Re: sudo ws root
On Tue, 09 Dec 2008 00:01:02 +0200 Eugene V. Lyubimkin wrote: В трёх словах - любая гадость, запущенная из-под юзера, способна следить за запускаемыми командами. Как только юзер удачно применил sudo, сия гадость может беспрепятственно сделать sudo плохая команда, так как пароль не будет запрошен. За конкретной реализацией прошу к Дмитрию и BTS на sudo. Думаю, что эта гадость вполне может подменить пути и вместо /usr/bin/sudo вызвать свой модуль, спрашивающий пароль и затем выполняющий sudo. В этом случае любые таймауты не помогут. И реализация этого проще, чем следить за командами. ИМХО баг судо в головах пользователей (и админов), использующих его (sudo а не баг :) для замены su, а не как не в самой программе. Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то никакого выигрыша от неиспользования root password мы не получим. -- Grey Fenrir -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 01:33 +0300, Stanislav Kruchinin пишет: Eugene V. Lyubimkin wrote: Stanislav Kruchinin wrote: Все это звучит весьма провокационно. Объясните пожалуйста поподробнее, как ненулевой таймаут способствует получению прав рута из сессии пользователя с ограниченными правами? Какие настройки должны быть при этом у пользователя в /etc/sudoers? sudo при первом запуске запрашивает только пароль юзера, в этом его суть: передать часть прав без передачи рутовского пароля. В трёх словах - любая гадость, запущенная из-под юзера, способна следить за запускаемыми командами. Как только юзер удачно применил sudo, сия гадость может беспрепятственно сделать sudo плохая команда, так как пароль не будет запрошен. За конкретной реализацией прошу к Дмитрию и BTS на sudo. Это скорее не баг, а фича. Если у юзера в /etc/sudoers прописано user ALL=(ALL) ALL и он может после аутентификации запустить любую программу через sudo, значит он уже почти root. Ответственность за запуск того или иного вредоносного скрипта лежит только на нем. Я согласен, что ради большей безопасности этот таймаут лучше сделать нулевым, но тем не менее непонятно, где тут дыра в sudo? Можно подумать, что просто запуская все подряд из root shell нельзя наломать дров. Что уж тогда говорить про Гномовский Брелок... -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian - Ubuntu Server ?
в sarge был, а потом пропал 8 декабря 2008 г. 21:12 пользователь Sergei Stolyarov [EMAIL PROTECTED] написал: On Monday 08 December 2008, Покотиленко Костик wrote: ПК В Пнд, 08/12/2008 в 21:06 +0600, Sergei Stolyarov пишет: ПК On Monday 08 December 2008, [EMAIL PROTECTED] wrote: ПК ПК А тем, что он нестабильный раз, два - webmin поддерживает etch, ubuntu ПК 8.04, Centos 5. А мне нужен в числе прочего webmin . testing я и так в ПК виртуальных машинах ставлю. ПК ПК Релиз убунты гораздо более нестабилен, чем testing. Вы проверяли, что webmin на testing/unstable не работает? ПК ПК А давно webmin в Debian вкладывают? В etch нету. webmin в дебиане нет, какие. Но на офсайте deb-пакеты лежат, поэтому и задал вопрос, работают ли они. -- Sergei Stolyarov -- В смысле осмысления бессмысленного смысл тоже имеет определенную осмысленность!!!
Re: Автозапуск в GNOME
В Вто, 09/12/2008 в 10:29 +0300, Roman V. Nikolaev пишет: Окно запущенного мной gnome-terminal появляется моментально после ввода пароля, поверх этой-же формы входа. А когда все смонтировалось и терминал закрылся продолжается загрузка (смена видеорежима и далее Рабочий стол, окна ) Скорее всего это после входа (логина), но до session. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian - Ubuntu Server ?
В Вто, 09/12/2008 в 00:12 +0600, Sergei Stolyarov пишет: On Monday 08 December 2008, Покотиленко Костик wrote: ПК В Пнд, 08/12/2008 в 21:06 +0600, Sergei Stolyarov пишет: ПК On Monday 08 December 2008, [EMAIL PROTECTED] wrote: ПК ПК А тем, что он нестабильный раз, два - webmin поддерживает etch, ubuntu ПК 8.04, Centos 5. А мне нужен в числе прочего webmin . testing я и так в ПК виртуальных машинах ставлю. ПК ПК Релиз убунты гораздо более нестабилен, чем testing. Вы проверяли, что webmin на testing/unstable не работает? ПК ПК А давно webmin в Debian вкладывают? В etch нету. webmin в дебиане нет, какие. Но на офсайте deb-пакеты лежат, поэтому и задал вопрос, работают ли они. Понятно. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Медленная загрузк а GRUB
С чем связано вот это утверждение про Reiser на boot? Grub или вообще не умеет, или умеет очень ограниченно реплаить журнал на райзере, так что после нечистого выключения системы можно с большой вероятностью нарваться на grub-овское сообщение Inconsistent file system с полной невозможностью загрузки системы (чтоб исправить, приходится грузиться с какого-нибудь rescue cd или usb).. Я как-то с этим делом намаялся вдоволь и теперь всегда делаю отдельный /boot на ext2 (и в RO) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: автомонтирование udev
On Tuesday 09 December 2008, Oleg Kravchenko wrote:
OK Всем привет
OK
OK сделал /etc/udev/rules.d/z80_user.rules - это линк на /etc/udev/user.rules
OK с таким содержимым:
OK ===
OK Монтирует флэшки и тп отлично, но так не грузится сама система,
OK останавливается где-то после запуска udev, по-моему в том месте, где
OK создаются файлы устройств. Что бы здесь поправить? sid 686.
Рекомендую почитать про pmount, он делает всю работу по созданию/удалению
каталогов.
Например, для iPod у меня вот такое правило прописано
SUBSYSTEM==block, KERNEL==sd[a-z]2, ACTION==add, ATTRS{vendor}==Apple,
ATTRS{model}==iPod, ATTRS{rev}==1.62, NAME=%k, GROUP=users,
SYMLINK=ipod, RUN+=/usr/bin/sudo -u cancel /usr/bin/pmount /dev/%k ipod
По-хорошему юзера надо определять по-другому, но мне и так сойдёт.
Правила записаны в файл /etc/udev/rules.d/z60_my_flash_drives.rules
--
Sergei Stolyarov
Re[2]: Debian - Ubuntu Server ?
webmin в дебиане нет, какие. Но на офсайте deb-пакеты лежат, поэтому и задал вопрос, работают ли они. У Webmin зависимости включают пакеты из etch, которые в testing переименованы, так что по отзывам если покопаться то встаёт и работает, но отзывов очень мало - единицы. 1) копаться не хочется, 2) поддержки-то не будет, придётся самому прикладывать усилия - а совершенно некогда и не хочется. Проще забить вообще на webmin и делать всё руками - но опять не идеал. -- С уважением, Konstantin mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
В Вто, 09/12/2008 в 17:27 +0600, Sergei Stolyarov пишет: On Tuesday 09 December 2008, Игорь Чумак wrote: ИЧ Добрый день! ИЧ Вот обратил внимание - под windows при безопасном отключении ИЧ устройства индикатор на флешке гаснет (имхо это правильно). ИЧ А вот под linux - unmount проходит, индикатор продолжает гореть. ИЧ Хотелось бы, чтобы погасание индикатора символизировало корректный ИЧ unmount. Это реально? Попробуйте сказать после umount eject /dev/sda1 или как там у вас называется девайс. Говорить надо из-под суперюзера. И флэшка выпрыгнуть должна :) -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
Попробуйте сказать после umount eject /dev/sda1 если делаете eject, то umount не нужен -- Best regards, Maksim A. Boyko ICQ: 478886172
Re: Fwd: Re: sudo
chaos wrote: -- Пересланное сообщение -- Subject: Re: sudo Date: 8 декабря 2008 01:14 From: Илья Таскаев [EMAIL PROTECTED] To: chaos [EMAIL PROTECTED] Было и у меня такое. В общем порылся по форумам, в основном заграничным, и вам кстати советую использовать google. Решение, *кажется* было такое, исправить файл /etc/hosts и записать туда название своей рабочей станции, попутно проверив есть ли там localhost lo и т.д. У меня судо перестала работать, после того как настроил сетку. Во всяком случае у меня было так. На решение повлияло размышление именно над этим ответом. в host_aliase заменил localhost на имя машины - и все заработало. В бекапе однако localhost стоял. кстати в /etc/hosts была строчка 127.0.1.1 name.iop.kiev.ua namе хотя айпи совершенно другой на самом деле. Откуда этот адрес инсталлятор взял - не понятно. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
On 2008.12.09 at 11:17:05 +0300, Grey Fenrir wrote: Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то никакого выигрыша от неиспользования root password мы не получим. Получим. Если у нас имеется несколько юзеров, которым разрешено sudo ALL, то при увольнении одного из них нужно только deluser сделать. А если бы использовалось su, то пришлось бы менять рутовый пароль и всем остальным админам заучивать новый. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Fwd: Re: sudo
В Вто, 09/12/2008 в 15:10 +0200, Andrey S. Rybak пишет: chaos wrote: -- Пересланное сообщение -- Subject: Re: sudo Date: 8 декабря 2008 01:14 From: Илья Таскаев [EMAIL PROTECTED] To: chaos [EMAIL PROTECTED] Было и у меня такое. В общем порылся по форумам, в основном заграничным, и вам кстати советую использовать google. Решение, *кажется* было такое, исправить файл /etc/hosts и записать туда название своей рабочей станции, попутно проверив есть ли там localhost lo и т.д. У меня судо перестала работать, после того как настроил сетку. Во всяком случае у меня было так. На решение повлияло размышление именно над этим ответом. в host_aliase заменил localhost на имя машины - и все заработало. В бекапе однако localhost стоял. кстати в /etc/hosts была строчка 127.0.1.1 name.iop.kiev.ua namе хотя айпи совершенно другой на самом деле. Откуда этот адрес инсталлятор взял - не понятно. Если localhost не (правильно) прописан в /etc/hosts, начинаются проблемы со многими программами, когда-то с OOO долго бился. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
On Tuesday 09 December 2008, Игорь Чумак wrote: ИЧ Добрый день! ИЧ Вот обратил внимание - под windows при безопасном отключении ИЧ устройства индикатор на флешке гаснет (имхо это правильно). ИЧ А вот под linux - unmount проходит, индикатор продолжает гореть. ИЧ Хотелось бы, чтобы погасание индикатора символизировало корректный ИЧ unmount. Это реально? Попробуйте сказать после umount eject /dev/sda1 или как там у вас называется девайс. Говорить надо из-под суперюзера. -- Sergei Stolyarov
Re: sudo ws root
однако в случае с sudo пользователь может и не знать что что-то запускается VW А вот нефиг всякими гномапи пользоваться. вот тут +1 VW Это для них характерно то, что юзер не знает что и как у него в системе VW запускается. И дырой в безопасности это будет все равно, пока в системе VW не заведется интеллект, отличный от юзера, который будет это знать. VW Кстати, с тем же самым успехом можно отследить что юзер запустил рутовый VW шелл через su и выдать ему в эмулятор терминала (который продолжает VW принадлежать юзеру) ansi-последовательность, которая выполнит нехорошую VW команду. да тут вариантов масса, sudo на самом деле самый простой :) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: [EMAIL PROTECTED] jabber://[EMAIL PROTECTED] `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: автомонтирование udev
сделал /etc/udev/rules.d/z80_user.rules - это линк на /etc/udev/user.rules с таким содержимым: ... Монтирует флэшки и тп отлично, но так не грузится сама система, останавливается где-то после запуска udev, по-моему в том месте, где создаются файлы устройств. Что бы здесь поправить? sid 686. а чем не подходит apt-get install usbmount только надо потом изменить /etc/usbmount/usbmount.conf на предмет понимания vfat -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
lfs 6.0
At Tue, 9 Dec 2008 16:01:11 +0300, Павел Марченко wrote: ппробовал собрать lfs 6.0 на debian lenny уже на стадии компиляции пакета binutils ошибки. А как его собирают? Я тут собирал djgpp-binutils-2.19 и обнаружил, что mkdir build cd build ../configure make обламывается на make, если нет makeinfo из texinfo, зато ./configure make работает в любом случае. Michael -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
On 2008.12.09 at 10:26:14 +0300, Dmitry E. Oboukhov wrote: однако в случае с sudo пользователь может и не знать что что-то запускается А вот нефиг всякими гномапи пользоваться. Это для них характерно то, что юзер не знает что и как у него в системе запускается. И дырой в безопасности это будет все равно, пока в системе не заведется интеллект, отличный от юзера, который будет это знать. Кстати, с тем же самым успехом можно отследить что юзер запустил рутовый шелл через su и выдать ему в эмулятор терминала (который продолжает принадлежать юзеру) ansi-последовательность, которая выполнит нехорошую команду. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: lfs 6.0
вот так его собирают mkdir binutils-build cd ./binutils-build ../binutils-2.15.91.0.2/configure --prefix=/tools --disable-nls make configure-host make LDFLAGS=-all-static 9 декабря 2008 г. 17:02 пользователь Michael Kostylev [EMAIL PROTECTED] написал: At Tue, 9 Dec 2008 16:01:11 +0300, Павел Марченко wrote: ппробовал собрать lfs 6.0 на debian lenny уже на стадии компиляции пакета binutils ошибки. А как его собирают? Я тут собирал djgpp-binutils-2.19 и обнаружил, что mkdir build cd build ../configure make обламывается на make, если нет makeinfo из texinfo, зато ./configure make работает в любом случае. Michael -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- В смысле осмысления бессмысленного смысл тоже имеет определенную осмысленность!!!
Re: Медленная загрузка GRUB
В сообщении от вівторок, 09-гру-2008 Denis B. Afonin написал(a): С чем связано вот это утверждение про Reiser на boot? Grub или вообще не умеет, или умеет очень ограниченно реплаить журнал на райзере, так что после нечистого выключения системы можно с большой вероятностью нарваться на grub-овское сообщение Inconsistent file system с полной невозможностью загрузки системы (чтоб исправить, приходится грузиться с какого-нибудь rescue cd или usb).. Нууу, мне хватало нажать e и удалить строчку savedefault. Читать-то он читает, а записать не может. -- JID: alexey#boyko,km,ua
автомонтирование udev
Всем привет
сделал /etc/udev/rules.d/z80_user.rules - это линк на /etc/udev/user.rules
с таким содержимым:
===
IMPORT{program}=vol_id --export $tempnode
ENV{CURDEV}=%k
ENV{ID_FS_LABEL_ENC}==?*, ENV{CURDEV}=$env{ID_FS_LABEL_ENC}
#CreateDir#
KERNEL==sd*[0-9], SUBSYSTEM==block, BUS==usb, ACTION==add,
RUN+=/bin/mkdir -p /media/usb-$env{CURDEV}
#Mount#
KERNEL==sd*[0-9], SUBSYSTEM==block, BUS==usb, ACTION==add, \
ENV{ID_FS_TYPE}==vfat, \
RUN+=/bin/mount -t vfat -o
umask=000,showexec,noexec,user,rw,quiet,iocharset=cp866 /dev/%k
/media/usb-$env{CURDEV}, \
#UmountDir#
KERNEL==sd*[0-9], SUBSYSTEM==block, BUS==usb, ACTION==remove,
RUN+=/bin/umount -l /dev/%k
===
Монтирует флэшки и тп отлично, но так не грузится сама система,
останавливается где-то после запуска udev, по-моему в том месте, где
создаются файлы устройств. Что бы здесь поправить? sid 686.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
Victor Wagner - debian-russian@lists.debian.org @ Tue, 9 Dec 2008 16:20:12
+0300:
Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
никакого выигрыша от неиспользования root password мы не получим.
VW Получим. Если у нас имеется несколько юзеров, которым разрешено
VW sudo ALL, то при увольнении одного из них нужно только deluser
VW сделать. А если бы использовалось su, то пришлось бы менять
VW рутовый пароль и всем остальным админам заучивать новый.
Если рута иначе как с консоли не пускают, то deluser вполне достаточно и
для увольнения при использовании su. sudo актуален, если рута у юзера
отобрать хочется, а удалять - нет. Или если надо дать ему возможность
запускать не что попало, а определенный набор команд.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
русская народная глупость
Кнышев
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
On Tue, 09 Dec 2008 12:11:02 +0200 Игорь Чумак [EMAIL PROTECTED] wrote: Добрый день! Вот обратил внимание - под windows при безопасном отключении устройства индикатор на флешке гаснет (имхо это правильно). А вот под linux - unmount проходит, индикатор продолжает гореть. Хотелось бы, чтобы погасание индикатора символизировало корректный unmount. Это реально? Где такие модные флешки раздают? На моих есть только лампочка чтения/записи. http://www.linuxquestions.org/questions/linux-hardware-18/how-to-power-off-usb-port-613304/ Тут посоветовали echo 2 /sys/path/to/device/power/state -- Regards, Yuri Kozlov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
Yuri Kozlov wrote: On Tue, 09 Dec 2008 12:11:02 +0200 Игорь Чумак [EMAIL PROTECTED] wrote: Добрый день! Вот обратил внимание - под windows при безопасном отключении устройства индикатор на флешке гаснет (имхо это правильно). А вот под linux - unmount проходит, индикатор продолжает гореть. Хотелось бы, чтобы погасание индикатора символизировало корректный unmount. Это реально? Где такие модные флешки раздают? На моих есть только лампочка чтения/записи. OT: У нас 90% таких. -- Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com Ukrainian C++ Developer, Debian APT contributor signature.asc Description: OpenPGP digital signature
Re: sudo ws root
В Вто, 09/12/2008 в 16:18 +0300, Victor Wagner пишет: On 2008.12.09 at 10:26:14 +0300, Dmitry E. Oboukhov wrote: однако в случае с sudo пользователь может и не знать что что-то запускается А вот нефиг всякими гномапи пользоваться. Это для них характерно то, что юзер не знает что и как у него в системе запускается. И дырой в безопасности это будет все равно, пока в системе не заведется интеллект, отличный от юзера, который будет это знать. Кстати, с тем же самым успехом можно отследить что юзер запустил рутовый шелл через su и выдать ему в эмулятор терминала (который продолжает принадлежать юзеру) ansi-последовательность, которая выполнит нехорошую команду. Супер заметил! Защиту от присутствующих шпионов тяжело придумать, травить их надо. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 16:31 +0300, Dmitry E. Oboukhov пишет: однако в случае с sudo пользователь может и не знать что что-то запускается VW А вот нефиг всякими гномапи пользоваться. вот тут +1 -1 VW Это для них характерно то, что юзер не знает что и как у него в системе VW запускается. И дырой в безопасности это будет все равно, пока в системе VW не заведется интеллект, отличный от юзера, который будет это знать. VW Кстати, с тем же самым успехом можно отследить что юзер запустил рутовый VW шелл через su и выдать ему в эмулятор терминала (который продолжает VW принадлежать юзеру) ansi-последовательность, которая выполнит нехорошую VW команду. да тут вариантов масса, sudo на самом деле самый простой :) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: [EMAIL PROTECTED] jabber://[EMAIL PROTECTED] `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
В Вто, 09/12/2008 в 16:20 +0300, Victor Wagner пишет: On 2008.12.09 at 11:17:05 +0300, Grey Fenrir wrote: Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то никакого выигрыша от неиспользования root password мы не получим. Получим. Если у нас имеется несколько юзеров, которым разрешено sudo ALL, то при увольнении одного из них нужно только deluser сделать. А если бы использовалось su, то пришлось бы менять рутовый пароль и всем остальным админам заучивать новый. Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться временное превышение полномочий, как тут кто-то недавно сказал??? Я вообще ни ситуации такой представить не могу ни смысл самого понятия не могу понять. Кроме конечно того, что это такой себе мега-костыль. Я понимаю так, что если тебе иногда надо выполнять команды с другими привилегиями - меняй привилегии с подтверждением их обладания (su), в остальных случаях права правильно надо настраивать. Иначе отслеживать у кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может пол страны. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Индикатор на USB flash
Игорь Чумак пишет: (имхо это правильно). Как раз наоборот. Лампочка гаснет не при отмонтировании, а при отключении питания. После отключения питания заново включить флешку можно перевтыканием. Так что если попросить её именно _отмонтировать_ -- то её и отмонтируют. Как просили. Не более. При необходимости её можно будет примонтировать заново. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian - Ubuntu Server ?
Konstantin Tokar пишет: поддержки-то не будет За отсутствие (достаточной) поддержки он в etch и не попал, насколько я помню. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Медленная загрузк а GRUB
Maksim A. Boyko пишет: Не стоит ставить /boot/ на reiserfs! Кстати, да у меня на той проблемной SDHC-карте с lenny именно reiserfs. Не стал заморачиваться с отдельным разделом для /boot в ext2 для тестовых целей. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian - Ubuntu Server ?
В сообщении от 9 декабря 2008 13:51 Konstantin Tokar написал(a): Проще забить вообще на webmin и делать всё руками вот, здравая мысль но опять не идеал. почему? что тут смущает? -- Не ковыряй в носу перочинным ножиком. Лезвие легко ржавеет. -- Из книги Пи
Re: sudo ws root
Покотиленко Костик - debian-russian@lists.debian.org @ Tue, 09 Dec 2008
19:18:20 +0200:
Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
никакого выигрыша от неиспользования root password мы не получим.
Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
ALL, то при увольнении одного из них нужно только deluser сделать.
А если бы использовалось su, то пришлось бы менять рутовый пароль и всем
остальным админам заучивать новый.
ПК Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
ПК временное превышение полномочий, как тут кто-то недавно сказал??? Я
ПК вообще ни ситуации такой представить не могу ни смысл самого понятия не
ПК могу понять. Кроме конечно того, что это такой себе мега-костыль.
Пример. У меня есть сервер в Интернете, и машина в локальной сети,
которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh
юзером backup по ключу и запускает собственно команду бэкапа, сливающую
результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую
другую.
Предложи другой способ это сделать. Без необходимости открывать доступ
снаружи на бэкапящую машину и, следовательно, в локальную сеть.
Бэкапящая машина еще много для чего используется, и защищена она в
результате не в пример слабее того сервера.
ПК Я понимаю так, что если тебе иногда надо выполнять команды с другими
ПК привилегиями - меняй привилегии с подтверждением их обладания (su), в
ПК остальных случаях права правильно надо настраивать. Иначе отслеживать у
ПК кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
ПК анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет
ПК ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за
ПК компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может
ПК пол страны.
Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers.
Остальное - его проблемы.
За моим компом пол-офиса может сидеть. Но не под моим логином. У них
на нем свои логины есть.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Медленная загрузк а GRUB
Maksim A. Boyko пишет: Не стоит ставить /boot/ на reiserfs! Кстати, да. У меня на той проблемной SDHC-карте с lenny именно reiserfs. Не стал заморачиваться с отдельным разделом для /boot в ext2 для тестовых целей. -- Dmitri Samsonov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Debian - Ubuntu Server ?
On Tuesday 09 December 2008 20:51:19 chaos wrote: В сообщении от 9 декабря 2008 13:51 Konstantin Tokar написал(a): Проще забить вообще на webmin и делать всё руками Вебмин без труда ставится на etch/lenny/sid. Уж ежели зависимости лень поправить, можно не пакетом поставить а их инсталлером, ну и ::SSLeay слить отдельно, из того, что полезно для вебмина. А вообще вот, здравая мысль +1 но опять не идеал. почему? что тут смущает? На мой взгляд, самый верный вариант. P.S. Мне так никто и не смог привести весомый довод, чем ubuntu лучше. А сервер на Debian и на Ubuntu пока ещё не равнозначные понятия.
Fwd: Re[2]: Debian - Ubuntu Server ?
-- Пересланное сообщение -- Subject: Re[2]: Debian - Ubuntu Server ? Date: 9 декабря 2008 21:35 From: Konstantin Tokar [EMAIL PROTECTED] To: chaos [EMAIL PROTECTED] Здравствуйте, chaos. Вы писали 9 декабря 2008 г., 20:51:19: В сообщении от 9 декабря 2008 13:51 Konstantin Tokar написал(a): Проще забить вообще на webmin и делать всё руками вот, здравая мысль но опять не идеал. почему? что тут смущает? Потому что жизнь не состоит только из администрирования. Если тратить время на лишние операции, что-то другое придётся не делать. -- С уважением, Konstantin mailto:[EMAIL PROTECTED] --- -- Большие начальники не любят русских программистов. Кому понравится умник, знающий все обо всем?
AMD64 kernel vs Mysql 5.1
Добрый день Знакомый получил новый сервер (2 x Xeon 5xxx, 8Gb RAM) под биллинг. На сервере будет одна задача крутится - Mysql 5.x. Правильно ли я понимаю, что это как-раз тот случай, когда есть необходимость выделения 4Gb памяти под один процесс, а следовательно есть смысл использовать 64 битную ось и ядро ? Если первое утверждение верно - есть ли у кого опыт работы с сильно нагруженым Mysql на 64 битной ос (базы около 50 Gb). P.S. Понимаю, что возможно есть более правильные SQL, но биллинг уже куплен несколько лет назад и с ним уже успели намучаться вдоволь, а он работает именно с MySQL. Спасибо -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: sudo ws root
Предложи другой способ это сделать. Без необходимости открывать доступ снаружи на бэкапящую машину и, следовательно, в локальную сеть. Бэкапящая машина еще много для чего используется, и защищена она в результате не в пример слабее того сервера. Положить на машину, которую бэкапим, публичный ключ в рутовый аккаунт, и настроить authorized_host для запуска по этому ключу одной конкретной команды. Получим тот же эффект. Что-то типа command=”rdiff-backup –server” ssh-rsa B3Nz[]iNM= [EMAIL PROTECTED] -- С уважением, Konstantin mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sudo ws root
Konstantin Tokar - debian-russian@lists.debian.org @ Tue, 9 Dec 2008 23:51:53
+0300:
Предложи другой способ это сделать. Без необходимости открывать доступ
снаружи на бэкапящую машину и, следовательно, в локальную сеть.
Бэкапящая машина еще много для чего используется, и защищена она в
результате не в пример слабее того сервера.
KT Положить на машину, которую бэкапим, публичный ключ в рутовый аккаунт,
KT и настроить authorized_host для запуска по этому ключу одной
KT конкретной команды. Получим тот же эффект. Что-то типа
KT command=”rdiff-backup –server” ssh-rsa B3Nz[]iNM= [EMAIL PROTECTED]
Именно что _тот же эффект_. Оригинальный вопрос был про эффект, а не
про sudo.
На одном из хостов у меня ровно так и сделано. Точнее,
command=rdiff-backup --server --restrict-read-only
/,no-port-forwarding,no-X11-forwarding,no-pty
Ибо.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
If a `religion' is defined to be a system of ideas that contains
unprovable statements, then Godel taught us that mathematics is not
only a religion, it is the only religion that can prove itself to be
one.
-- John Barrow
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Проблема с сетевыми кар тами
Здравствуйте All! Суть проблемы в следующем. Есть сервер под Lenny. В нем стоят 2 сетевые карты 3Com. После загрузки обе становятся в режим 10mbit half duplex. lspci выдает следующее: 00:00.0 Host bridge: Intel Corporation 82865G/PE/P DRAM Controller/Host-Hub Interface (rev 02) 00:02.0 VGA compatible controller: Intel Corporation 82865G Integrated Graphics Controller (rev 02) 00:1d.0 USB Controller: Intel Corporation 82801EB/ER (ICH5/ICH5R) USB UHCI Controller #1 (rev 02) 00:1d.7 USB Controller: Intel Corporation 82801EB/ER (ICH5/ICH5R) USB2 EHCI Controller (rev 02) 00:1e.0 PCI bridge: Intel Corporation 82801 PCI Bridge (rev c2) 00:1f.0 ISA bridge: Intel Corporation 82801EB/ER (ICH5/ICH5R) LPC Interface Bridge (rev 02) 00:1f.1 IDE interface: Intel Corporation 82801EB/ER (ICH5/ICH5R) IDE Controller (rev 02) 00:1f.3 SMBus: Intel Corporation 82801EB/ER (ICH5/ICH5R) SMBus Controller (rev 02) 01:05.0 Ethernet controller: Intel Corporation 82557/8/9/0/1 Ethernet Pro 100 (rev 10) 01:0d.0 PCI bridge: Intel Corporation 21152 PCI-to-PCI Bridge 02:06.0 Ethernet controller: 3Com Corporation 3c905C-TX/TX-M [Tornado] (rev 78) 02:07.0 Ethernet controller: 3Com Corporation 3c905C-TX/TX-M [Tornado] (rev 78) lsmod следующее: ... 3c59x 41320 0 uhci_hcd 22960 0 ehci_hcd 30796 0 floppy 54884 0 e100 33644 0 mii 5280 2 3c59x,e100 ... Пробовал утилиты ethtool и mii-tool эффект нулевой. Подскажите куда копать? -- Отправлено M2, революционной почтовой программой Opera: http://www.opera.com/mail/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: AMD64 kernel vs Mysql 5.1
Работает на mysql-5.1.23 на innodb, текущая нагрузка не высока, тщательно проводили бенчмарки, показал рабочие результаты. On Tue, 09 Dec 2008 22:24:30 +0200 Dmitriy Sirant [EMAIL PROTECTED] wrote: DS Добрый день DS DS Знакомый получил новый сервер (2 x Xeon 5xxx, 8Gb RAM) под биллинг. На DS сервере будет одна задача крутится - Mysql 5.x. Правильно ли я понимаю, DS что это как-раз тот случай, когда есть необходимость выделения 4Gb DS памяти под один процесс, а следовательно есть смысл использовать 64 DS битную ось и ядро ? DS DS Если первое утверждение верно - есть ли у кого опыт работы с сильно DS нагруженым Mysql на 64 битной ос (базы около 50 Gb). DS DS P.S. Понимаю, что возможно есть более правильные SQL, но биллинг уже DS куплен несколько лет назад и с ним уже успели намучаться вдоволь, а он DS работает именно с MySQL. DS DS Спасибо DS DS DS -- DS To UNSUBSCRIBE, email to [EMAIL PROTECTED] DS with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] DS DS -- Tim Tereschenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[D-I Manual] Build log for ru (09 Dec 2008)
A build of the Debian Installer Manual was triggered by an update to SVN.
There were no errors during the build process.
The new version of the manual has been uploaded successfully.
A log of the build is available at:
- http://d-i.alioth.debian.org/manual/logs/ru.log
===
It is possible to use RSS to track changes to the manual.
For more information, see:
http://d-i.alioth.debian.org/manual/translators.html
===
Note: PDF output is not yet supported for some languages; help
with this would be appreciated.
===
If you have any questions about the build or this message, feel
free to contact me at faw AT funlabs DOT org.
===
Updated files ('svn up')
Upo/ru/preseed.po
Updated to revision 56871.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
