LINUX.ORG.RU

жизнь через SUDO

 , ,


0

2

Добрый день.

решил, что пора избавляться от вредных привычек, например, не сидеть под рутом.

почитал, погуглил, настроил через отдельного пользователя, запретил вход по ssh, консоли для рута. сижу под пользователем. но вот лень набирать sudo для админских команд.

может уже есть рецепт как через, например, alias, прописать админские команды?

★★★

эмм. вообще вам следует понять что делает судо. а потом уже перенастраивать.

gssomi ★★
()

Так это, есть же screen. Я просто юзаю по такой схеме: окна с id > 0 - для обычного юзера, а в 0-м окне выполняю su. Таким образом я в системе и от себя и от root'а одновременно переключаясь по необходимости. И никаких проблем.

saahriktu ★★★★★
()
Ответ на: комментарий от CHIPOK

интересная версия, очень многое объясняет. (с) о чем говорят мужчины.

нет конечно, просто раньше не было времени задуматься над этими проблемами. нужно было делать работу. сейчас отошел от серверов и настроек серверов, админю только домашний сервачок. вот и захотелось все сделать неспеша и правильно.

Nurmukh ★★★
() автор топика

но вот лень набирать sudo для админских команд.

Зачем тебе так часто нужны админские команды? Может стоит с этого начать? Настолько тяжело прописать 4 буквы, чтобы было действительно чётко понятно, что именно сейчас надо думать, что запускаешь?

Ну а алиас, конечно можно прописять. У меня, например, есть такое:

alias up="yaourt -Suya"

А ты можешь, если так лень писать 4 буквы, сделать ещё:

alias s="sudo"

Алиасы имеют приоритет по сравнению с бинарями в path, так что ты можешь даже не выдумывать новое имя, а сделать, скажем:

alias mount="sudo mount"
alias aptitude="sudo aptitude"

и т. д. Но я бы такое не советовал. Лучше чётко понимать, от какого пользователя запустится программа. В этом плане алиасы с отличающимися именами лучше.

Всё зависит от того, насколько разные админские команды тебе надо запускать. Если их всего несколько (скажем, десяток), то проще сделать несколько алиасов. Если их куча разных, то один алиас. Если куча разных и подряд — используй su для этого, это не так ужасно. Если ты подключился под ssh, чтобы выполнить 15 совершенно разных команд, для каждой из которых нужны права суперпользователя, то их действительно стоит выполнить под рутом. Естати, если так боишься su, есть sudo -i

Psych218 ★★★★★
()

тебе реально так часть надо выполнять команды от суперпользователя?

Deleted
()

у меня так же настроено sudo на одного юзера. иногда мне приходить много команд выполнять под рут для этого у меня открыта отдельная консоль.

gssomi ★★
()

запретил вход по консоли для рута

Маразм крепчает.

anonymous
()

сделай sudo без пароля для себя у которого само собой мощный пароль, а на саму «sudo» алиас в 1 букву

amorpher ★★★★★
()
Последнее исправление: amorpher (всего исправлений: 1)
Ответ на: комментарий от Psych218

если я тебя правильно понял, то ты предлагаешь провести предварительные анализ используемых команд под рутом, поделить команды, например, на 3 части - важные, нормальные, низкие. затем для важных прописать alias, для нормальных через sudo, а на низкие вообще забить.

Nurmukh ★★★
() автор топика

А вот я использую sudo наоборот - переключаюсь в юзера.

int13h ★★★★★
()
Ответ на: комментарий от Nurmukh

Да, анализ провести я предлагаю. А делить всё на три типа — нет. В первую очередь нужно понять, зачем тебе настолько часто нужно sudo, что даже лень ввести 4 буквы — скорее всего ты делаешь что-то не так.

Psych218 ★★★★★
()

Зачем тебе постоянно вбивать «админские» команды? Если очень надо держи постоянно открытой терминал с рутом.

ptah_alexs ★★★★★
()
Ответ на: комментарий от Nurmukh

ну я очень хочу отказаться от постоянно открытого терминала с рутом.

Зачем?

Вошел через su - , сделал что требуется, вышел. Простой и понятный workflow.

Вот зачем тебе sudo? Потому что на хабре или убунтуфоруме о нём пишут?

anonymous
()
Ответ на: комментарий от Nurmukh

просто надо избавится от вредных привычек

Так я и спрашиваю, это тебе на убунтуфорумах насвистели про то, что su - — вредная привычка?

anonymous
()

Я вот пытаюсь понять, ты тролль, или гном. Сколько раз тебя уже спрашивали, какие команды ты так часто выполняешь? Какие функции реализуешь? В чем, в конце концов, вредность использования su - и откуда ты это взял?:)

Еще расскажи, пожалуйста, разницу между использованием su - и sudo. И что за фраза «админские команды»? Где ты это откопал? Чем админиские команды отличаются от неадминских? Звучит как вопрос школьника, которого посадили настраивать компы в комп.классе.

Crystal_HMR ★★★
()

centos
прописать админские команды?

man consolehelper

arson ★★★★★
()
Ответ на: комментарий от Crystal_HMR

Добрый день.

итак. в основном я работаю с ip, virsh, docker, systemd. в данное время основной дистрибутив это центос, используется также coreos.

хотелки простые - уйти из под рута, настроить sudo, создать профили в sudo для администрирования служб, в идеале создать различные группы на каждый сервис, затем включить в группы различных пользователей, опробовать это все в домашнем окружение. затем с полученным опытом идти на работу и пинать своих младщих админов делать все «единственно правильным образом». ближайшая аналогия active directory - ou, group policy. настроить домен таким образом, чтобы не было нужды работать из под администратора.

Nurmukh ★★★
() автор топика
Ответ на: комментарий от Nurmukh

Ты админишь домен и при этом идёшь на ЛОР спрашивать, как настроить alias-ы в bash-е? Квалификация, факмаймоск!

создать профили в sudo для администрирования служб, в идеале создать различные группы на каждый сервис

Тебе надо не с башем сношаться, а сесть с листом бумаги и карандашом в руках и определить какие у тебя будут в системе роли и какие множества привилегированных команд требуются для каждой роли.

Потом создать для каждой роли группу, засунуть пользователей в группы. Настроить в sudo наборы разрешённых команд для каждой группы. Попутно обеспечить надёжное логгирование всего этого дела, чтобы всегда знать ответ на вопрос «какая гнида в 6 вечера сломала боевой сервер?». И затем попытаться со всем этим добром взлететь.

А пока этот тред выглядит как тред типичного убунтувода-неосилятора, открывшего для себя дивный новый мир консоли локалхоста и файла ~/.bashrc.

Deleted
()
Ответ на: комментарий от Deleted

спасибо за ваш комментарий, буду следовать вашим советам.

Nurmukh ★★★
() автор топика
Ответ на: комментарий от Nurmukh

ближайшая аналогия active directory - ou, group policy

ближайшая аналогия с AD и OU+GP - это, не поверите, AD и OU+GP. Но если начать задваться вопросом, то и в любом линухе группы работают очень похожим образом.

В /etc/sudoers можно для каждого, мать его, пользователя (или группы) прописать вплоть до того какие именно команды можно делать от sudo. С паролями али без. Но тут надо иметь четкое представление о том, к какой системе надо прийти. Понимать количество пользователей, количество изменений. Это всё должно быть прописано и прорисовано.

В идеале:

  • сделать себе аналог ТЗ, максимально проработано;
  • понять что из этого уже готово, а что нет;
  • поднять контроллер домена;
  • поднять LDAP каталоги;
  • ...
  • PROFIT!!! (©)

вариантов тысячи, и все они гуглятся. Важно только поставить правильно вопрос.

UPD. И всё-таки я бы не отказывался от sudo. Можно сделать alias rm='sudo rm -rf'... но это может привести к нежелательным последствиям. Человек всегда должен понимать что и почему он делает. И написание лишних пяти символов ему в этом очень часто помогает.

Crystal_HMR ★★★
()
Последнее исправление: Crystal_HMR (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.