Практика и эксперименты - обязательно. А что будет, если написать так? А так? В общем, пробовать какие-то нестандартные вещи и пытаться понять, как и почему это работает/не работает. С Днем Сисадмина, кстати =)
Спасибо за уроки! Даже удивлен, что на такой хороший и, что немаловажно, свежий материал не так много людей приходит смотреть. Есть ли шанс в будущем увидеть такой же плейлист по RHCE?
Спасибо! Текущий RHCE это исключительно ansible. Вот раньше были темы про администрирование различных сервисов, что было востребовано. И сейчас я работаю над курсом про администрирование инфраструктуры. Курс про текущий RHCE пока что не планирую
Отличный курс!! Видео хоть и короткие, сижу по часу или полтора экспериментирую со всякими командами. Самое главное автор обесняет все доходчего и понятно).Вопрос, как вернуть обратно команду htop?
@@GNULinuxPro обычно, мне становится все понятно, после проработки материала за терминалом. В этом видео с с частью материала был уже знаком, а о кое-чем даже не догадывался что так можно сделать. В целом подача очень хорошая как по мне, лучше не встречал.
Здравствуйте. Есть вопрос по "обнанке" (12:36). Давайте представим, что в sudoers не нужно прописывать полный пусть к исполняемым файлам, а также там не существует параметра "secure_path". Мы дали возможность пользователю запускать htop c правами рута. И вот наш злой пользователь прописывает "ln -s /bin/su ~/.local/bin/htop". И вводит "sudo htop", символическая ссылка сразу же запускает "sudo su". Но что я не пойму, мы пользователю на "su" никаких привилегий не давали, почему он тогда станет рутом?
Попробуйте создать символическую ссылку на /bin/su (например, /bin/test1). Затем в sudoers разрешите пользователю запускать команду /bin/test1. И всё заработает =)
Не доконца понял с sudoreplay. Я включил логирование вывода Defaults log_output. Теперь в директории /var/log/sudo-io для каждой команды, что я ввожу через sudo создается директория с 5 файлами. То есть для каждой команды создается новая sudo сессия. Это нормальная работа логирования? Или можно как-то сделать чтобы несколько команд записали в одну сессию с одним TSID?
Еще поковырялся: если использовать sudo -i то можно наблюдать в реальном времени как я работал в терминале под sudo. Видимо так и создается sudo-сессия, которая объединяет в себе несколько команд.
Ну смотри, написав sudo su ты выполняешь команду su с рутовскими привелегиями. Команда выполнилась, ты стал рутом и всё. Правда без указания - (sudo su -) считываются файлы для non login shell. При выполнении sudo -i ты запускаешь login shell рута, то есть считываются файлы, относящиеся к login shell. Но при этом ты не поменял своего пользователя на рута, ты всё еще тот юзер с рут правами, просто запустил шелл. Если же говорить о разнице между "sudo su -" и "sudo -i", то можно заметить по переменным окружения. Допустим, если убрать secure_path из sudoers, то при sudo -i у "рутового шелла" PATH будет включать в себя /home/user/bin, то есть переменные могут "передаться" через sudo -i, то есть sudo не меняет пользователя, а "симулирует", считывая файлы для login shell. А при "sudo su - " чистый рут только со своими переменными, своим окружением. Но в большинстве случаев это всё без разницы, и то и другое можно использовать.
создаю пользователя user2 не даю ему никакой группы. В sudoers создаю user2 ALL=(ALL) !/usr/bin/touch по идеи я запрещаю пользователю создавать файлы? Но когда захожу на user2 то все создается. Я что-то упускаю?
sudo даёт разрешение от имени другого пользователя(к примеру, root-а) запускать перечисленные команды В вашем случае вы запретили user2 запускать команду touch от имени любого пользователя Но sudo права работают только когда вы вводите команду sudo Т.е. попробуйте сделать sudo touch file, или sudo -u user touch file - должна выйти ошибка А когда вы просто запускаете touch file, вы не используете sudo, вы не запускаете команду от имени другого пользователя, поэтому всё будет работать
@@GNULinuxPro Я понял, если у меня к примеру в файле /etc/sudoers будет такая строчка : vladimir ALL=(vasya) ALL и я буду находиться в системе под пользователем vladimir и введу команду к примеру sudo -u vasya ls то я как-бы становлюсь vasya и команду ls выполняет он. Правильно?
Спасибо! Мощное видео, полезный материал. С первого раза неусвоить. Нужно несколь раз пересматривать и практиковатся.
Практика и эксперименты - обязательно. А что будет, если написать так? А так? В общем, пробовать какие-то нестандартные вещи и пытаться понять, как и почему это работает/не работает. С Днем Сисадмина, кстати =)
Добрый день. Спасибо за отличные лекции. Всё понятно с первого раза.
Спасибо за уроки! Даже удивлен, что на такой хороший и, что немаловажно, свежий материал не так много людей приходит смотреть. Есть ли шанс в будущем увидеть такой же плейлист по RHCE?
Спасибо!
Текущий RHCE это исключительно ansible. Вот раньше были темы про администрирование различных сервисов, что было востребовано. И сейчас я работаю над курсом про администрирование инфраструктуры.
Курс про текущий RHCE пока что не планирую
Отличный курс!! Видео хоть и короткие, сижу по часу или полтора экспериментирую со всякими командами. Самое главное автор обесняет все доходчего и понятно).Вопрос, как вернуть обратно команду htop?
Удалить созданный файл
Спасибо
Все понятно?
@@GNULinuxPro обычно, мне становится все понятно, после проработки материала за терминалом. В этом видео с с частью материала был уже знаком, а о кое-чем даже не догадывался что так можно сделать. В целом подача очень хорошая как по мне, лучше не встречал.
хорошо, практика очень важна =)
Спасибо! Отлично развёрнута тема. А, планируется ли, или может уже есть, что ни будь по основам безопасности в Linux?
Я в целом стараюсь рассматривать темы вместе с безопасностью, а не отделять безопасность от функционала
Здравствуйте. Есть вопрос по "обнанке" (12:36). Давайте представим, что в sudoers не нужно прописывать полный пусть к исполняемым файлам, а также там не существует параметра "secure_path". Мы дали возможность пользователю запускать htop c правами рута. И вот наш злой пользователь прописывает "ln -s /bin/su ~/.local/bin/htop". И вводит "sudo htop", символическая ссылка сразу же запускает "sudo su". Но что я не пойму, мы пользователю на "su" никаких привилегий не давали, почему он тогда станет рутом?
Попробуйте создать символическую ссылку на /bin/su (например, /bin/test1). Затем в sudoers разрешите пользователю запускать команду /bin/test1. И всё заработает =)
sudoers разрешает выполнение команды. А то что стоит за символической ссылкой sudo не проверяет
@@GNULinuxPro Получается, что выполняется проверка прав на ярлык (симв.ссылку), а на на файл который ярлык запускает. Я вважаю, що це зрада. Спасибо
Не доконца понял с sudoreplay. Я включил логирование вывода Defaults log_output. Теперь в директории /var/log/sudo-io для каждой команды, что я ввожу через sudo создается директория с 5 файлами. То есть для каждой команды создается новая sudo сессия. Это нормальная работа логирования? Или можно как-то сделать чтобы несколько команд записали в одну сессию с одним TSID?
Еще поковырялся: если использовать sudo -i то можно наблюдать в реальном времени как я работал в терминале под sudo. Видимо так и создается sudo-сессия, которая объединяет в себе несколько команд.
А в чем разница между командами "sudo su" и "sudo -i"? И там, и тм на выходе - рутовый шелл..
Ну смотри, написав sudo su ты выполняешь команду su с рутовскими привелегиями. Команда выполнилась, ты стал рутом и всё. Правда без указания - (sudo su -) считываются файлы для non login shell.
При выполнении sudo -i ты запускаешь login shell рута, то есть считываются файлы, относящиеся к login shell. Но при этом ты не поменял своего пользователя на рута, ты всё еще тот юзер с рут правами, просто запустил шелл.
Если же говорить о разнице между "sudo su -" и "sudo -i", то можно заметить по переменным окружения. Допустим, если убрать secure_path из sudoers, то при sudo -i у "рутового шелла" PATH будет включать в себя /home/user/bin, то есть переменные могут "передаться" через sudo -i, то есть sudo не меняет пользователя, а "симулирует", считывая файлы для login shell. А при "sudo su - " чистый рут только со своими переменными, своим окружением.
Но в большинстве случаев это всё без разницы, и то и другое можно использовать.
создаю пользователя user2 не даю ему никакой группы. В sudoers создаю user2 ALL=(ALL) !/usr/bin/touch по идеи я запрещаю пользователю создавать файлы? Но когда захожу на user2 то все создается. Я что-то упускаю?
sudo даёт разрешение от имени другого пользователя(к примеру, root-а) запускать перечисленные команды
В вашем случае вы запретили user2 запускать команду touch от имени любого пользователя
Но sudo права работают только когда вы вводите команду sudo
Т.е. попробуйте сделать sudo touch file, или sudo -u user touch file - должна выйти ошибка
А когда вы просто запускаете touch file, вы не используете sudo, вы не запускаете команду от имени другого пользователя, поэтому всё будет работать
"sudo" безопасен ?
не особо.
2:16 можно пример команды привести, что-то не совсем понял
sudo -u user2 ls
@@GNULinuxPro Я понял, если у меня к примеру в файле /etc/sudoers будет такая строчка :
vladimir ALL=(vasya) ALL и я буду находиться в системе под пользователем vladimir и введу команду к примеру sudo -u vasya ls то я как-бы становлюсь vasya и команду ls выполняет он. Правильно?
@@user-ik5yv4op4o Верно
А если говорить точнее, процесс запускается от имени vasya, соответственно у процесса права vasya, а не vladimir
@@GNULinuxPro Понял, спасибо не обессудьте, если и вопрос детский, но я думаю комментарии в любом случае приветствуются.
@@user-ik5yv4op4o Не переживайте, вопрос хороший =)
я первый!
Флаг тебе в руки, барабан на шею)