Почему везде пишут не входите в систему как root
только в крайнем случае, что в этом плохого?
Не пойму
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не поймуПотому что под рутом ты царь и бог, и элементарно что-нить случяйно напортить... (причем это верно не только для *никсов) Поэтому гааараздо лучше сидеть все время под нормальным пользватлейм, а когда надо что-то такое серьезное изменить, использовать команду su...
Если Вы настолько неопытны, чтобы задать такой вопрос, то Вам тем более нельзя сидеть под эккаунтом с UID == 0.
>Если Вы настолько неопытны, чтобы задать такой вопрос, то Вам тем более
>нельзя сидеть под эккаунтом с UID == 0.Неопытным себя не считаю А можно по подробнее
и без ... аргументированно
этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
Не надо наклюкиваться. Хватит просто незнания системы. Я однажды убивал КШ командой rm -r /. Не размонтировав ДОС раздел. Забыл! После этого я рутом только в крайней необходимости захожу. Причем сделать строго определенные действия. Кстати большинство портаков происходит именно _СЛУЧАЙНО_.
ну вот полезли вы в интернет,а в броузере скажем обнаружили уязвимость, которая позволяет удаленное выполнение команд - то бы они выполнялиь под обычным юзером и фатального вреда не нанесли,а то под рутом...
>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.Знаю как минимум два факта порчи системы неправильным синтаксисом rm -rf,
первый раз человек пробел случайно в путь поставил, второй - начал набирать команду, отвлекли, затем случайно enter нажал при недонаброной команде.Пользование su - тоже небезопасно, был случай когда один знакомый засветил рутовый пароль в IRC, т.е. стал набирать в IRC канале su перепутав shell с приглашением IRC клиента :-)
>>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
>
>Знаю как минимум два факта порчи системы неправильным синтаксисом rm -rf,
> первый раз человек пробел случайно в путь поставил, второй - начал
>набирать команду, отвлекли, затем случайно enter нажал при недонаброной команде.
>
>Пользование su - тоже небезопасно, был случай когда один знакомый засветил рутовый
>пароль в IRC, т.е. стал набирать в IRC канале su перепутав
>shell с приглашением IRC клиента :-)
Пить меньше надо :)))
Или больше ... в смысле до такой степени ,что бы уже сил не было подойти к машине ...
>Почему везде пишут не входите в систему как root
Можно все. Только надо ответственность понимать. Когда у тебя 30 серверов разбросаны по городу, и ошибка совершенная тобой, когда ты root будет стоить пол-дня простоя в работе нескольких сотен человек + потеря информации + сильно подпортил имидж коноторы, т.к. невозможно выполнить запросы клиентов + потеря бабок + твоя ж"па в мыле: все это восстанавливать (если есть бэкап, а его вполне может не быть - а это потеря информационного продукта, который создавался в течении нескольких месяцев сотней людей). А потом разбор полетов начальством с соответствующими выводами. А если у тебя дома писюк, то потом будешь перествлять систему, что тоже не всегда интересно.
>Или больше ... в смысле до такой степени ,что бы уже сил
>не было подойти к машине ...Вообще-то нормальные админы из xterma рабочей машины всем управляют. В одном помещении с оборудованием (изолированном перегородкой) тех. суппорт сидит и за лампочками следит, трогать руками им что-либо не позволено.
>>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
>
>Знаю как минимум два факта порчи системы неправильным синтаксисом rm -rf,
> первый раз человек пробел случайно в путь поставил, второй - начал
>набирать команду, отвлекли, затем случайно enter нажал при недонаброной команде.
>
>Пользование su - тоже небезопасно, был случай когда один знакомый засветил рутовый
>пароль в IRC, т.е. стал набирать в IRC канале su перепутав
>shell с приглашением IRC клиента :-)sudo всё таки лучше(наверное :-))
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не поймуКак насчёт rm -rf / tmp/* (всего - то 1 пробел :))
Мне рассказывали про rm -f /dev/* на AIX. Весело было!
Кроме того ты не сможешь нормально "видеть" систему если тебе можно всё.
--Надоело наступать на одни и те же грабли !
--Точно! Давайте будем наступать на другие !
http://www.lib.ru/unixhelp/grabli.txt
> --Надоело наступать на одни и те же грабли !
> --Точно! Давайте будем наступать на другие !
>http://www.lib.ru/unixhelp/grabli.txtпочти все расписано, только VI заменить на ED и будет почти полноценная
картина, ибо:which vi - это usr, а which ed - это bin (набор утилит собранных статикой,
обычно есть на всех rescue floppy/cd)
Просто доп. мера безопасности - не более.
а помоему все от человека зависит.
Если у него случай, ум, бог весть что еще поможет сделать оплошность, так его ни рут ни су, ни судо не спасут. Нет защиты от дураков.Если у меня есть сервера ремотные, и (в основном всегда ;) ) отдаю себе отчет что собираюсь сделать, то я не считаю обязательно входить под каким-то иным пользователем, что бы сделать некоторую копеечную ситуацию.
Тот факт что еще каким-то образом и пароль рутовый перехватят при таком заходе - так мне кажется поимев просто доступ к машине уже можно наворотить все что угодно необязательно под рутом...
Держать в голове тонну паролей - тоже не с руки.
кто - нибудь вообще видел в сети что-то вроде NOT-ROOT-HOWTO, где бы ясно и последовательно описывалось бы ПОЧЕМУ и главное КАК НАДО?
>кто - нибудь вообще видел в сети что-то вроде NOT-ROOT-HOWTO, где бы
>ясно и последовательно описывалось бы ПОЧЕМУ и главное КАК НАДО?нет
ПОЧЕМУ - уже ответили, а как - очень просто:
- не уверен в себе, в security - работай на бумаге, планчик - все расписать, убедиться в наличии или сделать backup и работа только
за консолью- уверен в себе, но не уверен в security - работай из безопасного
места, в локалке по ssh или снова на консоли (планчик и backup в силе)- уверен в себе и security - работай по ssh откуда хошь (планчик и
backup в силе, работа с firewall и ssh потребует внимательности, дабы
удаленно не отрубить самому себе доступ)Как - вариантно, могу лишь свой подход обрисовать:
- все планируемое, предварительно проверяется и апробируется на своей
или тестовой машине
- далее под рядовым account'ом захожу на удаленную, проверяю и смотрю
что нужно и можно, затем если нужен root: su - toor и вперед.ps. Все /etc/fstab, результаты fdisk/dislabel, firewall'ы и прочие
подобные вещи включая dmesg, хранятся для каждой машины в дубликатах
и доступных местах (невзирая на backup'ы).Народная мудрость: семь раз отмерь, один отрежь. (жаль нельзя зряплату
отмерить семь раз и потом отрезать ;)
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не пойму
>>Почему везде пишут не входите в систему как root
>>только в крайнем случае, что в этом плохого?
>>Не пойму
>
>
>http://www.opennet.me/openforum/vsluhforumID1/31068.htmlОчень интересный взгляд на проблему. И как потом админить ?
Ведь многие действия по администрированию доступны только для рута ?
>>>Почему везде пишут не входите в систему как root
>>>только в крайнем случае, что в этом плохого?
>>>Не пойму
>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>
>Очень интересный взгляд на проблему. И как потом админить ?
>Ведь многие действия по администрированию доступны только для рута ?
ИМХО следует разделить задачи администрирования: настройка и управление
Настройку (в идеале установку :-)) можно(нужно) делать один (ограниченное количество) раз.
Управление (ежедневные операции) делать только из под sudo раздавая полномочия ограниченному кругу лиц.
>>>>Почему везде пишут не входите в систему как root
>>>>только в крайнем случае, что в этом плохого?
>>>>Не пойму
>>>
>>>
>>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>>
>>Очень интересный взгляд на проблему. И как потом админить ?
>>Ведь многие действия по администрированию доступны только для рута ?
>
>
>ИМХО следует разделить задачи администрирования: настройка и управление
>Настройку (в идеале установку :-)) можно(нужно) делать один (ограниченное количество) раз.
>Управление (ежедневные операции) делать только из под sudo раздавая полномочия ограниченному кругу
>лиц.На мой вкус так все это просто паранойя.
Тут вступает в жизнь вечное противоречие - безопасность/удобство.
>>>Почему везде пишут не входите в систему как root
>>>только в крайнем случае, что в этом плохого?
>>>Не пойму
>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>
>Очень интересный взгляд на проблему. И как потом админить ?
>Ведь многие действия по администрированию доступны только для рута ?Не надо все выссказывания всерьез воспринимать ;)
>>>Почему везде пишут не входите в систему как root
>>>только в крайнем случае, что в этом плохого?
>>>Не пойму
>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>
>Очень интересный взгляд на проблему. И как потом админить ?
>Ведь многие действия по администрированию доступны только для рута ?1) см. "#rm -rf /dir" - в вопросе
2) см. "PS" - в ответе
>1) см. "#rm -rf /dir" - в вопросе
>2) см. "PS" - в ответе[syslha@localhost temp]$ whereis ls
ls: /bin/ls /usr/share/man/man1/ls.1.gz
[syslha@localhost temp]$ ls -ld /bin
drwxr-xr-x 2 root root 2048 Май 9 20:52 /bin
[syslha@localhost temp]$ ls -l /bin/ls
-rwxr-xr-x 1 root root 67668 Фев 18 20:19 /bin/ls
[syslha@localhost temp]$ cd ~/temp
[syslha@localhost temp]$ mkdir ./bin
[syslha@localhost temp]$ echo "blablabla">./bin/ls
[syslha@localhost temp]$ su
Password:
[root@localhost temp]# chown -R 0:0 ./bin
[root@localhost temp]# chmod 755 ./bin
[root@localhost temp]# chmod 755 ./bin/ls
[root@localhost temp]# exit
exit
[syslha@localhost temp]$ ls -ld ./bin
drwxr-xr-x 2 root root 4096 Июн 20 22:22 ./bin
[syslha@localhost temp]$ ls -l ./bin/ls
-rwxr-xr-x 1 root root 10 Июн 20 22:22 ./bin/ls
[syslha@localhost temp]$ rm -rf ./bin
rm: невозможно удалить `./bin/ls': Permission denied
[syslha@localhost temp]$ su
Password:
[root@localhost temp]# rm -rf ./bin
[root@localhost temp]# exit
exit
[syslha@localhost temp]$ ls -l ./bin/ls
ls: ./bin/ls: No such file or directory
[syslha@localhost temp]$
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не поймуПотому что эти рекомендации писались лет 10 назад. И вообще не уверен - не садись за комп :))