Различия между версиями 1 и 2
Версия 1 от 2008-08-02 00:26:23
Размер: 6635
Редактор: eSyr
Комментарий:
Версия 2 от 2008-08-02 21:11:50
Размер: 7525
Редактор: MaximByshevskiKonopko
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 1: Строка 1:
== Использвание su и sudo == == Использование su и sudo ==
Строка 3: Строка 3:
Что ещё нужн сис. адм --- совершать действия т суперпользвателя. Нехорошо заходить в программе login от лица root. Обычно это требуется, если никаких других вариантов нет. А в принципе реком. захдить в пользователя, а потом получать рутовые привилегии. Как это делать: мы знаем, что у нас есть аткая штука как setuid, и, видимо, надо исп. какую-то прграмму, котрая будет сетуидная, запуская её, она будет от лица рута, и дальше уже смжет дать польз. права. Таких больших команд две: su и sudo. Первая, switch user, позв. получить права любого пользователя. На su существует control, который позв. делать четыре вещи: restricted --- только рут мжет делать su, wheelonly --- только члены группы wheel, wheel --- запускать ... . Команда su спрашивает парль тго польз., в которго хотите перекл., и имеет неск. вариантов поведения: можно запустить одну команду, шелл, простой, разумный объём функциональности. ALT-specific: команда su без параметров даёт только права суперпольз., но окружение остаётся тем же. Дост. несекьюрная штука, поск. можно модиф. окружение таким обр., что вып. su, из под рута что-нибудь не то сделаете. Чтбы при вып. команды su получить окружение польз., над делать su -. Что ещё нужно системному администратору --- совершать действия от лица суперпользвателя. Нехорошо заходить в программе login от лица root. Обычно это требуется, если никаких других вариантов нет. А в принципе рекомендуется захдить в пользователя, а потом получать рутовые привилегии. Как это делать: мы знаем, что у нас есть такая штука как setuid, и, видимо, надо использовать какую-то прграмму, котрая будет сетуидная, запуская её, она будет от лица рута, и дальше уже сможет дать пользователю права. Таких команд две: su и sudo.
Строка 5: Строка 5:
Lgin shell. когда рег. в системе, первым делом зап. shell, который прописан в passwd. Когда это было в терминале, это было логично. Когда пошло поветрие делать граф. интерфейс в качестве осн., и рег. тоде граф., то всё равн зап. shell, и дальше всё остальне. Этот шелл тличается от всего отс., даже именем в списке прцессов. === su ===
Строка 7: Строка 7:
Как поменять имя прграммы --- в системном вызове exec помимо имени прграммы, идёт argv, и можно поменять argv[0]. Первая, switch user, позволяет получить права любого пользователя, введя его пароль. На su существует control, который позволяет делать четыре вещи: restricted --- только рут может делать su, wheelonly --- только члены группы wheel, wheel --- запускать могут все, только члены группы wheel могут приобретать рута, и public --- все могут запускать для всего. Команда su позволяет всего лишь выполнить шелл, запущенный от указанного пользователя, или одну команду от оного. ALT-specific: команда su без параметров даёт только права суперпользователя, но окружение остаётся тем же. По идее это несекьюрная штука, поскольку можно модифицировать окружение таким образом, что выполнив su, из под рута что-нибудь не то сделаете. Чтбы при выполнении команды su получить окружение пользователя (войти в login shell пользователя), над делать su -.
Строка 9: Строка 9:
Login shell замечает, что он login, и выполняет нескольк больше файлов. === Login shell ===
Строка 11: Строка 11:
sudo немного хитрее. Она позв. выполнять отдельные команды от лица отдельных польз. отдельным категориям польз. Лектор, например, польз. командой sudo для разрешения монтирования cdrom. Подобные права можно дать всем польз., группе польз., отд. польз., при этом можно делать разные вещи: часть окр. прибить, часть заменить. Когда пользователь регистрируется в системе, первым делом запускается shell, который прописан в passwd. Когда это было в терминале, это было логично. Когда пошло поветрие делать графический интерфейс в качестве основного, и регистрирование в системе тоже графическое, то всё равн запускатеся shell, который, к примеру, выполняет скрипты инициализации графической сессии пользователя, и дальше всё остальное. Этот шелл отличается от других шеллов, запущенных пользователем, даже именем в списке прцессов (к нему приписывается `-` в начале).

## Как поменять имя прграммы --- в системном вызове exec помимо имени прграммы, идёт argv, и можно поменять argv[0].
## Таки отступление. Чай не на сях кодим.

Login shell замечает, что он login, и выполняет несколько больше файлов.

=== sudo ===

sudo намного хитрее. Она позв. выполнять отдельные команды от лица отдельных польз. отдельным категориям польз. Лектор, например, польз. командой sudo для разрешения монтирования cdrom. Подобные права можно дать всем польз., группе польз., отд. польз., при этом можно делать разные вещи: часть окр. прибить, часть заменить.
Строка 37: Строка 46:
|| 0 || 1 || 1 || 1 || || 1 || MaximByshevskiKonopko, ОльгаТочилкина, MaximByshevskiKonopko || || || || 9 || 1 || 1 || 1 || || 1 || MaximByshevskiKonopko, ОльгаТочилкина, MaximByshevskiKonopko || || ||

Использование su и sudo

Что ещё нужно системному администратору --- совершать действия от лица суперпользвателя. Нехорошо заходить в программе login от лица root. Обычно это требуется, если никаких других вариантов нет. А в принципе рекомендуется захдить в пользователя, а потом получать рутовые привилегии. Как это делать: мы знаем, что у нас есть такая штука как setuid, и, видимо, надо использовать какую-то прграмму, котрая будет сетуидная, запуская её, она будет от лица рута, и дальше уже сможет дать пользователю права. Таких команд две: su и sudo.

su

Первая, switch user, позволяет получить права любого пользователя, введя его пароль. На su существует control, который позволяет делать четыре вещи: restricted --- только рут может делать su, wheelonly --- только члены группы wheel, wheel --- запускать могут все, только члены группы wheel могут приобретать рута, и public --- все могут запускать для всего. Команда su позволяет всего лишь выполнить шелл, запущенный от указанного пользователя, или одну команду от оного. ALT-specific: команда su без параметров даёт только права суперпользователя, но окружение остаётся тем же. По идее это несекьюрная штука, поскольку можно модифицировать окружение таким образом, что выполнив su, из под рута что-нибудь не то сделаете. Чтбы при выполнении команды su получить окружение пользователя (войти в login shell пользователя), над делать su -.

Login shell

Когда пользователь регистрируется в системе, первым делом запускается shell, который прописан в passwd. Когда это было в терминале, это было логично. Когда пошло поветрие делать графический интерфейс в качестве основного, и регистрирование в системе тоже графическое, то всё равн запускатеся shell, который, к примеру, выполняет скрипты инициализации графической сессии пользователя, и дальше всё остальное. Этот шелл отличается от других шеллов, запущенных пользователем, даже именем в списке прцессов (к нему приписывается - в начале).

Login shell замечает, что он login, и выполняет несколько больше файлов.

sudo

sudo намного хитрее. Она позв. выполнять отдельные команды от лица отдельных польз. отдельным категориям польз. Лектор, например, польз. командой sudo для разрешения монтирования cdrom. Подобные права можно дать всем польз., группе польз., отд. польз., при этом можно делать разные вещи: часть окр. прибить, часть заменить.

Как запускать иксовые прграммы пд рутм: через sudo.

Дима Левин очень не любит sudo, его не исп., для исп. заводит спец. польз. для исп. sudo, и ещё одного, который делает только то, что надо. Просто прблема в том, чтом можно вероятн что-то хитрое сделать.

Лектор исп. sudo в реальной жизни, чтобы сделать гибкие настр. сети а ноутбуке. Есть нутбук, который работает дмА, в дороге, через gprs. Ва льте это делается предв. настр. профилей, осталось только дать обычному польз. service network restartwith.

Есть прблема, связанная sudo, связанная с тем, что надо ред. его командой visudo, не vi /etc/sudoers.

%group --- польз. члены группы.

Когда делается sudo, то перетаскиваются перем. DISPLAY и XAUTHORITY, как прописано в /tc/sudoers

Ещё одним пололж. свойством sudo явл. то, что исп. пароль польз.

Если вы говорите sudo su - , то получаете не только норм. окружение, но и живые DISPLAY и XAUTHORITY.

Лектор забыл сказать пр su, пчему у альта всё по стсандарту, а у стальных не по стандарту. У людей, которые привыкли делать su в убунте, дебиане или федоре, сраду после этог делают ifconfig, ip и так далее. Если же так сказать в альте, то но скажет file not found, потому что /sbin и /usr/sbin нет в окружении, и очень пугаются.

Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

9

1

1

1

1

MaximByshevskiKonopko, ОльгаТочилкина, MaximByshevskiKonopko

CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080731/02SuSudo (последним исправлял пользователь MaximByshevskiKonopko 2008-10-09 22:11:07)