вобщем пришел я как-то на свою новую работу(где у меня еще очень испытательный срок) сильно невыспатый. очень сильно невыспатый. первую половину дня самочувствие было еще вполне даже зашибенное, а вот ко второй изображение в глазах начало темнеть и прыгать, а логические цепочки в мозгу рваться и замыкаться друг на друга.
а работал я по ssh с важным сервом в штатах. да исчо и под рутом. дада, вы совершенно верно подумали. rm -fr / я конечно не сделал, но когда мне захотелось перезагрузиться я прямо так и ввел halt. только не в локальную консоль, а в ничем не отличающийся по виду ssh. я еще озадаченно чесал репу почему он не выключается и вводил халт снова, но уже в окошко "run" в виндоумэйкере. это помогло конечно, но, как говориться, "п..ц подкрался незаметно".
как я потом верно подметил, что если бы я работал, скажем, на станке и совершил похожее по отмороженности действие, мне бы оторвало руки
потом пришел наш админ и был очень мрачен. а сегодня вот со мной говорил начальник и сказал примерно о том, что он мне дает "тайм-аут" в два дня к концу которого я должен представить убедительные научные док-ва того, что такое более невозможно с моей стороны.
вот и я думаю. какой комплекс мер нужно предпринять для того, чтобы не приходилось работать под рутом и, если приходилось, то это было максимально безопасно?
т.е. под рутом следует исключить выполнение опасных комманд либо опасных сочетаний безопасных. вроде halt, reboot, rm -rf /, kill 1(или как его) и т.п. т.е. чтобы они либо вообще не выполнялись либо запрашивали максимальное количество подтверждении.
в треминале неплохо бы чтобы при запуске ssh менялся скажем цвет шрифта, заголовка терминального окна или еще что-то, чтобы это выглядело поубедительнее root@vega в начале строки, ибо последнее впечатлило меня не достаточно для того, чтобы я подумал перед тем как что-то делать.
к каким группам следует добавить своего рядового юзера чтобы можно было выполнять все основные действия по администрированию юзерских web аккаунтов, mysql баз, работать с WebHostBoard.
ну и, конечно, с интересом изучу все прочие рекомендации.
защита от дурака
На каждую хитрую жопу найдется свой xyj с резьбой...
Я для себя решил, что под пивом работать нельзя, и вместо сна тоде работаь нельзя, как бы плохо все не выглядело...
Из тривиального - настроить sudo. Можно разрешить выполнение всех команд через sudo + можно его настроить так, чтобы оно спрашивало пароль пользователя каждый раз.
Для работы с mysql нужен только root mysql а не системный. Вобщем копать в торону sudo и соблюдать режим. Ну исеено если надо что-то поправить именно в юзерских файла, то стоит перед этим сделать su - user.
Насчет halt, rm и прочих - пропиши руту в профиль алиасы на скрипты которые тебе будут 3 раза спрашивать
А если задолбает отвечеть на вопросы, то всегда можно вызвать /bin/rm вместо rm и обойти alias.
Я для себя решил, что под пивом работать нельзя, и вместо сна тоде работаь нельзя, как бы плохо все не выглядело...
Из тривиального - настроить sudo. Можно разрешить выполнение всех команд через sudo + можно его настроить так, чтобы оно спрашивало пароль пользователя каждый раз.
Для работы с mysql нужен только root mysql а не системный. Вобщем копать в торону sudo и соблюдать режим. Ну исеено если надо что-то поправить именно в юзерских файла, то стоит перед этим сделать su - user.
Насчет halt, rm и прочих - пропиши руту в профиль алиасы на скрипты которые тебе будут 3 раза спрашивать
А если задолбает отвечеть на вопросы, то всегда можно вызвать /bin/rm вместо rm и обойти alias.Опыт растет прямо пропорционально выведенному из строя оборудованию
tes+or, Хорош! 
Как говорят те же амисы - не ошибается только тот, кто ничего не делает.. А вообще в каждой конторе свои способы борьбы наверняка.. Советую создать скриптец типа toroot или tosu, где мигающими буквами на белом фоне писать !!! WARNING: USING THE ROOT IS DANGERIOUS !!! или что-то типа того . Также, как советовал Лама, в етом скрипте перебить алиасы на halt, shutdown и т.д. .. можно также написать свой rm который будет парсить входные параметры на предмет проверки наличия аргументов -f /* для рута, а уж потом system() call на /bin/rm ... (бредово, но вариант ))
Вариантов много.. но для доказ-ств амисам сойдет я думаю
Удачи!
Как говорят те же амисы - не ошибается только тот, кто ничего не делает.. А вообще в каждой конторе свои способы борьбы наверняка.. Советую создать скриптец типа toroot или tosu, где мигающими буквами на белом фоне писать !!! WARNING: USING THE ROOT IS DANGERIOUS !!! или что-то типа того . Также, как советовал Лама, в етом скрипте перебить алиасы на halt, shutdown и т.д. .. можно также написать свой rm который будет парсить входные параметры на предмет проверки наличия аргументов -f /* для рута, а уж потом system() call на /bin/rm ... (бредово, но вариант ))Вариантов много.. но для доказ-ств амисам сойдет я думаю
Удачи!
Never touch the running program!!!
-
tes+or
- Неотъемлемая часть форума
- Сообщения: 535
- Зарегистрирован: 16 дек 2004, 17:47
- Откуда: minsk
- Контактная информация:
>если надо что-то поправить именно в юзерских файла, то стоит перед этим сделать su - user
так это только руту можно без пароля так просто su делать. а тестору надо пасс юзера знать. а я ненаю.
наверное надо просто создать группу web(возможно она даже уже есть) и chgrpить все файлы в /home этой группе. потом добавить права 7 на все файлы там для группы и, самое главное, добавить в эту группу тестора.
так это только руту можно без пароля так просто su делать. а тестору надо пасс юзера знать. а я ненаю.
наверное надо просто создать группу web(возможно она даже уже есть) и chgrpить все файлы в /home этой группе. потом добавить права 7 на все файлы там для группы и, самое главное, добавить в эту группу тестора.
Адмін, які раздае root вінаваты, нават калі нічога ня здарылася, проста by default. Відаць, ён гэта адчувае, таму й маўчыць!tes+or писал(а):это надо у админа спросить. может он потому матом на меня и не ругается.
а меня пугает то что он на меня не ругаеться. потому что фишка в том, что все было настроено но небыло прописано в сценарии загрузки. pop3 before smtp, обновлен ssh еще что-то там. я бы меня убил на его месте.
Powered by Perl
-
Mr. Anderson
- Неотъемлемая часть форума
- Сообщения: 373
- Зарегистрирован: 10 окт 2005, 14:35
-
tes+or
- Неотъемлемая часть форума
- Сообщения: 535
- Зарегистрирован: 16 дек 2004, 17:47
- Откуда: minsk
- Контактная информация:
админ сказал что судо это дырка) он видно непонимает что самая большая дырка у меня в голове. а вообще я какбы там был админом в той же степени что и тот админ, поэтому мне пасс рута пложен по званию.
но правда уже неактуально, ибо _был_. зарплата непонравилась мне что-то совсем. плохая контора этот belarus.by.com. не ходите туда
но правда уже неактуально, ибо _был_. зарплата непонравилась мне что-то совсем. плохая контора этот belarus.by.com. не ходите туда
-
Mr. Anderson
- Неотъемлемая часть форума
- Сообщения: 373
- Зарегистрирован: 10 окт 2005, 14:35
дырка не sudo, а кривые руки, хоть это и не очень хорошо, но в отличие от su - , sudo пишет в логи, кто-чего-когда делал, это раз. ты можешь и не давать доступа ко всем коммандам, требующим рутовых привилегий в системе - это два и можно продолжать и дальше. Свои узкие места тут, правда, тоже есть, но это все же лучше.
LMD / DML
-
Berserker
- Неотъемлемая часть форума
- Сообщения: 279
- Зарегистрирован: 23 апр 2005, 21:13
- Откуда: minsk
Re: защита от дурака
Настрой себе на локальном компе ВЫДЕЛЯЮЩЕЕСЯ приглашение командной строки. Например, как у меня :
Тогда не перепутаешь.
Код: Выделить всё
LOCAL ~ $
-
tes+or
- Неотъемлемая часть форума
- Сообщения: 535
- Зарегистрирован: 16 дек 2004, 17:47
- Откуда: minsk
- Контактная информация:
Llama, когда мне назвали зарплату, а я спросил какого ..., то мне перечислили все что угодно, кроме этого. на самом деле там такая контора интересная, с аптаймом процентов 70-80)). и мой halt там, капля в море. никапли не жалею что оттуда ушел. ща сижу дома, делаю тоже самое, точно также нет денег, зато я уже делаю для себя)) и работает лучше
