Linux OS - info, how-to, pitanja, novosti, savjeti, problemi...

[domy_os]

/bin/false je za zabranu shella, a /usr/sbin/nologin za zabranu logina.

[Neo-ST]

Citiraj:

Autor domy_os

/bin/false je za zabranu shella, a /usr/sbin/nologin za zabranu logina.

I dalje permission denied.

[tomek@vz]

Citiraj:

Autor Neo-ST

Napravim novog usera, "cockpit" sa:

Code:

sudo adduser cockpit

Pita me password, kreiram.
Editiram passwd fajl sa:

Code:

sudo nano /etc/passwd

I na kraju tom useru, gdje piše "/bin/bash" stavim "/bin/nologin" (tako pročitao na netu, da ga se ne može koristiti za ssh login).

Odem se logirat u Cockpit, odbije me. Permission denied.

Prvo moramo nekaj razjasnit jer brkas pojmove.

1. SSH pristup serveru:

> root login disejblan u sshd_config
> definiran korisnik za ssh pristup
> omogucen samo login pomocu vazeceg ssh kljuca - bilo kakav login samo lozinkom disejblaj
> sve te postavke sam ti vec dao u onoj temi

2. Login na Cockpit
> cockpit korisnik = valjan Linux korisnik koji se moze prijavit na kantu
> uzmes korisnika koji si gore kreirao - pusti ove finte da se ne prijavljuje , ostavi ga na /bin/bash, trebas nekog admin korisnika na toj kanti imati
> stavi kolko tolko ok lozinku
> dodaj korisnika u grupu koja je definirana u /etc/sudoers (editiras sa visudo, nikad direktno)

2.a Pristup Cockpitu sa interneta i nastavno na tvoj tutorial > nemoj. Kad slazes pristup izvana , slozis uvijek Port Forwarding na interni IP samo na specifican port (80 ak se ne varam u tvom slucaju za web aplikaciju) ali nikad, nikad i bas NIKADA - portovi za administraciju (ovo kliki kliki) nikad ne otvaraj prema van. Samo i iskljucivo SSH port (koji opet ne ostavis na default portu i zastitis kao sto je navedeno u ovom postu i onoj temi). Prednost Linuxa je da sve al bas sve i puno vise od toga mozes preko CLI odradit.

[Neo-ST]

[tomek@vz]

Citiraj:

Autor Neo-ST

Evo vratio sam mu /bin/bash u passwd i sada se mogu logirat u Cockpit.
Ali mi ovo sa sudoers nije jasno.
Znači sada imam dva usera, neo i cockpit.
Nijedan nije u sudoers kada utipkam "sudo visudo", a oba mogu koristiti "sudo":

Jer su pripadnici grupe "sudo". Alternativno neke distre dopustaju bilo kojem korisniku po defaultu eskalaciju privilegija cak i ako nisu dio sudo grupe (lose i zato vecina distri to nema, zadnji put sam to vidio na OpenSuse 42.3). Sudo je zapravo tu da odredenim korisnicima dopustis eskalaciju privilegija u odredenom trenutku za odredeni zadatak. Sustav mozes toliko detaljno granulirat da reciimo odredena grupa korisnika ili samo jedan korisnika ima admin pristup samo na recimo "cat" komandu i samo ako zeli iscitat odredeni config u sustavu. Granulacija prava na Linux sustavu je hebena stvar. I onda skuzis da jos postoje ACL-ovi. I Selinux :P

[Neo-ST]

Citiraj:

Autor tomek@vz

Jer su pripadnici grupe "sudo". Alternativno neke distre dopustaju bilo kojem korisniku po defaultu eskalaciju privilegija cak i ako nisu dio sudo grupe (lose i zato vecina distri to nema, zadnji put sam to vidio na OpenSuse 42.3). Sudo je zapravo tu da odredenim korisnicima dopustis eskalaciju privilegija u odredenom trenutku za odredeni zadatak. Sustav mozes toliko detaljno granulirat da reciimo odredena grupa korisnika ili samo jedan korisnika ima admin pristup samo na recimo "cat" komandu i samo ako zeli iscitat odredeni config u sustavu. Granulacija prava na Linux sustavu je hebena stvar. I onda skuzis da jos postoje ACL-ovi. I Selinux :P

Hvala.
Moram još to dobro proučiti, i one chmod, chgrp i chown naredbe, to mi nikako nije jasno baš. Ok chmod još donekle kužim, mijenjam atribute fajlu, jel može bit read only, read-write i sl. ali ova druga dva mi nisu jasna.
Npr. neke aplikacije poput Apache i Awstats zahtijevaju da su neki direktoriji chownani u www-data:www-data, ali vidim unutra i neke direktorije koji imaju defaultni chown (root:root) i svejedno ih mogu koristiti. Malo zbunjujuće.

[Nikky]

Malo je zbunjujuće jer je razlika own - era (recimo vlasnika) a drugo je pravo pristupa / korištenja / startanja.

[Neo-ST]

Citiraj:

Autor Nikky

Malo je zbunjujuće jer je razlika own - era (recimo vlasnika) a drugo je pravo pristupa / korištenja / startanja.

Da, ownership i permission.

[tomek@vz]

Et Voila



https://www.slackbook.org/html/files...rmissions.html


Ako ti nekaj nije jasno - Slackbook i Arch Wiki su zlata vrijedni. To znanje mozes lako prenamijeniti na bilo koju distru. Pusti Youtube kao izvor informacija jer ima previse modernih kretena gore koji ne shvacaju kako Linux zapravo funktionira.



P.S.- Gentoo Wiki alternativno

[c-shadow]

Za Arch je jasno da je još alive and kicking, ali mislio sam da su gentoovci i pogotovo slackovci izumiruća vrsta?

[Nikky]

Uj, sad kad ti se Tomek digne na zadnje noge i izvrši ritualno spaljivanje, odma ovaj sa avatara više neće držati trokut / jing - jang ...

[c-shadow]

Evo editirao sam prethodni post i dodao emotikon da me Tomek shvati previše ozbiljno

[tomek@vz]

hahahahah pa iskreno jesu - i to i je problem sa modernim Linuxom Previse filozofa a premalo pravih programera koji smisleno konstruiraju nesto produktivno...mozda sam samo star i nostalgican


P.S.- BSD-ovci su jos gori, imam cast na poslu s jednim radit....e taj lik je sasvim drugi level

[Nikky]

9. krug pakla ili raja ? 😀

[tomek@vz]

Citiraj:

Autor Nikky

9. krug pakla ili raja ? 😀

Sheldon. Doslovce