev/null"Poučil jsem se tak od jednoho administrátora jednoho nejmenovaného serveru (docela big serveru), který měl shell pro uživatele, kteří byli dobře omezení, ale /root měl 644, všechny soubory historie měly 600, ale backup historie měl 644 :). A měl tam i backup historie mysql shellu a v něm krásně root heslo, které bylo shodné s rootem v systému, takže jsem měl jako obyčejný uživatel hnedle jedle roota a plný přístup k celému serveru. Od té doby všude historii vypínám a nechávám si jí jen u obyčejného uživatele a to jen někde. Pro mně je historie příkazů nebezpečná věc, kterou bych si měl hlídat a tak to řeším jejím vypnutím.
17.10.2011 12:27
rADOn | skóre: 44
| blog: bloK
| Praha
17.10.2011 15:36
Max | skóre: 72
| blog: Max_Devaine
17.10.2011 13:36
rADOn | skóre: 44
| blog: bloK
| Praha
17.10.2011 15:34
Max | skóre: 72
| blog: Max_Devaine
17.10.2011 19:22
Jakub Lucký | skóre: 40
| Praha
jakub@taniquetil:~$ mysql -u root -p Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 59 Server version: 5.1.58-1 (Debian) Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved. This software comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to modify and redistribute it under the GPL v2 license Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. mysql>
17.10.2011 19:47
pavlix | skóre: 54
| blog: pavlix
(a to několik let)Vím, jaks to myslel, ale neopustím si poznámku, že mě to jde vždy tak cca několik minut, než zapomenu heslo. Heslo do MySQL je z pochopitelných důvodů složité, ale uložené v /root. To si dovolím napsat veřejně, protože /root je chráněný proti přístupu, a root do MySQL stejně může. Takže zadávání hesla za roota je právě od tvůrců MySQL security by obscurity nejtěžšího kalibru. Na nutnosti zadávání mysql hesla v rootí konzoli není nic ani v nejmenším „secure“, spíš naopak. Na nutnosti uložení hesla ve zdrojácích/konfigurácích aplikací taky není nic „secure“. Naopak „obscure“ to je za všech okolností. Pro mě osobně je to dostatečný důvod, proč se MySQL vyhýbat, když je tu PostgreSQL. (Stejně tak byl dostatečný důvod se mu začít vyhýbat kvůli absenci transakčního zpracování ve výchozím nastavení, ale ani náprava není důvodem k návratu.) Neříkám, že PostgreSQL nemá nedostatky, ale zatím se nikdy neukázaly jako kritické. A hromadu výhod proti MySQL má v konkrétních případech i SQLite, která rovněž co pamatuju neměla problémy s hesly ani s transakcemi.
18.10.2011 18:28
rADOn | skóre: 44
| blog: bloK
| Praha
18.10.2011 22:08
pavlix | skóre: 54
| blog: pavlix
Pleteš si "security thru obscurity" a "klient-server" architekturu.Tak z toho mě snad podezřívat nemůžeš :).
Řádkový klient je z hlediska serveru jen otevřený socket a musí tedy nějak prokázat svojí identitu.Já v tom nevidím jediný problém.
Jestli postgresí klient rootovské heslo nechce, docela by mě zajímalo jak tedy roota pozná.Mno... takže ty mě podezříváš z toho, že si pletu „security through obscurity“ s klient-server architekturou a nenapadá tě jediný způsob, jak může server poznat, že se na něj po lokální socketě připojuje root? Děláš si legraci?
19.10.2011 19:31
rADOn | skóre: 44
| blog: bloK
| Praha
20.10.2011 10:26
pavlix | skóre: 54
| blog: pavlix
Umím si představit pár způsobů jak něco takového zařídit "oklikou", ale všechny tak či onak zahrnují horší prasení než soubor s heslem.A zeptat se OS by ti taky připadalo jako větší prasení než používat soubor s heslem?
Jsem jenom zvědavý, zneužívání uid 0 k posílání sql dotazů nepovažuji za přednost ale za nešvar.PostgreSQL používá pro tento účel vlastního uživatele, takže k použití UID 0 vůbec nedochází (i když mě osobně by to nevadilo, ale někomu od postgresu asi jo). Mimochodem, pro ověřování uživatelů se u mnoha služeb místo UID používá login, má to některé vlastnosti odlišné od UID.
21.10.2011 18:13
rADOn | skóre: 44
| blog: bloK
| Praha
A prozradit mi rovnou, že hledám sendmsg() typu SCM_CREDENTIALS by ti zkazilo zábavu?Umím si představit pár způsobů jak něco takového zařídit "oklikou", ale všechny tak či onak zahrnují horší prasení než soubor s heslem.A zeptat se OS by ti taky připadalo jako větší prasení než používat soubor s heslem?
Nemyslím uživatele v db ale v systému – lidi co se přihlašujou na roota jen kvůli sql konzoli protože si neumí nebo nechtějí nagrantovat práva.Jsem jenom zvědavý, zneužívání uid 0 k posílání sql dotazů nepovažuji za přednost ale za nešvar.PostgreSQL používá pro tento účel vlastního uživatele, takže k použití UID 0 vůbec nedochází (i když mě osobně by to nevadilo, ale někomu od postgresu asi jo). Mimochodem, pro ověřování uživatelů se u mnoha služeb místo UID používá login, má to některé vlastnosti odlišné od UID.
24.10.2011 09:18
pavlix | skóre: 54
| blog: pavlix
A prozradit mi rovnou, že hledám sendmsg() typu SCM_CREDENTIALS by ti zkazilo zábavu?To neznám.
Nemyslím uživatele v db ale v systému – lidi co se přihlašujou na roota jen kvůli sql konzoli protože si neumí nebo nechtějí nagrantovat práva.Myslím, že to přeháníš. Obvykle je zásah do db součástí větší série administrativních zásahů (třeba zakládání systémových uživatelů apod), takže na toho roota nepřepínáš, ale jím jsi. Ale jak jsem říkal, postgres má toto vyřešené, můžeš dát kterémukoli uživateli právo pustit sudo -u postgres, když potřebují plný přístup k DB. A on není až tak velký problém pak napsat sudo -u postgres psql místo psql -U postgres, akorát v druhém případě musíš udělat z uživatele superusera, aby to bylo víceméně ekvivalentní. A ono je pak vůbec nejlepší se přihlašovat na jednotlivé uživatele, když už mají vytvořené databáze, ať už přes sudo, nebo přes psql a heslo.
24.10.2011 18:57
rADOn | skóre: 44
| blog: bloK
| Praha
A on není až tak velký problém pak napsat sudo -u postgres psql místo psql -U postgres, akorát v druhém případě musíš udělat z uživatele superusera, aby to bylo víceméně ekvivalentní.To je právě omyl – není to ani náhodou ekvivalentní. Pokud to není root, dejme tomu že ti nevadí mít jinou historii, inputrc a všechno ostatní. Ale uid 0 je nebezpečná hračka a uchylovat se k němu jen proto že jsem línej napsat „-u root“ je chyba.
24.10.2011 19:35
xkucf03 | skóre: 49
| blog: xkucf03
24.10.2011 21:22
pavlix | skóre: 54
| blog: pavlix
25.10.2011 12:02
rADOn | skóre: 44
| blog: bloK
| Praha
, to jenom ten root mě nadzvednul.
25.10.2011 19:59
pavlix | skóre: 54
| blog: pavlix
Já mluvím o tvém příspevku o přihlašování se do sql konzole jako systémový root.Tak příště klikni na tlačítko „odpovědět“ u toho příspěvku, na který chceš reagovat. Ono to pak totiž vypadá, že tvé „není to ani náhodou ekvivalentní“ je reakcí na mé „aby to bylo víceméně ekvivalentní.“, které se týkalo UID postgresu. Ono by to pak mohlo vypadat, že vůbec nevíš, o čem je řeč, a že si pleteš UID postgresu s UID 0. A ne každý ti dokáže na dálku číst myšlenky, aby si uvědomil, že tím, co píšeš, myslíš vlastně úplně něco jiného.
Užití systémového uid k autentizaci je hezké, (teď, když už vím jak se to děláA na kterého uživatele se mám tedy z toho roota přepnout, aby tě nenadzvedávalo, že administruju MySQL databázi?
31.10.2011 17:45
rADOn | skóre: 44
| blog: bloK
| Praha
Tak příště klikni na tlačítko „odpovědět“ u toho příspěvku, na který chceš reagovat. Ono to pak totiž vypadá, že tvé „není to ani náhodou ekvivalentní“ je reakcí na mé „aby to bylo víceméně ekvivalentní.“, které se týkalo UID postgresu.Však to taky tak myslím. Z hlediska serveru a jeho touhy ověřit kdo je "na drátě" je to sice ekvivalentní, ale z hlediska zbytku systému je to úplně něco jiného. Proces sql konzole může mít jiné uid, masku, číst jiné konfiguráky… nemít svůj vyladěný inputrc bych považoval za opruz v každém případě
ale dejme tomu že to je moje úchylka. Co ale považuji za sebevražednou pitomost je spouštět sql konzoli pod systémovým rootem (uid 0). I když pominu cílený útok, představa že třeba hloupý překlep v tee může zrušit libovolný soubor v systému je dostatečný důvod.
Čili, abysme se dobrali nějakého konce téhle debaty, ověřování v db pomocí systémového uid může být šikovné pro "malou" službu (tj. služba i db jsou na stejném systému) ale pro všechno statní je to k ničemu – služby na jiných strojích potřebují nějaké ověření (soubor s heslem) a administrátorské zásahy je lepší provádět z jiného účtu, nejčastěji z úplně jiného stroje.
A na kterého uživatele se mám tedy z toho roota přepnout, aby tě nenadzvedávalo, že administruju MySQL databázi?Administrace MySQL databáze je něco jiného a kromě pár krajních případů s tím nemá nic společného. Já to dělám taky, a kromě založení uživatelů po čisté instalaci jsem účet 'root'@'localhost' nikdy nepotřeboval. Ergo schopnost postgresu přihlásit se na něj bez hesla je hezká, ale prakticky je mi u prdele.
17.10.2011 22:21
rADOn | skóre: 44
| blog: bloK
| Praha
18.10.2011 09:12
Jakub Lucký | skóre: 40
| Praha
17.10.2011 19:40
pavlix | skóre: 54
| blog: pavlix
17.10.2011 19:48
pavlix | skóre: 54
| blog: pavlix
No ono totiž správcovské heslo do mysql nemusí být vůbec totožné s heslem roota.To je vcelku známý fakt. Jen nevidím souvislost s příspěvkem, na který reaguješ.
17.10.2011 23:33
pavlix | skóre: 54
| blog: pavlix
Osobně těžce nesnáším, že Postgres umožňuje přebírat uživatele ze systému.Mě schopnosti programů obvykle nevadí, spíš mi vadí jejich neschopnost. Zatímco Postgres ti dává vybrat, MySQL umí jen jednu možnost.
10.11.2011 09:54
okbob | skóre: 30
| blog: systemakuv_blog
| Benešov
23.10.2011 22:22
xkucf03 | skóre: 49
| blog: xkucf03
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
~/.ssh/id_* doporučuješ taky smazat, nebo raději správně nastavit práva?
17.10.2011 13:48
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
18.10.2011 21:26
xxx | skóre: 42
| blog: Na Kafíčko