• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    DELVITLinux pro zacatecniky a obycejne uzivatele (NO FLAMES!)
    Každý kdo chce poradit ohledně linuxu je na spravném místě. Přímý následovník audítka stejného názvu. Pravidla jsou stejná jako predchozí, hlavně žádné FLAME!
    Na Hompage klubiku najdete alternativy k aplikacim. Snazim se drzet ten list v aktualizovane a hlavne zajimave alternativy, kdyby ste chteli neco pridat do listu dejte vedet.

    Jak se správně ptát:

    1) Popište příznaky problému nebo chyby co možná nejjasněji a nejpečlivěji.
    2) Popište prostředí, ve kterém chyba nastává, tj. architekturu, operační systém, aplikaci, verzi, atd. Jmenujte distribuci a verzi systému (např. Red Hat 8.0, Slackware 5.1, atd.).
    3) Popište, jak jste se k chybě dostali, a jak jste se ji pokusili odhalit, isolovat a pochopit ještě předtím, než jste se zeptali.
    4) Popište relevantní změny v konfiguraci, které jste v poslední době provedli.
    5) Pokuste se už předem zodpovědět případné doplňující otázky.
    6) Na dlouhé výpisy použijte služby na to určené - pastebin - http://pastebin.com/
    rozbalit záhlaví
    THEODORT
    THEODORT --- ---
    MVEK: sice mas pravdu, ale...

    na serveru kde mas kriticky veci nema BFU co pohledavat (mozna tak izolovana session kde nema sudo, ale to byva separatni server pro tyto ucely, kde i kdyz by sudo mel, moc by toho utocnik/uzivatel nepoboril), a naopak na stanicich kde ti drepi BFU tak mas velice omezeny moznosti vzdalenyho pristupu, typicky na lokalni sit, tak se ti ten attack vector taky dost omezuje..
    AXTHEB
    AXTHEB --- ---
    MVEK: Ano, bfu by neměl mít možnost použít sudo. A pokud je to pro nějakou operaci nevyhnutelné, tak mu udělat skript a dát právo jen na ten skript.
    MVEK
    MVEK --- ---
    Ještě jsem k tomu našel objasnění login a non-login shellu tady: https://askubuntu.com/...376199/sudo-su-vs-sudo-i-vs-sudo-bin-bash-when-does-it-matter-which-is-used

    Pořád mi ale nejde do hlavy jedna věc ohledně bezpečnosti. Přece pokud útočník získá heslo uživatele v sudoer skupině, tak už nemá problém použít sudo su a systém zbořit. Takže by stejně BFU neměl v sudoer skupině vůbec být. A úkony potřebující superusera by tedy měl odpovědný uživatel dělat buď přes to SSH, pokud beru v potaz síť, kde je běžně více počítačů najednou, nebo fyzicky přepnutím uživatele.
    GILHAD
    GILHAD --- ---
    MVEK: Nevim, proc by se mel odhlasovat jen proto, ze se ty chces prihlasit.
    Proste se tam treba sshckni ze sveho pocitace (na sveho uzivatele u nej) a z nej sudo a jedes ... on mezitim klidne muze co ja vim, neco parit, prolejzat net, psat si ukoly ... pokud bude ta instalace narocnejsi, tak mu to holt chvili pojede pomalejc...
    CHOROBA
    CHOROBA --- ---
    THEODORT: lenost no. ;-) jim to zakaz.
    THEODORT
    THEODORT --- ---
    CHOROBA: me treba pouzivani sudo su extremne sere u externich dodavatelu - vzdycky mi zaserou rootovskou historii nejakymi jejich hokusy pokusy..
    CHOROBA
    CHOROBA --- ---
    udelas mu sudo groupu s povolenejma komandama.
    MVEK
    MVEK --- ---
    Ale rozumím tomu dobře, že pokud uživatel není v sudo skupině, tak nemá šanci třeba nic nainstalovat? Nebo může nebýt v sudo skupině, ale pořád použít su nikoliv pro roota, ale pro nějakého uživatele v sudo skupině, a pak operaci vykonat? Ale to asi stejně nebude použitelné v GUI, jen v konzoli, že?

    Možná to překombinovávám, jde mi o jednoduchý případ: Linux s třeba mým (sudo skupina) uživatelem a uživatelem potomka, který bude mít z pochopitelných důvodů zákaz upravovat systém nebo něco instalovat. Ale najednou něco bude s mým svolením chtít. Je tam nějaká možnost, jak to udělat, aniž by se musel odhlašovat a já přihlašovat?
    MVEK
    MVEK --- ---
    THEODORT: Zajímavé, njn, byl jsem mystifikován pochybně nastavenou testovací platformou, ke které jsme přistupovali přes SSH, kde jsme se z nějakého obskurního (možná lenosti) důvodu přihlašovali jako root s heslem. Nevím, co to bylo za unixový systém, a nebyla to samozřejmě produkce, takové eskapády se u nás v práci nedějí, snad:-) (i když je znám případ, kdy někdo dal testovacího usera a heslo do našeho produktu, které se v té době používalo i někdy při prvním nasazení u zákazníka nějakou dobu, v rámci ukázky kódu do otázky na stackoverflow:-)).

    Díky za odkaz, snad si konečně přestanu plést su a sudo.
    CHOROBA
    CHOROBA --- ---
    sudo su
    a mas roota
    THEODORT
    THEODORT --- ---
    MVEK: root nema heslo, tim je blokovan root ssh access i kdyby byl root user pres ssh povolenej, navic utocnik musi uhodnout jmeno usera pro pokus o prolomeni, useri kteri muzou pouzivat root access jsou ve skupine sudo.

    RootSudo - Community Help Wiki
    https://help.ubuntu.com/community/RootSudo
    MVEK
    MVEK --- ---
    Tak trochu přeformuluji původní dotaz po dalším hraní si... Jak to je s uživatelskými účty v moderních distribucích (konkrétně Linux Mint, takže asi i Ubuntu)?
    Instalátor očividně vytvoří roota, ale k tomu se mě vůbec neptá na heslo, a pak můj účet. Na systémové akce chce moje heslo znovu (takže se chová jako admin účet ve Windows).

    Není to o něco méně zabezpečené, než kdybych musel zadávat při elevaci práv heslo roota?
    GANDALFSEDY
    GANDALFSEDY --- ---
    cirou nahodou nejaky guru na .htaccess?
    podle navodu na active24 se snazim pridat domenu 3ti level a vsechno ok az po nastaveni .htaccess ...
    jejich postup uvadi toto:
    # přesměrování z domena.cz/adresar na domena.cz - nezobrazuje se cesta do složky
    RewriteEngine On
    RewriteCond %{HTTP_HOST} ^(subdomena.)?domena.cz$
    RewriteCond %{REQUEST_URI} !^/adresar/
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.*)$ /adresar/$1
    RewriteCond %{HTTP_HOST} ^(subdomena.)?domena.cz$
    RewriteRule ^(/)?$ adresar/index.php [L]

    ale kdyz tam prepisu subdomena, domena a adresar podle svych udaju tak to nefunguje resp to nedeka nic ... kdyz napisu subdome.domena.cz tak mi to nacte domena.cz
    tak pokud v tom jejich prikladu nekdo vidite nejakou chybu * kde nema bejt nebo $ nekde chybi ... dejte mi vedet dikkkk
    THEODORT
    THEODORT --- ---
    jsem si doma cvicne ve win 10 nainstaloval nativni bash a tvari se to dost dobre, asi zkusim windowsi xserver :))
    ERGOSUM
    ERGOSUM --- ---
    Hezké. Jen "ctime je timestamp, co se lidem občas plete s creation time a co nějakou dobu v Unixu vůbec nebyl, takže je z těch dvou to bude ten méně významný, tedy ten co popisuje změnu metadat/inode (což je něco, co mě většinou nezajímá)"
    Vzhledem k tomu, že jde o čas, kdy se například změnila práva, je údaj o tom jak nejméně dlouho jsou data dostupná / nedostupná / editovatelná / ... dost podstatný. Takže ano. Zajímá mě až když něco není jak má být, nebo při kontrole bezpečnosti.
    DANIELSOFT
    DANIELSOFT --- ---
    zajímavý článek/blogpost

    Jak je to s časem vzniku souboru na GNU Linux distribucích
    http://www.abclinuxu.cz/...hromada/2019/2/jak-je-to-s-casem-vzniku-souboru-na-gnu-linux-distribucich
    DANYSEK
    DANYSEK --- ---
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    FATBOZZ: ja nevim, ale podle me budes muset ty image nejdriv primountit a co si nad nima pak udelas, je tvuj boj.
    FATBOZZ
    FATBOZZ --- ---
    Existuje nejaky nastroj kterym jdou prochazet image ktere vytvori clonezilla ?
    SATAI
    SATAI --- ---
    Did you know that if you create a tarball on a Linux machine and extract it on a Mac, you can end up with a different set of files? (Thread with technical details follows.)

    https://twitter.com/dmajda/status/1097402781135179777
    JUNIOR
    JUNIOR --- ---
    CHOROBA: Díky, díky moc, běží to úplně skvěle

    SPIKE411:
    HEINZZ:
    DANIELSOFT: To já vím, že to takto funguje, ale když to udělám a odebere se a zase to přidám tak se to objeví, ale stejně to nefunguje
    SILVESTRAGON
    SILVESTRAGON --- ---
    BURYAN1: nedávno jsem vybíral a vybral Gscan2pdf
    Kliknutím sem můžete změnit nastavení reklam