date:20081210

Доброго времени суток, all.

При очередном обновлении системы aptitude не справился с двумя пакетами:

[EMAIL PROTECTED]:~$ sudo aptitude search python-selinux python-semanage
Cd python-selinux - Python bindings to SELinux shared libraries 
Cp python-semanage - Python bindings  for SELinux policy manipulation

Ругательства dpkg приведены в конце письма.
Как правильно решить проблему?

Заранее благодарен за подсказки

--
Grey Fenrir


sudo dpkg -r --force-all python-selinux
(Чтение базы данных... на данный момент установлено 170583 файлов и
каталогов.) Удаляется пакет python-selinux...
dpkg (подпроцесс): не удалось запустить pre-removal script: Ошибка
формата выполняемого файла dpkg: не удалось обработать параметр
python-selinux (--remove): подпроцесс pre-removal script возвратил код
ошибки 2 dpkg (подпроцесс): не удалось запустить post-installation
script: Ошибка формата выполняемого файла dpkg: ошибка при очистке -
 подпроцесс post-installation script возвратил код ошибки 2
При обработке следующих пакетов произошли ошибки:
 python-selinux


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flash


Dmitri Samsonov пишет:

Игорь Чумак пишет:
  

(имхо это правильно).



  Как раз наоборот.
  Лампочка гаснет не при отмонтировании, а при отключении питания.
После отключения питания заново включить флешку можно перевтыканием.
  Так что если попросить её именно _отмонтировать_ -- то её и
отмонтируют. Как просили. Не более. При необходимости её можно будет
примонтировать заново.

  

Как раз снова наоборот ;)
Лампочка светится == вынимать нельзя
Лампочка  не светится == вынимать можно
Так правильно.
А использовать критерий мигает-не мигает - нельзя.
Мигает == идёт передача данных == устройство смонтировано == вынимать нельзя
Не мигает == _сейчас_ данные не передаются == смонтировано устройство 
или нет - ХЗ == можно вынимать или нет - ХЗ, cat /etc/mtab




--



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

В Вто, 09/12/2008 в 21:58 +0300, Artem Chuprina пишет:
Покотиленко Костик - debian-russian@lists.debian.org @ Tue, 09 Dec 2008
19:18:20 +0200:

Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
никакого выигрыша от неиспользования root password мы не получим.

Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
ALL, то при увольнении одного из них нужно только deluser сделать.
А если бы использовалось su, то пришлось бы менять рутовый пароль и всем
остальным админам заучивать новый.

ПК Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
ПК временное превышение полномочий, как тут кто-то недавно сказал??? Я
ПК вообще ни ситуации такой представить не могу ни смысл самого понятия не
ПК могу понять. Кроме конечно того, что это такой себе мега-костыль.

Пример. У меня есть сервер в Интернете, и машина в локальной сети,
которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh
юзером backup по ключу и запускает собственно команду бэкапа, сливающую
результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую
другую.

Предложи другой способ это сделать. Без необходимости открывать доступ
снаружи на бэкапящую машину и, следовательно, в локальную сеть.
Бэкапящая машина еще много для чего используется, и защищена она в
результате не в пример слабее того сервера.

Просто: бэкап на сервере делает ПО от рута в место доступное backup с
соответствующими правами. ПО на машине в локальной сети просто этот
бэкап слизывает под пользователем backup без всяких повышений
привилегий.

ПК Я понимаю так, что если тебе иногда надо выполнять команды с другими
ПК привилегиями - меняй привилегии с подтверждением их обладания (su), в
ПК остальных случаях права правильно надо настраивать. Иначе отслеживать у
ПК кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
ПК анализ нужен: Вася может рутом выполнять некоторые команды, Петя имеет
ПК ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит за
ПК компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже может
ПК пол страны.

Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers.
Остальное - его проблемы.

Понятно, что ответственность лежит на Васе, но в целом такая система
*неоправданно* сложнее.

За моим компом пол-офиса может сидеть. Но не под моим логином. У них
на нем свои логины есть.

Не все такие правильные как ты.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Re[2]: sudo ws root

В Вто, 09/12/2008 в 23:51 +0300, Konstantin Tokar пишет:
  Предложи другой способ это сделать.  Без необходимости открывать доступ
  снаружи на бэкапящую машину и, следовательно, в локальную сеть.
  Бэкапящая машина еще много для чего используется, и защищена она в
  результате не в пример слабее того сервера.
 
 Положить на машину, которую бэкапим, публичный ключ в рутовый аккаунт,
 и настроить authorized_host для запуска по этому ключу одной
 конкретной команды. Получим тот же эффект. Что-то типа
 
 command=”rdiff-backup –server” ssh-rsa B3Nz[]iNM= [EMAIL PROTECTED]

Один костыль костылее другого.

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

2008-12-10 Пенетрантность Dmitry E. Oboukhov

Grey Fenrir - debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 11:20:51 
+0300:

 GF Доброго времени суток, all.

 GF При очередном обновлении системы aptitude не справился с двумя пакетами:

 GF [EMAIL PROTECTED]:~$ sudo aptitude search python-selinux python-semanage
 GF Cd python-selinux - Python bindings to SELinux shared libraries 
 GF Cp python-semanage - Python bindings  for SELinux policy manipulation

 GF Ругательства dpkg приведены в конце письма.
 GF Как правильно решить проблему?

 GF Заранее благодарен за подсказки

 GF --
 GF Grey Fenrir


 GF sudo dpkg -r --force-all python-selinux
 GF (Чтение базы данных... на данный момент установлено 170583 файлов и
 GF каталогов.) Удаляется пакет python-selinux...
 GF dpkg (подпроцесс): не удалось запустить pre-removal script: Ошибка
 GF формата выполняемого файла dpkg: не удалось обработать параметр
 GF python-selinux (--remove): подпроцесс pre-removal script возвратил код
 GF ошибки 2 dpkg (подпроцесс): не удалось запустить post-installation
 GF script: Ошибка формата выполняемого файла dpkg: ошибка при очистке -
 GF  подпроцесс post-installation script возвратил код ошибки 2
 GF При обработке следующих пакетов произошли ошибки:
 GF  python-selinux

И что из себя представляет этот самый pre-removal script?
(/var/lib/dpkg/info/python-selinux.prerm он должен называться)

Собственно, требуется обеспечить, чтобы он мог выполниться, причем
успешно.  С точки зрения системы хотя бы, но лучше бы содержательно.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

У кошки четыре ноги: ввод, вывод, земля и питание.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

AC Пример. У меня есть сервер в Интернете, и машина в локальной сети,
AC которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh
AC юзером backup по ключу и запускает собственно команду бэкапа, сливающую
AC результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую
AC другую.

AC Предложи другой способ это сделать. Без необходимости открывать доступ
AC снаружи на бэкапящую машину и, следовательно, в локальную сеть.
AC Бэкапящая машина еще много для чего используется, и защищена она в
AC результате не в пример слабее того сервера.
у меня аналогичная задача, но я сделал по другому:

на сервере скрипт бакапа работает сам по себе, складывает все в http-шару
ну а на бакапящем сервере периодами скачивает по http/rsync

архивы бакапа автоматом шифруются gpg-ключем и соответственно
никаких проблем в том что они по открытым беспарольным протоколам
передаются :)

--
... mpd is off

. ''`. Dmitry E. Oboukhov
: :’ : email: [EMAIL PROTECTED] jabber://[EMAIL PROTECTED]
`. `~’ GPGKey: 1024D / F8E26537 2006-11-21
`- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537

signature.asc
Description: Digital signature

Re: sudo ws root

Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
12:02:12 +0300:

AC Предложи другой способ это сделать. Без необходимости открывать доступ
AC снаружи на бэкапящую машину и, следовательно, в локальную сеть.
AC Бэкапящая машина еще много для чего используется, и защищена она в
AC результате не в пример слабее того сервера.
DEO у меня аналогичная задача, но я сделал по другому:

DEO на сервере скрипт бакапа работает сам по себе, складывает все в http-шару
DEO ну а на бакапящем сервере периодами скачивает по http/rsync

DEO архивы бакапа автоматом шифруются gpg-ключем и соответственно
DEO никаких проблем в том что они по открытым беспарольным протоколам
DEO передаются :)

У меня на сервере нет столько ненужного диска. И бэкапы я все же
предпочитаю обратно-инкрементные, что таким способом не получается.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Реляционная база данных - это не единственный способ сделать дурацкий поиск.
Victor Wagner

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

On Wed, 10 Dec 2008 11:49:26 +0300
Artem Chuprina wrote:

  GF При очередном обновлении системы aptitude не справился с двумя
  GF пакетами:
 
  GF [EMAIL PROTECTED]:~$ sudo aptitude search python-selinux
  GF python-semanage Cd python-selinux - Python bindings to SELinux
  GF shared libraries Cp python-semanage - Python bindings  for
  GF SELinux policy manipulation
 
 И что из себя представляет этот самый pre-removal script?
 (/var/lib/dpkg/info/python-selinux.prerm он должен называться)
Ага, теперь буду знать.
в четырёх типа-скриптах python-se{linux,manage}.{postinst,prerm} лежит
текстовый мусор, очень напоминающий вывод dpkg -I по нескольким
(совершенно иным) пакетам.
 
 Собственно, требуется обеспечить, чтобы он мог выполниться, причем
 успешно.  С точки зрения системы хотя бы, но лучше бы содержательно.
Благодарю, помогло. Только при попытке чистки баш неожиданно обругал:
$ sudo echo '#!/bin/sh'  python-selinux.postinst
bash: python-selinux.postinst: Отказано в доступе
Вероятно, проморгал что-то элементарное, но сразу сообразить не могу. 

--
Grey Fenrir


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

On 2008.12.10 at 12:38:28 +0300, Grey Fenrir wrote:

 Благодарю, помогло. Только при попытке чистки баш неожиданно обругал:
 $ sudo echo '#!/bin/sh'  python-selinux.postinst
 bash: python-selinux.postinst: Отказано в доступе
 Вероятно, проморгал что-то элементарное, но сразу сообразить не могу. 

Конечно проморгал.  Операцию переназначения вывода в файл выполнеяет не
команда echo, у которой прав бы хватило, а shell, из которого
запускается команда sudo, у которого прав на этот файл нет.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

2008-12-10 Пенетрантность Чернышов Антон

Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
10:47:01 +0200:

ПК Просто: бэкап на сервере делает ПО от рута в место доступное backup с
ПК соответствующими правами. ПО на машине в локальной сети просто этот
ПК бэкап слизывает под пользователем backup без всяких повышений
ПК привилегий.

1. Диск на сервере не резиновый. Места под бэкапы там нет. Слова
сливающую результат в этот ssh в моем письме были по делу, а не для
красного словца.

2. Обратно-инкрементные бэкапы (то, что дает rdiff-backup или
rsnapshot) по такой схеме делать невозможно.

Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers.
Остальное - его проблемы.

ПК Понятно, что ответственность лежит на Васе, но в целом такая система
ПК *неоправданно* сложнее.

За моим компом пол-офиса может сидеть. Но не под моим логином. У них
на нем свои логины есть.

ПК Не все такие правильные как ты.

Без использования sudo Вася либо может выполнить от рута любую команду
(и следовательно, любую команду может выполнить пол-офиса, ибо если Вася
пускает пол-офиса сидеть под своим аккаунтом, то его пароль эти
пол-офиса тоже знают), либо никакую, в том числе нужную. Такая система,
конечно, проще. Но неработоспособна.

А в нормальной системе Васе, под аккаунтом которого сидит пол-офиса,
дают sudo только на выполнение команд, на которые можно дать sudo всему
офису. То есть когда по техническим причинам привилегия нужна, а по
смыслу - нет. Причем с NOPASSWD, ибо нафига?

А остальные команды обычно покрываются ALL, и разрешаются тем людям,
которые знают, как обращаться с аккаунтом. В результате система
получается очень простая, хотя и ненулевой сложности, зато работающая.

Если работающая - это не оправдание усложнения, то что может быть оправданием?

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Чем отличается свобода от независимости?
Независимость - это когда за тебя не платят.
А свобода - когда за тебя не думают.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

 GF --
 GF Grey Fenrir
 Благодарю, помогло. Только при попытке чистки баш неожиданно обругал:
 $ sudo echo '#!/bin/sh'  python-selinux.postinst
 bash: python-selinux.postinst: Отказано в доступе
 Вероятно, проморгал что-то элементарное, но сразу сообразить не могу.

Можно (и нужно) проверить возможен ли вообще запуск скриптов на данной
файловой системе (/var в данном случае). У меня была похожая ошибка,
когда на /var в /etc/fstab стояла опция noexec. В Вашем случае может
еще SELinux вмешиваться (если включен).

Re: dpkg failure

On Wed, 10 Dec 2008 12:51:34 +0300
Victor Wagner wrote:

 On 2008.12.10 at 12:38:28 +0300, Grey Fenrir wrote:
 
  Благодарю, помогло. Только при попытке чистки баш неожиданно
  обругал: $ sudo echo '#!/bin/sh'  python-selinux.postinst
  bash: python-selinux.postinst: Отказано в доступе
  Вероятно, проморгал что-то элементарное, но сразу сообразить не
  могу. 
 
 Конечно проморгал.  Операцию переназначения вывода в файл выполнеяет
 не команда echo, у которой прав бы хватило, а shell, из которого
 запускается команда sudo, у которого прав на этот файл нет.
Сори, туплю. Наверное ещё не проснулся...

--
Grey Fenrir


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

В Срд, 10/12/2008 в 12:33 +0300, Artem Chuprina пишет:
Dmitry E. Oboukhov - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
12:02:12 +0300:

AC Предложи другой способ это сделать. Без необходимости открывать доступ
AC снаружи на бэкапящую машину и, следовательно, в локальную сеть.
AC Бэкапящая машина еще много для чего используется, и защищена она в
AC результате не в пример слабее того сервера.
DEO у меня аналогичная задача, но я сделал по другому:

DEO на сервере скрипт бакапа работает сам по себе, складывает все в
http-шару
DEO ну а на бакапящем сервере периодами скачивает по http/rsync

У меня на сервере нет столько ненужного диска.

Плохо, если объём данных большой то копирование по сети процесс долгий,
за время копирования что-то может измениться.

И бэкапы я все же
предпочитаю обратно-инкрементные, что таким способом не получается.

Возможно правильный способ для Вас: VPN с машины в локалке на сервер, с
сервера на машину в локалке backupninja(с rdiff-backup) из-под рута в
любого пользователя, или аналогичные схемы.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flash

Dmitri Samsonov пишет:

Игорь Чумак пишет:

Лампочка светится == вынимать нельзя Лампочка не светится ==
вынимать можно Так правильно.

То, что это правильно -- взято из инструкции к флешке или из
изучения принципиальной схемы? (-:

_Было_бы_правильно_. ИМХО ;)

А вот вырубать питание устройства, когда его попросили ТОЛЬКО
отмонтировать -- очевидно неправильно. Потому что по unmount
обесточивать никто не просил. unmount обесточиванием вообще не занимается.

С какой целью человек отмонтировал флешку? Поиграться в mount/unmount
или всё же хочет вытащить?

А использовать критерий мигает-не мигает - нельзя. Мигает == идёт
передача данных == устройство смонтировано == вынимать нельзя Не
мигает == _сейчас_ данные не передаются == смонтировано устройство
или нет - ХЗ == можно вынимать или нет - ХЗ, cat /etc/mtab

В linux. В windows является. Погасить лампочку - это противоречит GPL ? ;)

Поэтому если её хочется принудительно гасить --
простого отмонтирования явно недостаточно.
Для информации о безопасности извлечения -- можно смотреть на
сообщения операционной системы.

Ага, cat /etc/mtab ;) Это что, удобнее, чем просто посмотреть на лампочку?

P.S. Кстати, у меня в etch'е по eject'у лампочка не гаснет.

У меня (lenny) тоже

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

В Срд, 10/12/2008 в 13:34 +0300, Alexey Pechnikov пишет:
 Hello!
 
 В сообщении от Tuesday 09 December 2008 21:58:56 Artem Chuprina написал(а):
  Пример.  У меня есть сервер в Интернете, и машина в локальной сети,
  которая его бэкапит.  В автопилоте.  Она, натурально, идет туда по ssh
  юзером backup по ключу и запускает собственно команду бэкапа, сливающую
  результат в этот ssh.  По sudo без пароля.  Ровно эту команду и никакую
  другую.
 
  Предложи другой способ это сделать.  


 Если нужна _передача информации_, зачем давать доступ 
 к _управлению_ сервером (шелл)?

+1

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

2008-12-10 Пенетрантность DamirX

Alexey Pechnikov wrote:

Предложи другой способ это сделать.

А вот ходить по ключу как раз несекьюрно. Ибо при получении доступа на систему с бэкапами тут же
появляется доступ к основному серверу. Зная современную любовь к php/mysql и прочей дряни, из-под
любого юзера можно натворить что угодно (и уж как минимум открыть непривелигированный порт и
устроить ddos на несколько терабайт и т.п.). Если нужна _передача информации_, зачем давать доступ
к _управлению_ сервером (шелл)?

Доступа к шеллу никто не дает. Читайте внимательно КАК Артем сделал
бэкап. Там всё верно организовано. По крайней мере с применением
имеющихся средств сделать именно так - просто и надёжно.

--
DamirX

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

2008-12-10 Пенетрантность DamirX


Покотиленко Костик wrote:

У меня на сервере нет столько ненужного диска.



Плохо, если объём данных большой то копирование по сети процесс долгий,
за время копирования что-то может измениться.

  
Это совершенно другой вопрос. Во первых: rdiff-* очень бережно 
обращается с каналом через которые передает данные. Во вторых: 
существует LVM и снапшоты (но к теме sudo они не имеют отношения)

И бэкапы я все же
предпочитаю обратно-инкрементные, что таким способом не получается.



Возможно правильный способ для Вас: VPN с машины в локалке на сервер, с
сервера на машину в локалке backupninja(с rdiff-backup) из-под рута в
любого пользователя, или аналогичные схемы.

  

Нормальный способ описан. Простой и работающий.

--
DamirX


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

2008-12-10 Пенетрантность Dmitry E. Oboukhov

Grey Fenrir - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:38:28
+0300:

GF При очередном обновлении системы aptitude не справился с двумя
GF пакетами:

GF [EMAIL PROTECTED]:~$ sudo aptitude search python-selinux
GF python-semanage Cd python-selinux - Python bindings to SELinux
GF shared libraries Cp python-semanage - Python bindings for
GF SELinux policy manipulation

И что из себя представляет этот самый pre-removal script?
(/var/lib/dpkg/info/python-selinux.prerm он должен называться)
GF Ага, теперь буду знать.
GF в четырёх типа-скриптах python-se{linux,manage}.{postinst,prerm} лежит
GF текстовый мусор, очень напоминающий вывод dpkg -I по нескольким
GF (совершенно иным) пакетам.

Требуется принудительный fsck. Если там reiserfs или xfs - немедленно
переформатировать в ext3, и не выпендриваться. (Ну, то есть такое
возможно по разным причинам, но наиболее вероятны приключения от кого-то
из этой парочки.)

Собственно, требуется обеспечить, чтобы он мог выполниться, причем
успешно. С точки зрения системы хотя бы, но лучше бы содержательно.
GF Благодарю, помогло. Только при попытке чистки баш неожиданно обругал:
GF $ sudo echo '#!/bin/sh' python-selinux.postinst
GF bash: python-selinux.postinst: Отказано в доступе
GF Вероятно, проморгал что-то элементарное, но сразу сообразить не могу.

Что проморгал - уже сказали. А вообще в таком раскладе их достаточно
просто удалить. Что они имели в виду, ты уже не узнаешь, а если их
нету, их и не пытаются выполнять.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

2008-12-10 Пенетрантность Alexey Boyko

В сообщении от середа, 10-гру-2008 Artem Chuprina написал(a):

  GF текстовый мусор, очень напоминающий вывод dpkg -I по нескольким
  GF (совершенно иным) пакетам.
 
 Требуется принудительный fsck.  Если там reiserfs или xfs - немедленно
 переформатировать в ext3, и не выпендриваться.  (Ну, то есть такое
 возможно по разным причинам, но наиболее вероятны приключения от кого-то
 из этой парочки.)

У reiserfs такого нету, а xfs забивает нулями а не мусором.

-- 
JID: alexey#boyko,km,ua

Re: sudo ws root

  То есть когда по техническим причинам привилегия нужна, а по
 смыслу - нет.

ПК Мне так и не подсказали случаев где решение возможно только в помощью
ПК sudo. Мне почему-то кажется, что таких нет. Давайте разберёмся когда
ПК техническим причинам привилегия нужна?
sudo удобен когда группами доступ к исполняемому файлу не разрулить

например взять какой-либо nmap или ping имеющий в том числе и рутовые опции.

если идти от suid бита то если мы его ставим и nmap уже всегда работает
от рута

сразу возникает вопрос а как ограничить в доступе пользователей которым
нельзя давать рутовые опции, но при этом надо давать доступ к программе?

если от стандартного пути идти то начинается возня с скриптами проверяющими
группы, двумя suid-не-suid копиями программы итп
это все вступает в противоречие с пакетным менеджером, который на обновлениях
норовит сбросить suid итп

а с sudo это просто описываем группу пользователей которым разрешено пускать
nmap через sudo и все :)
причем контроль разных вариантов тут в одном месте, в _конфиге_


PS: еще видел описанный пример по моему ppp-соединения через нестандартный 
канал, не помню точно как это было, но суть была в том что некий псевдоюзер
(программа) могла установить соединение и затем создать на базе этого
соединения сетевой интерфейс. вот ей прописывали разрешение через sudo
пускать pppd.

PS: а вот когда sudo'й заменять пытаются su, вот тогда и траблы -
инструмент применяется не по назначению.

--
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: [EMAIL PROTECTED] jabber://[EMAIL PROTECTED]
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: Индикатор на USB flas h

2008-12-10 Пенетрантность Alexander Danilov

Artem Chuprina пишет:

Игорь Чумак - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:44:29
+0200:

ИЧ С какой целью человек отмонтировал флешку? Поиграться в mount/unmount или всё

ИЧ же хочет вытащить?

Перемонтировать с другими параметрами. Отличными от умолчательных,
установленных при автомонтировании каким-нибудь usbmount'ом при
втыкании. Поэтому вырубать питание не предлагать - при врубании оно
опять подцепит с умолчательными.

Это называется режим поиграться ;).

А использовать критерий мигает-не мигает - нельзя. Мигает == идёт
передача данных == устройство смонтировано == вынимать нельзя Не
мигает == _сейчас_ данные не передаются == смонтировано устройство или нет -
ХЗ == можно вынимать или нет - ХЗ, cat /etc/mtab

Насколько я понимаю, использование лампочки флешки в качестве признака
возможности безопасного вынимания -- является нестандартным
применением этой лампочки. Ибо она вовсе не является признаком
примонтированности.
ИЧ В linux. В windows является. Погасить лампочку - это противоречит GPL ? ;)

В Windows простые вещи делаются просто, а сложные - вообще никак.

В применении к лампочке на флешке что это должно означать?

Если все твои задачи простые - либо пользуйся Windows, либо смирись с
тем, что нам нужна возможность с умеренными трудозатратами решать и
сложные задачи, даже если эта возможность приводит тебя к некоторым
неудобствам.

Какую _архисложную_ задачу позволяет решить неотключение питание флешки
при eject'е? (ладно , unmount таки не обязан отключать питание)
Да, стандарт USB _позволяет_ отключать устройство без отключения
питания. Но отключать питание он ведь не запрещает?

ИЧ Ага, cat /etc/mtab ;) Это что, удобнее, чем просто посмотреть на лампочку?

cat /etc/mtab можно автоматизировать. Будет да, удобнее.

У..
Гипотетическая ситуация: возле системного блока, куда втыкнута флешка,
монитора нет совсем...

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: AMD64 kernel vs Mysql 5.1

2008-12-10 Пенетрантность Dmitriy Sirant

10.12.2008 12:36, Oleg Anisimov (Олег Анисимов) пишет:

Dmitriy Sirant пишет:

Добрый день

Знакомый получил новый сервер (2 x Xeon 5xxx, 8Gb RAM) под биллинг. На
сервере будет одна задача крутится - Mysql 5.x. Правильно ли я
понимаю, что это как-раз тот случай, когда есть необходимость
выделения 4Gb памяти под один процесс, а следовательно есть смысл
использовать 64 битную ось и ядро ?

Если первое утверждение верно - есть ли у кого опыт работы с сильно
нагруженым Mysql на 64 битной ос (базы около 50 Gb).

Имеем машинку именно под биллинг на четырех Dual-Core AMD Opteron(tm)
Processor 8214.
На борту 32 гига рамы.
# uname -r
2.6.24-1-amd64-route

# mysql -V
mysql Ver 14.12 Distrib 5.0.51a, for debian-linux-gnu (x86_64) using
readline 5.2

innodb_buffer_pool_size = 16000M

В top-е:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
26760 mysql 20 0 24.6g 22g 6580 S 143 70.2 37283:03 mysql

# uptime
13:34:18 up 176 days, 5:07, 4 users, load average: 2.22, 2.35, 2.42

И такой аптайм практически всегда. не зависит от времени суток (нагрузки
на биллинг).

Обнадеживает. Спасибо.

P.S. Понимаю, что возможно есть более правильные SQL, но биллинг уже
куплен несколько лет назад и с ним уже успели намучаться вдоволь, а он
работает именно с MySQL.

Спасибо

А кто сказал что хороший биллинг не может быть на mysql? 8)

Все вместе эти слова не произносились, но все что слышал в этой рассылке
отдельно про mysql и отдельно про биллинг если сложить то получится то
утверждение, что я написал :)

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flash

2008-12-10 Пенетрантность vanessa


Dmitri Samsonov wrote:

P.S. Кстати, у меня в etch'е по eject'у лампочка не гаснет.

--
 Dmitri Samsono
Проверил в ubuntu и Lenny, после eject'а лампочка не гаснет. флешка - 
Transcend JF V33



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Проблема с сетевыми к артами


Роман Кисилев пишет:

Здравствуйте All!

Суть проблемы в следующем. Есть сервер под Lenny. В нем стоят 2 сетевые 
карты 3Com.

После загрузки обе становятся в режим 10mbit half duplex.
lspci выдает следующее:
00:00.0 Host bridge: Intel Corporation 82865G/PE/P DRAM 
Controller/Host-Hub Interface (rev 02)
00:02.0 VGA compatible controller: Intel Corporation 82865G Integrated 
Graphics Controller (rev 02)
00:1d.0 USB Controller: Intel Corporation 82801EB/ER (ICH5/ICH5R) USB 
UHCI Controller #1 (rev 02)
00:1d.7 USB Controller: Intel Corporation 82801EB/ER (ICH5/ICH5R) USB2 
EHCI Controller (rev 02)

00:1e.0 PCI bridge: Intel Corporation 82801 PCI Bridge (rev c2)
00:1f.0 ISA bridge: Intel Corporation 82801EB/ER (ICH5/ICH5R) LPC 
Interface Bridge (rev 02)
00:1f.1 IDE interface: Intel Corporation 82801EB/ER (ICH5/ICH5R) IDE 
Controller (rev 02)
00:1f.3 SMBus: Intel Corporation 82801EB/ER (ICH5/ICH5R) SMBus 
Controller (rev 02)
01:05.0 Ethernet controller: Intel Corporation 82557/8/9/0/1 Ethernet 
Pro 100 (rev 10)

01:0d.0 PCI bridge: Intel Corporation 21152 PCI-to-PCI Bridge
02:06.0 Ethernet controller: 3Com Corporation 3c905C-TX/TX-M [Tornado] 
(rev 78)
02:07.0 Ethernet controller: 3Com Corporation 3c905C-TX/TX-M [Tornado] 
(rev 78)


lsmod следующее:
...
3c59x  41320  0
uhci_hcd   22960  0
ehci_hcd   30796  0
floppy 54884  0
e100   33644  0
mii 5280  2 3c59x,e100
...

Пробовал утилиты ethtool и mii-tool эффект нулевой.
Подскажите куда копать?



modinfo 3c59x
читать, пробовать


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flash

2008-12-10 Пенетрантность Dmitri Samsonov

Игорь Чумак пишет:
Лампочка светится == вынимать нельзя Лампочка не светится ==
вынимать можно Так правильно.

То, что это правильно -- взято из инструкции к флешке или из
изучения принципиальной схемы? (-:

Насколько я понимаю, использование лампочки флешки в качестве признака
возможности безопасного вынимания -- является нестандартным
применением этой лампочки. Ибо она вовсе не является признаком
примонтированности. Поэтому если её хочется принудительно гасить --
простого отмонтирования явно недостаточно.
Для информации о безопасности извлечения -- можно смотреть на
сообщения операционной системы.

P.S. Кстати, у меня в etch'е по eject'у лампочка не гаснет.

--
Dmitri Samsonov

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

2008-12-10 Пенетрантность Иван Лох

On Wed, Dec 10, 2008 at 12:45:29PM +0200, Покотиленко Костик wrote:
 
 +1

Если Вам есть, что сказать -- говорите.
Нечего -- идите на избирательный участок.
Здесь, то зачем в извращенной форме самовыражаться?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

2008-12-10 Пенетрантность Eugene V. Lyubimkin

Иван Лох wrote:
 On Wed, Dec 10, 2008 at 12:45:29PM +0200, Покотиленко Костик wrote:
 +1
 
 Если Вам есть, что сказать -- говорите.
 Нечего -- идите на избирательный участок.
 Здесь, то зачем в извращенной форме самовыражаться?
/me протестует...

-- 
Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com
Ukrainian C++ Developer, Debian APT contributor



signature.asc
Description: OpenPGP digital signature

Re: Индикатор на USB flas h

2008-12-10 Пенетрантность Oleg Anisimov (Олег Анисимов)


[EMAIL PROTECTED] пишет:


 Информация к размышлению:
 /usr/share/doc/linux-doc-2.6.24/Documentation/usb/power-management.txt.gz 



 И в стандартном debian ядре:
 # CONFIG_USB_SUSPEND is not set

 Ю.

Спасибо!!

--



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: AMD64 kernel vs Mysql 5.1

Dmitriy Sirant пишет:

Добрый день

Если первое утверждение верно - есть ли у кого опыт работы с сильно
нагруженым Mysql на 64 битной ос (базы около 50 Gb).
Имеем машинку именно под биллинг на четырех Dual-Core AMD Opteron(tm)
Processor 8214.

На борту 32 гига рамы.
# uname -r
2.6.24-1-amd64-route

# mysql -V
mysql Ver 14.12 Distrib 5.0.51a, for debian-linux-gnu (x86_64) using
readline 5.2

innodb_buffer_pool_size = 16000M

В top-е:
PID USER PR NI VIRT RES SHR S %CPU %MEMTIME+ COMMAND
26760 mysql 20 0 24.6g 22g 6580 S 143 70.2 37283:03 mysql

# uptime
13:34:18 up 176 days, 5:07, 4 users, load average: 2.22, 2.35, 2.42

И такой аптайм практически всегда. не зависит от времени суток (нагрузки
на биллинг).

Спасибо

А кто сказал что хороший биллинг не может быть на mysql? 8)

--
--
С наилучшими пожеланиями,
Олег Анисимов AKA Yoda

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Hello!

В сообщении от Tuesday 09 December 2008 21:58:56 Artem Chuprina написал(а):
Пример. У меня есть сервер в Интернете, и машина в локальной сети,
которая его бэкапит. В автопилоте. Она, натурально, идет туда по ssh
юзером backup по ключу и запускает собственно команду бэкапа, сливающую
результат в этот ssh. По sudo без пароля. Ровно эту команду и никакую
другую.

Предложи другой способ это сделать.

Например, делать периодически шифрованные бэкапы, и выкладывать их по http.
Веб-сервер может слушать
виртуальный хост, не прописанный в днс, как говорится, во избежание. Взлом
машины с бэкапами,
которая защищена ... не в пример слабее того сервера не приводит к утечке
данных.

А вот ходить по ключу как раз несекьюрно. Ибо при получении доступа на систему
с бэкапами тут же
появляется доступ к основному серверу. Зная современную любовь к php/mysql и
прочей дряни, из-под
любого юзера можно натворить что угодно (и уж как минимум открыть
непривелигированный порт и
устроить ddos на несколько терабайт и т.п.). Если нужна _передача информации_,
зачем давать доступ
к _управлению_ сервером (шелл)?

Best regards, Alexey.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flash

В Срд, 10/12/2008 в 13:27 +0300, Dmitri Samsonov пишет:
 Игорь Чумак пишет:
  Лампочка светится == вынимать нельзя Лампочка  не светится ==
  вынимать можно Так правильно.
 
   То, что это правильно -- взято из инструкции к флешке или из
 изучения принципиальной схемы? (-:
 
   А вот вырубать питание устройства, когда его попросили ТОЛЬКО
 отмонтировать -- очевидно неправильно. Потому что по unmount
 обесточивать никто не просил. unmount обесточиванием вообще не занимается.

USB для извлечения в обесточивании по стандарту не нуждается, в
реализациях бывает всякое...

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flash

Игорь Чумак - debian-russian@lists.debian.org @ Wed, 10 Dec 2008 12:44:29
+0200:

ИЧ С какой целью человек отмонтировал флешку? Поиграться в mount/unmount или
всё
ИЧ же хочет вытащить?

А использовать критерий мигает-не мигает - нельзя. Мигает == идёт
передача данных == устройство смонтировано == вынимать нельзя Не
мигает == _сейчас_ данные не передаются == смонтировано устройство или нет -
ХЗ == можно вынимать или нет - ХЗ, cat /etc/mtab

В Windows простые вещи делаются просто, а сложные - вообще никак.
Если все твои задачи простые - либо пользуйся Windows, либо смирись с
тем, что нам нужна возможность с умеренными трудозатратами решать и
сложные задачи, даже если эта возможность приводит тебя к некоторым
неудобствам.

ИЧ Ага, cat /etc/mtab ;) Это что, удобнее, чем просто посмотреть на лампочку?

cat /etc/mtab можно автоматизировать. Будет да, удобнее.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

When C++ is your hammer, everything looks like a thumb
-- Latest seen from Steven M. Haflich, in c.l.l

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

В Срд, 10/12/2008 в 12:31 +0300, Artem Chuprina пишет:
Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
10:47:01 +0200:

Получим. Если у нас имеется несколько юзеров, которым разрешено sudo
ALL, то при увольнении одного из них нужно только deluser сделать.
А если бы использовалось su, то пришлось бы менять рутовый пароль и
всем
остальным админам заучивать новый.

ПК Народ, объясните мне пожалуйста зачем в Линуксе может понадобиться
ПК временное превышение полномочий, как тут кто-то недавно сказал??? Я
ПК вообще ни ситуации такой представить не могу ни смысл самого понятия
не
ПК могу понять. Кроме конечно того, что это такой себе мега-костыль.

2. Обратно-инкрементные бэкапы (то, что дает rdiff-backup или
rsnapshot) по такой схеме делать невозможно.

Если загвоздка в том, что не хочется делать коннект Сервер-Бэкап,
решение я написал другим письмом: VPN Бэкап-Сервер, rdiff-backup
Сервер-Бэкап через VPN.

ПК Я понимаю так, что если тебе иногда надо выполнять команды с другими
ПК привилегиями - меняй привилегии с подтверждением их обладания (su), в
ПК остальных случаях права правильно надо настраивать. Иначе
отслеживать у
ПК кого какие привилегии РЕАЛЬНО могут быть очень тяжело, эвристический
ПК анализ нужен: Вася может рутом выполнять некоторые команды, Петя
имеет
ПК ssh доступ к Васе по ключам без пароля, пол офиса Васи иногда сидит
за
ПК компом Васи..., и, РЕАЛЬНО рутом выполнять некоторые команды уже
может
ПК пол страны.

Похрен. Яйца отрывать будем Васе. Вместе с записями в sudoers.
Остальное - его проблемы.

ПК Понятно, что ответственность лежит на Васе, но в целом такая система
ПК *неоправданно* сложнее.

За моим компом пол-офиса может сидеть. Но не под моим логином. У них
на нем свои логины есть.

ПК Не все такие правильные как ты.

То есть когда по техническим причинам привилегия нужна, а по
смыслу - нет.

Мне так и не подсказали случаев где решение возможно только в помощью
sudo. Мне почему-то кажется, что таких нет. Давайте разберёмся когда
техническим причинам привилегия нужна?

Если работающая - это не оправдание усложнения, то что может быть
оправданием?

Оправдание. Только если есть несколько вариантов сделать систему
работающей, почему бы не выбрать тот, который: тянет меньше
последствий, предрасполагает к дисциплине, потенциально менее опасен?
При всём при этом sudo *может* быть более простым вариантом в
первоначальной настройки, если не принимать во внимание последующее
обслуживание.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Индикатор на USB flas h

2008-12-10 Пенетрантность yuri . nefedov



 Информация к размышлению:
 /usr/share/doc/linux-doc-2.6.24/Documentation/usb/power-management.txt.gz

 И в стандартном debian ядре:
 # CONFIG_USB_SUSPEND is not set

 Ю.

Re: Индикатор на USB flash

2008-12-10 Пенетрантность Dmitriy Sirant


10.12.2008 14:39, vanessa пишет:

Dmitri Samsonov wrote:

P.S. Кстати, у меня в etch'е по eject'у лампочка не гаснет.

--
Dmitri Samsono

Проверил в ubuntu и Lenny, после eject'а лампочка не гаснет. флешка -
Transcend JF V33




Проверил MacOS X Leopard - лампочка не гаснет :)


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: dpkg failure

On Wed, 10 Dec 2008 14:15:03 +0300
Artem Chuprina wrote:

GF в четырёх типа-скриптах python-se{linux,manage}.{postinst,prerm}
GF лежит текстовый мусор, очень напоминающий вывод dpkg -I по
GF нескольким (совершенно иным) пакетам.

Требуется принудительный fsck.
Сделано, но без результатов. Всё так хорошо, что даже подозрительно.
Был бы суеверный - ужо искал бы чёрных кошек...

Если там reiserfs или xfs - немедленно
переформатировать в ext3, и не выпендриваться.
Нарекания на райзер уже слышал. Но вероятно пока сам не обожгусь - не
слезу ))
Да, бажная система вся на ext3. workstation, без упса. Жутко критичных
данных нету, но бэкапы делаются...

Что проморгал - уже сказали. А вообще в таком раскладе их достаточно
просто удалить. Что они имели в виду, ты уже не узнаешь, а если их
нету, их и не пытаются выполнять.
понял.

--
Grey Fenrir

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Покотиленко Костик - debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 
12:44:02 +0200:

 ПК Возможно правильный способ для Вас: VPN с машины в локалке на
 ПК сервер, с сервера на машину в локалке backupninja(с rdiff-backup)
 ПК из-под рута в любого пользователя, или аналогичные схемы.

Это - дыра в локалку.  Причем довольно толстая дыра.  Тут взлом сервера
сразу приводит к получению локального юзера на машине в локалке.  И,
следовательно, возможности пробовать local exploit.  Доктор, оно мне
надо?  Или свою претензию к временному повышению привилегий ты все-таки
начнешь с модели угроз?  (Да там и закончишь, прямо скажем - как только
ты ее распишешь, тебе же все сразу станет гораздо понятнее...)

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

mv /dev/rookie /dev/hands


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
12:56:25 +0200:

ПК Если загвоздка в том, что не хочется делать коннект Сервер-Бэкап,
ПК решение я написал другим письмом: VPN Бэкап-Сервер, rdiff-backup
ПК Сервер-Бэкап через VPN.

Я там ответил конкретно, а тут отвечу абстрактно. Ты предложил коннект
Сервер-Бэкап. От того, что он делается через VPN, он не перестает быть
коннектом Сервер-Бэкап.

То есть когда по техническим причинам привилегия нужна, а по
смыслу - нет.

ПК Мне так и не подсказали случаев где решение возможно только в
ПК помощью sudo. Мне почему-то кажется, что таких нет. Давайте
ПК разберёмся когда техническим причинам привилегия нужна?

Всегда возможно сделать решение, которое обойдется без sudo. Не
вопрос. Вопрос в том, какова будет цена этого решения, по сравнению с
ценой решения на sudo, в интересующих нас параметрах, в первую очередь
сложность и безопасность. Вон вышеприведенное тобой решение с VPN - оно
и сложнее, и опаснее. Хотя возможно, не вопрос...

Если работающая - это не оправдание усложнения, то что может быть
оправданием?

ПК Оправдание. Только если есть несколько вариантов сделать систему
ПК работающей, почему бы не выбрать тот, который: тянет меньше
ПК последствий, предрасполагает к дисциплине, потенциально менее опасен?

Ну, для начала ты все же говорил о неоправданном _усложнении_. Впрочем,
sudo еще и больше предрасполагает к дисциплине, и менее опасен. Если
таки проанализировать всю модель угроз, а не те полтора следствия,
которые кто-то случайно заметил.

ПК При всём при этом sudo *может* быть более простым вариантом в
ПК первоначальной настройки, если не принимать во внимание последующее
ПК обслуживание.

И в обслуживании тоже. Чтобы отобрать у человека права на конкретной
машине, мне достаточно вычистить его из sudoers. Если у него там su,
т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить
его всем, кому его положено знать. Если это более простой вариант, то
что такое более сложный?

Если мне надо дать возможность (плюс-минус любому) юзеру передернуть,
допустим, принт-сервер, я пишу скрипт и пишу в sudoers

%users (ALL) = NOPASSWD: /that/script

Покажи мне более простое и не более опасное решение.

Впрочем, нафига я это тебе объясняю?..

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

HTTP тоже не каждый дятел может сделать. Только дятлы об этом обычно не знают.
Victor Wagner в [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Hello!

В сообщении от Wednesday 10 December 2008 12:33:26 Artem Chuprina написал(а):
  DEO у меня аналогичная задача, но я сделал по другому:

  DEO на сервере скрипт бакапа работает сам по себе, складывает все в
 http-шару DEO ну а на бакапящем сервере периодами скачивает по http/rsync

  DEO архивы бакапа автоматом шифруются gpg-ключем и соответственно
  DEO никаких проблем в том что они по открытым беспарольным протоколам
  DEO передаются :)

 У меня на сервере нет столько ненужного диска.  И бэкапы я все же
 предпочитаю обратно-инкрементные, что таким способом не получается.

Зачем много места? С помощью rdiff достаточно сигнатуры базисного файла, чтобы 
посчитать дельту 
изменений. diff-файл получается поболее, чем у простого diff, но один в другой 
можно преобразовать, 
помнится, в рассылке rdiff этот вопрос обсуждался, хотя у большинства 
пользователей и 
разработчиков, как я понимаю, отношение скептическое к такому способу 
оптимизации. 

Best regards, Alexey.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Hello!

В сообщении от Wednesday 10 December 2008 18:33:56 Artem Chuprina написал(а):
И в обслуживании тоже. Чтобы отобрать у человека права на конкретной
машине, мне достаточно вычистить его из sudoers. Если у него там su,
т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить
его всем, кому его положено знать. Если это более простой вариант, то
что такое более сложный?

Периодически менять рутовый пароль только при использовании sudo и получается,
ибо только один
человек должен знать этот самый пароль (а если рутовый вход запрещен и система
удаленная, то
рутовый пароль может никто не знать).

Плюс при использовании sudo мы точно знаем, от какого пользователя выполняется
команда - sudo
что-то там практически гарантирует отсутствие ошибок, в отличие от другого
варианта - при вводе
каждой команды смотреть на приглашение командной оболочки, чтоб не перепутать
рутовую и юзерскую
консоли.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Alexey Pechnikov - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
13:34:12 +0300:

Предложи другой способ это сделать.

AP Например, делать периодически шифрованные бэкапы, и выкладывать их
AP по http. Веб-сервер может слушать виртуальный хост, не прописанный
AP в днс, как говорится, во избежание. Взлом машины с бэкапами,
AP которая защищена ... не в пример слабее того сервера не приводит
AP к утечке данных.

AP А вот ходить по ключу как раз несекьюрно. Ибо при получении доступа
AP на систему с бэкапами тут же появляется доступ к основному
AP серверу.

На систему с бэкапами доступ по условию получить сложнее. Проще только
из локалки. Но в локалке более доверенный народ, и там, в случае чего,
разберемся административно.

AP Зная современную любовь к php/mysql и прочей дряни,

Ахха, выкладывать по http... Зная современную любовь к php и прочей
дряни, тот веб-сервер, на который выложен быкап, собственно, и будет
взломан. Быкап, конечно, его шифрованность спасет (до следующего
быкапа, где будет использован подмененный ключ), а сервер - вот он...

AP из-под любого юзера можно натворить что угодно (и уж как минимум
AP открыть непривелигированный порт и устроить ddos на несколько
AP терабайт и т.п.). Если нужна _передача информации_, зачем давать
AP доступ к _управлению_ сервером (шелл)?

man sshd
/AUTHORIZED_KEYS FILE FORMAT
/command=

и медитировать до просветления.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Хакинг и кракинг ульев с последующим чавкингом мёда, безусловно, является злым
розыгрышем. Особенно с точки зрения пасечника.
-- http://knjazna.livejournal.com/44647.html?thread=630375#t630375

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root


Twas brillig at 19:01:53 10.12.2008 UTC+03 when [EMAIL PROTECTED] did gyre and 
gimble:

 AC Ахха, выкладывать по http...  Зная современную любовь к php и
 AC прочей дряни, тот веб-сервер, на который выложен быкап, собственно,
 AC и будет взломан.

Это, извиняюсь, раздолбайство обычное, махровое. Никто не мешает апачём
вообще без модулей раздавать. Так что - не туда плюёте, товарищ.

--

Re: sudo ws root

В Срд, 10/12/2008 в 18:20 +0300, Artem Chuprina пишет:
Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
12:44:02 +0200:

ПК Возможно правильный способ для Вас: VPN с машины в локалке на
ПК сервер, с сервера на машину в локалке backupninja(с rdiff-backup)
ПК из-под рута в любого пользователя, или аналогичные схемы.

Это - дыра в локалку. Причем довольно толстая дыра. Тут взлом сервера
сразу приводит к получению локального юзера на машине в локалке. И,
следовательно, возможности пробовать local exploit.

Начнём с того, что я считал в этой задаче важность сервера прилично выше
важности компьютера в локальной сети, поэтому взлом сервера считаю
полным провалом системы безопасности.

Доктор, оно мне
надо? Или свою претензию к временному повышению привилегий ты все-таки
начнешь с модели угроз? (Да там и закончишь, прямо скажем - как только
ты ее распишешь, тебе же все сразу станет гораздо понятнее...)

Возможно и начну, если въеду чем и при каких условиях это лучше. Вопросы
я начал задавать не из вредности, а потому, что мало об этом знаю и мне
интересно.

По поводу того способа с бэкапом по ssh: я раньше тоже так делал, и
скрипты писал. Постепенно стал переходить в плоскость пользования
стандартными инструментами, так как и грабли там стандартные. Под каждую
задачку придумывать системку безопасности - сложнее не провтыкать. Надо
бэкап - есть средства, надо транспорт - есть средства. Пусть openvpn
сложнее по сути в настройке, чем ssh канал, но это только когда ты
первый раз это делаешь, потом это даже проще.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: GPRS-USB модемы из короб ки работающие с Lenny


Twas brillig at 19:37:33 10.12.2008 UTC+03 when [EMAIL PROTECTED] did gyre and 
gimble:

 КЕ Прошу посоветовать USB-GPRS-модемы корректно работающие в Lenny (по
 КЕ вашей практике).

ZTE MF626 не из коробки, но теперь без проблем:
http://blog.dottedmag.net/2008/12/10/mf626-debian/

--

Re: sudo ws root

Mikhail Gusarov - debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 22:07:22 
+0600:

 AC Ахха, выкладывать по http...  Зная современную любовь к php и
 AC прочей дряни, тот веб-сервер, на который выложен быкап,
 AC собственно, и будет взломан.

 MG Это, извиняюсь, раздолбайство обычное, махровое. Никто не мешает
 MG апачём вообще без модулей раздавать. Так что - не туда плюёте,
 MG товарищ.

А если у нас любви к php нету, то откуда будет изначальная угроза через
php?  Привет фигурному квотингу, ага.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Рюмку взял - паяльник положил


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Twas brillig at 20:02:37 10.12.2008 UTC+03 when [EMAIL PROTECTED] did gyre and 
gimble:

 AC А если у нас любви к php нету, то откуда будет изначальная угроза
 AC через php? Привет фигурному квотингу, ага.

В этот раз - привет скорингу. Извиняюсь :)

-- 


pgpl0Sz06Z7Xf.pgp
Description: PGP signature

Re: sudo ws root

Alexey Pechnikov - debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 
18:35:39 +0300:

   DEO у меня аналогичная задача, но я сделал по другому:
 
   DEO на сервере скрипт бакапа работает сам по себе, складывает все в
  http-шару DEO ну а на бакапящем сервере периодами скачивает по http/rsync
 
   DEO архивы бакапа автоматом шифруются gpg-ключем и соответственно
   DEO никаких проблем в том что они по открытым беспарольным протоколам
   DEO передаются :)
 
  У меня на сервере нет столько ненужного диска.  И бэкапы я все же
  предпочитаю обратно-инкрементные, что таким способом не получается.

 AP Зачем много места?

Для хотя бы одного комплекта полного бэкапа.  По условию складывает все
в http-шару.

 AP С помощью rdiff достаточно сигнатуры базисного файла, чтобы
 AP посчитать дельту изменений. diff-файл получается поболее, чем у
 AP простого diff, но один в другой можно преобразовать, помнится, в
 AP рассылке rdiff этот вопрос обсуждался, хотя у большинства
 AP пользователей и разработчиков, как я понимаю, отношение
 AP скептическое к такому способу оптимизации.

Вообще я бы с удовольствием совместил rdiff-backup с gpg-шифрованием,
если оно на это способно...  На данный момент единственное, что меня не
удовлетворяет в этом бэкапе - это то, что он не зашифрован.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Творить - не делать! (c)Элхэ Ниеннах


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root


Twas brillig at 20:07:17 10.12.2008 UTC+03 when [EMAIL PROTECTED] did gyre and 
gimble:

 AC Вообще я бы с удовольствием совместил rdiff-backup с
 AC gpg-шифрованием, если оно на это способно...  На данный момент
 AC единственное, что меня не удовлетворяет в этом бэкапе - это то, что
 AC он не зашифрован.

duplicity.

--

Re: sudo ws root

2008-12-10 Пенетрантность Кабанов Евгений

В Срд, 10/12/2008 в 18:33 +0300, Artem Chuprina пишет:
Покотиленко Костик - debian-russian@lists.debian.org @ Wed, 10 Dec 2008
12:56:25 +0200:

Я предложил этот вариант, так как мне показалось ты не хочешь/можешь
пробросить порт со шлюза локалки на комп в локалке, иначе же, конечно,
rdiff-backup по ssh с сервера на комп в локалке от рута на обычного
пользователя проще. И без всяких sudo и vpn.

Скажи прямо, почему угробить сервер (вариант со взломом) - хрен с ним, а
получить пользователя на компе, который бэкапы хранит - недопустимо?

Я почему-то считаю, что в рамках нормальной рабочей жизни сервера,
производить соединения сервер-куда-нибудь безопаснее, чем
от-куда-нибудь-сервер, хотя и ловлю себя на мысли, что не могу
объяснить почему.

То есть когда по техническим причинам привилегия нужна, а по
смыслу - нет.

Если интересно, давай продолжим сравнивать, мне интересно.

Если работающая - это не оправдание усложнения, то что может быть
оправданием?

Давай анализировать.

Вопрос про su не стоит, su - это рут, на нём и ответственность. Sudo -
это недо-рут, и ответственность на нём [какая на нём ответственность?].

По определению, если ты даёшь кому-то рута, ты ему доверяешь систему.
Если ты даёшь команду под sudo - не думаю, что ты ему доверяешь, иначе
дал бы рута.

Давая команду под sudo, какую ответственность ты налагаешь? Боюсь, что
никакую, ибо облом держать таблицу ответственностей с галочками напротив
каждой исполняемой команды.

%users (ALL) = NOPASSWD: /that/script

Покажи мне более простое и не более опасное решение.

По моему проще разобраться, и сделать так чтобы не надо было
передёргивать. Решение, конечно, с виду не простое, но... если каждому
давать... запутаешься когда-нибудь... Не ты, так твой коллега, когда ты
в отпуске будешь. В итоге, может и проще оказаться.

Впрочем, нафига я это тебе объясняю?..

Пошли эмоции, не хочешь не объясняй.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: GPRS-USB модемы из короб ки работающие с Lenny

Спасибо!
On Wed, 10 Dec 2008 22:57:44 +0600
Mikhail Gusarov [EMAIL PROTECTED] wrote:

 
 Twas brillig at 19:37:33 10.12.2008 UTC+03 when [EMAIL PROTECTED]
 did gyre and gimble:
 
  КЕ Прошу посоветовать USB-GPRS-модемы корректно работающие в Lenny
 (по КЕ вашей практике).
 
 ZTE MF626 не из коробки, но теперь без проблем:
 http://blog.dottedmag.net/2008/12/10/mf626-debian/
 
 -- 


-- 
С уважением, Евгений
folkboat.ru


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: GPRS-USB модемы из короб ки работающие с Lenny

2008-12-10 Пенетрантность Кабанов Евгений

А кроме билайновской симки туда ещё что-то можно вставлять (МТС,
Мегафон, иностранные операторы)?

On Wed, 10 Dec 2008 22:57:44 +0600
Mikhail Gusarov [EMAIL PROTECTED] wrote:

 
 Twas brillig at 19:37:33 10.12.2008 UTC+03 when [EMAIL PROTECTED]
 did gyre and gimble:
 
  КЕ Прошу посоветовать USB-GPRS-модемы корректно работающие в Lenny
 (по КЕ вашей практике).
 
 ZTE MF626 не из коробки, но теперь без проблем:
 http://blog.dottedmag.net/2008/12/10/mf626-debian/
 
 -- 


-- 
С уважением, Евгений
folkboat.ru


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: GPRS-USB модемы из короб ки работающие с Lenny


Twas brillig at 20:02:11 10.12.2008 UTC+03 when [EMAIL PROTECTED] did gyre and 
gimble:

 КЕ А кроме билайновской симки туда ещё что-то можно вставлять (МТС,
 КЕ Мегафон, иностранные операторы)?

Можно, залочка там на уровне виндовозно/макосёвой программы
реализована.

--

Re: sudo ws root

В Срд, 10/12/2008 в 20:10 +0300, Alexey Pechnikov пишет:
Hello!

В сообщении от Wednesday 10 December 2008 19:08:17 Покотиленко Костик
написал(а):
VPN это отдельная печальная история и может создать намного больше
проблем, чем вариант с ssh.

Например?

Начиная от проблем с безопасностью

Помню только одну проблему с безопасностью, которая и ssh касалась, т.к.
ода используют openssl.

и заканчивая настройкой с учетом параметров маршрутизаторов на
пути траффика - приходится эмпирически параметры подбирать, как уж там, mtu
вроде и проч.

Вы про что? Не слышал такого.

Не
говоря уже о создании сети более-менее сложной топологии, когда продакшен
и бэкапных серверов более чем по одному каждого и они в разных сетях,
причем каждый бэкапный может обращаться более чем к одному продакшен и
даже к другим бэкапным.

В чем загвоздка?

VPN сделан для схемы 1 сервер - много клиентов. А если есть десяток серверов
VPN, каждый со своей
подсетью, и нужно с клиента одной подсети получить доступ к клиенту другой? А
если сервер VPN
недоступен? И т.п.

Давайте оговоримся, как я уже выше написал, VPN я предложил для решения
не той проблемы. VPN, не для всех ситуаций одинаково хорош. Но с
клиента одной подсети получить доступ к клиенту другой не сложно, если
знаешь ccd, route, iroute... Это, конечно, усложняется тем, что надо
адресацию глобально продумывать, но с этого всегда *начинать* надо.

P.S. в личку специально или случайно?

Случайно. Жал как обычно R в kmail, видно, в вашем письме заголовки как-то
нестандартно стояли.

Опять в личку. Но раз случайно, я копирую в список.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

В Срд, 10/12/2008 в 16:14 +0300, Иван Лох пишет:
 On Wed, Dec 10, 2008 at 12:45:29PM +0200, Покотиленко Костик wrote:
  
  +1
 
 Если Вам есть, что сказать -- говорите.
 Нечего -- идите на избирательный участок.
 Здесь, то зачем в извращенной форме самовыражаться?

Вы про что? Про -+1+я тоже?

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

Hello!

В сообщении от Wednesday 10 December 2008 19:07:22 Mikhail Gusarov написал(а):
  AC Ахха, выкладывать по http...  Зная современную любовь к php и
  AC прочей дряни, тот веб-сервер, на который выложен быкап, собственно,
  AC и будет взломан.

 Это, извиняюсь, раздолбайство обычное, махровое. Никто не мешает апачём
 вообще без модулей раздавать. Так что - не туда плюёте, товарищ.

На кой ляд, простите, отдавать апачем статику одному клиенту? Раздолбайство 
начинается в данном 
случае еще с апача.

Best regards, Alexey.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

2008-12-10 Пенетрантность Andrey Melnikoff

Hello!

Вы про что? Не слышал такого.

В зависимости от провайдера приходится несколько настроек openvpn менять. Для
работы через
волгателеком - одни настройки, через стрим - другие и т.д. Это, к примеру,
tun-mtu, а также у
кого-то из провайдеров приходится опцию float добавлять, поскольку трафик идет
черт знает как и еще
есть несколько граблей.

Не
говоря уже о создании сети более-менее сложной топологии, когда
продакшен и бэкапных серверов более чем по одному каждого и они в
разных сетях, причем каждый бэкапный может обращаться более чем к
одному продакшен и даже к другим бэкапным.

В чем загвоздка?

VPN сделан для схемы 1 сервер - много клиентов. А если есть десяток
серверов VPN, каждый со своей подсетью, и нужно с клиента одной подсети
получить доступ к клиенту другой? А если сервер VPN недоступен? И т.п.

Сервера обычно расположены в сетях разных провайдеров, клиенты тоже. Удаленный
доступ к серверам
есть, к клиентам - нет. И топология сетей уж какая есть, и настройки на
клиентах менять нельзя - с
какой стати админ той или иной сети будет что-либо ломать в угоду
разработчикам? Можно менять
настройки на серверах (не знаю, как могут помочь ccd, route, iroute с сервака в
нижнем новгороде на
московский впн-трафик гонять через нескольких операторов по пути) и отправлять
клиентам новые
конфиги, все. ssh отлично с этой ситуацией справляется, притом для проброса
соединения требуется
одна команда и никаких настроек. Да, каждый порт пробрасывается отдельно, но на
практике все 65
тысяч с гаком возможных портов явно не нужны. Зато топология сети может быть
совершенно
произвольной.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Проблема с сетевыми картами

Роман Кисилев [EMAIL PROTECTED] wrote:
 Здравствуйте All!

...

 Пробовал утилиты ethtool и mii-tool эффект нулевой.
 Подскажите куда копать?
вывод mii-tool -v в студию.

PS: Я бы рекомендовал выкинуть 3com в мусор (отдать на рабочие станции).


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Виснет сервер печати (cups на lenny-хосте) даже при печати тестовой страницы

Hello!

При  отправке на печать тестовой страницы запускается множество процессов и они 
очень сильно 
нагружают машину. Ноут с гигом памяти и процом коре2дуо тестовую страницу 
печатает минут 10, а 
linksys nslu2 с 32 мб памяти с процом 266 Мг виснет наглухо. Вот что показывает 
htop когда сервер 
печати уже завис:

foo2zjs -r1200x600 -g9920x7016 -p9 -m1 -n1 -d1 -s7 -z1 -u 192x96 -l 192x96 -L 0 
-J  -U  -P -D
/usr/sbin/cupsd
/usr/bin/perl /usr/lib/cups/filter/foomatic-rip 3 anonymous Test Page 1 
job-uuid=urn:uuid:081
usb://HP/LaserJet%201022 3 anonymous Test Page 1 
job-uuid=urn:uuid:081583a4-669a-3566-5a27-d2
/usr/bin/perl /usr/lib/cups/filter/foomatic-rip 3 anonymous Test Page 1 
job-uuid=urn:uuid:081
/usr/bin/perl /usr/lib/cups/filter/foomatic-rip 3 anonymous Test Page 1 
job-uuid=urn:uuid:081

До сего времени на сервере печати стоял этч, все печаталось замечательно, 
включая документы на сотни 
страниц с рисунками.

Пытался нагуглить решение для cups, но ничего похожего не нашел, тем более что 
в этч все работает, 
видимо, проблема ленни-специфична.

Best regards, Alexey.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

В Срд, 10/12/2008 в 20:59 +0300, Alexey Pechnikov пишет:
Hello!

Вы про что? Не слышал такого.

В зависимости от провайдера приходится несколько настроек openvpn менять. Для
работы через
волгателеком - одни настройки, через стрим - другие и т.д. Это, к примеру,
tun-mtu, а также у
кого-то из провайдеров приходится опцию float добавлять, поскольку трафик
идет черт знает как и еще
есть несколько граблей.

Возможно, не встречался.

Не
говоря уже о создании сети более-менее сложной топологии, когда
продакшен и бэкапных серверов более чем по одному каждого и они в
разных сетях, причем каждый бэкапный может обращаться более чем к
одному продакшен и даже к другим бэкапным.

В чем загвоздка?

VPN сделан для схемы 1 сервер - много клиентов. А если есть десяток
серверов VPN, каждый со своей подсетью, и нужно с клиента одной подсети
получить доступ к клиенту другой? А если сервер VPN недоступен? И т.п.

Не совсем въезжаю в ситуацию... Скажу так, я рассматриваю систему в
целом: если есть сервер со своими сервисами и его надо бэкаприть, значит
есть тот, кто его бэкапит. Они все вместе единая система, разработка
которой включая топологию должна вестись комплексно. Конечно, если речь
о том, что была система, мы её доработали как могли - тут всякие грабли
хороши.

Можно менять
настройки на серверах (не знаю, как могут помочь ccd, route, iroute с сервака
в нижнем новгороде на
московский впн-трафик гонять через нескольких операторов по пути) и
отправлять клиентам новые
конфиги, все. ssh отлично с этой ситуацией справляется, притом для проброса
соединения требуется
одна команда и никаких настроек. Да, каждый порт пробрасывается отдельно, но
на практике все 65
тысяч с гаком возможных портов явно не нужны. Зато топология сети может быть
совершенно
произвольной.

Я обычно, для внутренних целей некого комплекса связки серверов
использую приватные адреса, которые роутятся через vpn. Если Вы про это.

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

On 2008.12.10 at 18:33:56 +0300, Artem Chuprina wrote:

 
 Если мне надо дать возможность (плюс-минус любому) юзеру передернуть,
 допустим, принт-сервер, я пишу скрипт и пишу в sudoers
 
 %users (ALL) = NOPASSWD: /that/script
 
 Покажи мне более простое и не более опасное решение.

Пишешь скрипт с первой строчкой #!/usr/bin/perl -T
и chmod 4750 его.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: sudo ws root

On 2008.12.10 at 19:01:53 +0300, Artem Chuprina wrote:

 Ахха, выкладывать по http...  Зная современную любовь к php и прочей
 дряни, тот веб-сервер, на который выложен быкап, собственно, и будет
 взломан.  Быкап, конечно, его шифрованность спасет (до следующего

Кто мешает лично тебе быть в отношении конкретно этого сервера
несовременным, и не держать там активного контента?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: AMD64 kernel vs Mysql 5.1

On 2008.12.10 at 13:36:28 +0300, Oleg Anisimov (Олег Анисимов) wrote:

 А кто сказал что хороший биллинг не может быть на mysql? 8)

Ну, например я такое могу сказать. Потому что биллинг - это типичная
задача OLTP. А для хорошего OLTP нужна полноценная RDBMS. Более того,
все имеющиеся полноценные RDMBS именно под OLTP и заточены.
Ну то есть, конечно, биллинг на Oracle не каждый сможет себе позволить.
Но по сравнению с ценой того архитектора, который хороший биллинг
спроектирует (а биллинг, увы, штука малотиражируемая - всегда слишком
много локальных особенностей) лицензия на Oracle - копейки.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: GPRS-USB модемы из к оробки работающие с Lenny

On 2008.12.10 at 19:37:33 +0300, Кабанов Евгений wrote:

 Доброго времени суток всем!
 
 Прошу посоветовать USB-GPRS-модемы корректно работающие в Lenny (по
 вашей практике).

Ну, например Nokia 3109 classic, подключенная по USB-шнурку. Правда я ее
предпочитаю все равно по bluetooth цеплять, причем не через DUN, а через
PAN.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: AMD64 kernel vs Mysql 5.1


Twas brillig at 22:57:28 10.12.2008 UTC+03 when [EMAIL PROTECTED] did gyre and 
gimble:

  А кто сказал что хороший биллинг не может быть на mysql? 8)

 VW Ну, например я такое могу сказать. Потому что биллинг - это
 VW типичная задача OLTP. А для хорошего OLTP нужна полноценная RDBMS.

А откуда это следует? Транзакционность можно вполне хорошо и на файловой
системе устроить. Правда, потом OLAP-ить это будет сложно.

Из моих слов не следует одобрение mysql, как полноценной RDBMS.

--

Re: sudo ws root