root

voyaka83

New member
Сообщения
11
#1
Почему нельзя сидеть под рутом?
Создал пользователя, а дальше установку и отладку под рутом?
 

bl33d

Administrator
Team Astra Linux
Сообщения
73
#2
ВНИМАНИЕ! После установки ОС интерактивный вход в систему суперпользователя root по умолчанию заблокирован. Создаваемый при установке операционной системы пользователь включается в группу astra-admin. Пользователям, входящим в названную группу, через механизм sudo (см. 1.1.2) предоставляются права для выполнения действий по настройке ОС, требующих привилегий суперпользователя root. Далее по тексту такой пользователь именуется администратором.

1.1. Доступ к учетной записи суперпользователя
Существует несколько способов доступа к учетной записи суперпользователя:
– вход в систему от имени суперпользователя root (по умолчанию заблокирован);
– использование команды su (по умолчанию заблокирован);
– использование команды sudo (рекомендуется).
Из руководства администратора. Часть 1.

Технически пользователя root можно разблокировать.

Однако стоит учитывать такой момент:

17.2. Настройка параметров, необходимых для эксплуатации ОС

6) в случае разрешения интерактивного входа суперпользователя root для предотвращения подбора его пароля необходимо заблокировать возможность его удаленного входа в ОС посредством включения PAM-модуля pam_securetty в файл сценария /etc/pam.d/common-auth. Для этого необходимо в «Primary
block» в указанном файле первой строкой добавить: auth required pam_securetty.so
Из руководства по КСЗ. Часть 1.
 

pod

New member
Team Astra Linux
Сообщения
15
#3
root имеет доступ ко всем без исключения действиям и никаких предупреждений о том, что пользователь делает что-то не то, не появится. Работая под root, можно своими действиями так отредактировать ОС, что мало не покажется.
Удаление по молодости не забекапленного хомяка приучило делать бекап и не сидеть под root
 

Dim

New member
Team Astra Linux
Сообщения
39
#4
Почему нельзя сидеть под рутом?
Создал пользователя, а дальше установку и отладку под рутом?
1) Злоумышленнику известен логин root, по этому подборка пароля занимает в разы меньше времени.

2) Не все действия рута можно отследить аудитом.

3) Можно просто повысить привилегии админа до рута: sudo -s и производить настройку.
 

Olej

New member
Сообщения
1 307
#5
3) Можно просто повысить привилегии админа до рута: sudo -s и производить настройку.
Как минимум 4 варианта чтобы временно стать root:
Код:
olej@astra:~$ sudo mc
[sudo] пароль для olej:
root@astra:/home/olej# whoami
root
root@astra:/home/olej# pwd
/home/olej
Код:
olej@astra:~$ sudo sh
[sudo] пароль для olej:
sh-4.4# whoami
root
sh-4.4# pwd
/home/olej
sh-4.4# env | grep SHELL
SHELL=/bin/bash
Код:
olej@astra:~$ sudo -s
[sudo] пароль для olej:
root@astra:/home/olej# pwd
/home/olej
root@astra:/home/olej# whoami
root
Код:
olej@astra:~$ sudo -i
[sudo] пароль для olej:
root@astra:~# pwd
/root
root@astra:~# whoami
root
Как легко видеть, они чуть-чуть отличаются по результатам.
 
Сообщения
15
#6
Как минимум 4 варианта чтобы временно стать root:
Код:
olej@astra:~$ sudo mc
[sudo] пароль для olej:
root@astra:/home/olej# whoami
root
root@astra:/home/olej# pwd
/home/olej
Код:
olej@astra:~$ sudo sh
[sudo] пароль для olej:
sh-4.4# whoami
root
sh-4.4# pwd
/home/olej
sh-4.4# env | grep SHELL
SHELL=/bin/bash
Код:
olej@astra:~$ sudo -s
[sudo] пароль для olej:
root@astra:/home/olej# pwd
/home/olej
root@astra:/home/olej# whoami
root
Код:
olej@astra:~$ sudo -i
[sudo] пароль для olej:
root@astra:~# pwd
/root
root@astra:~# whoami
root
Как легко видеть, они чуть-чуть отличаются по результатам.
Добрый вечер! Такой вопрос: при установке создаётся какой то крутой пользователь с супер правами, его случайно удалили по кривой инструкции, вопрос как любого пользователя наделить постоянными правами рута?
 

Olej

New member
Сообщения
1 307
#7
Такой вопрос: при установке создаётся какой то крутой пользователь с супер правами, его случайно удалили по кривой инструкции, вопрос как любого пользователя наделить постоянными правами рута?
Вообще то, как я понимаю, просто добавить этого любого пользователя в группу astra-admin:
Код:
olej@astra:/etc/init.d$ cat /etc/group | grep astra
astra-admin:x:1001:olej
astra-console:x:333:olej
Делается это командой:
Код:
olej@astra:~$ /usr/sbin/adduser --help
...
adduser ПОЛЬЗОВАТЕЛЬ ГРУППА
   Добавить существующего пользователя в существующую группу
...
Только для выполнения таких действий нужно уже иметь административные права ... а как вам для этого их получить я так сразу и не понимаю...

P.S. Вообще, чтоб не попадать в такую засаду, хорошо бы сразу после установки а). создавать 2-го пользователя с админ правами, или б). одному или нескольким пользователям прописывать права на sudo (добавлять в группу sudo).
 

Olej

New member
Сообщения
1 307
#8
а как вам для этого их получить я так сразу и не понимаю...
Попробуйте загрузиться с того CD с которого устанавливали систему, но только не устанавливать, а в начальном меню выбрать "Режим восстановления" (?).
 
Сообщения
15
#9
Вообще то, как я понимаю, просто добавить этого любого пользователя в группу astra-admin:
Код:
olej@astra:/etc/init.d$ cat /etc/group | grep astra
astra-admin:x:1001:olej
astra-console:x:333:olej
Делается это командой:
Код:
olej@astra:~$ /usr/sbin/adduser --help
...
adduser ПОЛЬЗОВАТЕЛЬ ГРУППА
   Добавить существующего пользователя в существующую группу
...
Только для выполнения таких действий нужно уже иметь административные права ... а как вам для этого их получить я так сразу и не понимаю...

P.S. Вообще, чтоб не попадать в такую засаду, хорошо бы сразу после установки а). создавать 2-го пользователя с админ правами, или б). одному или нескольким пользователям прописывать права на sudo (добавлять в группу sudo).
Так root то пока остался, его ещё не заблокировали.
 
Сообщения
15
#10
Попробуйте загрузиться с того CD с которого устанавливали систему, но только не устанавливать, а в начальном меню выбрать "Режим восстановления" (?).
И что конкретно делать в этом режиме? Там есть такая функция? Восстановить пользователя?
 

Olej

New member
Сообщения
1 307
#11
1. Какой вариант системы Astra Linux у вас стоит? Покажите:
Код:
$ lsb_release -a
Так root то пока остался, его ещё не заблокировали.
2. Если действительно так, то всё гораздо проще:
- заходите как root в терминал...
- создаёте нового (/usr/sbin/adduser) обычного пользователя ... или используете имя уже имеющегося: "user1" ...
- добавляете этого пользователя в группу astra-admin:
Код:
# /usr/sbin/adduser user1 astra-admin
- проверяете:
Код:
$ cat /etc/group | grep user1
- в другом терминале (вкладке) логинитесь как user1:
Код:
$ su - user1
- в этом же терминале проверяете что у него есть админ. права на sudo:
Код:
$ sudo ls
P.S. Должно сработать ... кажется, ничего не упустил.
 
Сообщения
15
#12
1. Какой вариант системы Astra Linux у вас стоит? Покажите:
Код:
$ lsb_release -a
2. Если действительно так, то всё гораздо проще:
- заходите как root в терминал...
- создаёте нового (/usr/sbin/adduser) обычного пользователя ... или используете имя уже имеющегося: "user1" ...
- добавляете этого пользователя в группу astra-admin:
Код:
# /usr/sbin/adduser user1 astra-admin
- проверяете:
Код:
$ cat /etc/group | grep user1
- в другом терминале (вкладке) логинитесь как user1:
Код:
$ su - user1
- в этом же терминале проверяете что у него есть админ. права на sudo:
Код:
$ sudo ls
P.S. Должно сработать ... кажется, ничего не упустил.
Астра 1.5! Спасибо попробуем!
 

Olej

New member
Сообщения
1 307
#13
- создаёте нового (/usr/sbin/adduser) обычного пользователя ... или используете имя уже имеющегося: "user1" ...
После того как получится, проверите - если у вас так любят удалять пользователей :ROFLMAO: - создайте несколько таких пользователей с админ правами: user2, user3, ...
Только не говорите их имён остальным пользователям системы. :LOL:
 
Сообщения
15
#14
После того как получится, проверите - если у вас так любят удалять пользователей :ROFLMAO: - создайте несколько таких пользователей с админ правами: user2, user3, ...
Только не говорите их имён остальным пользователям системы. :LOL:
Дело не «в любят» «не любят», а в том, что такую «кривую» инструкцию дали...
 

Olej

New member
Сообщения
1 307
#15
Дело не «в любят» «не любят», а в том, что такую «кривую» инструкцию дали...
1. Ну ... в том, что во всём виновата невестка - это мы все знаем, кто бы сомневался. :eek:

2. Вы бы попробовали не инструкции, а книжку почитать...
Вот такую, например:

Маттиас Калле Далхаймер, Мэтт Уэлш, Запускаем Linux, 5-е издание.
Издательство: Символ-Плюс
Дата выхода: февраль 2008
Страниц: 992
Её, кстати, можно свободно, бесплатно скачать, например, здесь: Название книги: Запускаем Linux, 5-е издание
Или любую другую книгу подобную...

P.S. Я это не для того написал вовсе, чтобы вас поучать, а потому что "инструкции" можно непрерывно годами читать, и они будут противоречить друг-другу... А обстоятельная книга создаёт "картину мира", в которой вас уже не обманут никакие "инструкции".
 
Сообщения
15
#16
1. Ну ... в том, что во всём виновата невестка - это мы все знаем, кто бы сомневался. :eek:

2. Вы бы попробовали не инструкции, а книжку почитать...
Вот такую, например:


Её, кстати, можно свободно, бесплатно скачать, например, здесь: Название книги: Запускаем Linux, 5-е издание
Или любую другую книгу подобную...

P.S. Я это не для того написал вовсе, чтобы вас поучать, а потому что "инструкции" можно непрерывно годами читать, и они будут противоречить друг-другу... А обстоятельная книга создаёт "картину мира", в которой вас уже не обманут никакие "инструкции".
Книжки по Linux - это хорошо.. но есть astra- созданная специально для военных, а военные очень любят инструкции, и не очень любят тех, кто эти инструкции не выполняет...но за книжку спасибо, прочитаю как-нибудь на досуге!
 

Olej

New member
Сообщения
1 307
#17
но есть astra- созданная специально для военных, а военные очень любят инструкции, и не очень любят тех, кто эти инструкции не выполняет
1. Astra Linux очень и очень немногим отличается от Debian Linux (если считать в относительном % отличий), так что знать базовое состояние дел - это уже 90% дела.
2. Инструкции вокруг Astra Linux, мягко говоря, очень неважно написаны: а). постоянно и сильно отстают по времени-версиям, б). содержат ошибки и неточности, в). написаны языком кондовым o_O... Читать их можно и полезно только сравнительно зная состояние дел в базовой системе.
3. Я достаточно много лет проработал среди военных, в академии ВИРТА, по разработке новых видов вооружений, знаю предмет, и совершенно не разделяю дурацких бытующих стереотипов относительно "военных". ;)
 
Последнее редактирование:
Сообщения
15
#18
1. Astra Linux очень и очень немногим отличается от Debian Linux (если считать в относительном % отличий), так что знать базовое состояние дел - это уже 90% дела.
2. Инструкции вокруг Astra Linux, мягко говоря, очень неважно написаны: а). постоянно и сильно отстают по времени-версиям, б). содержат ошибки и неточности, в). написаны языком кондовым o_O... Читать их можно и полезно только сравнительно зная состояние дел в базовой системе.
и все же разница есть... например вот в этом, с астрой такой вариант не прокатит...«
Допустим у вас уже есть какой-то пользователь user, которому вы хотите дать root права:
Для этого необходимо открыть файл /etc/passwd, найти этого пользователя и изменить его UID и GID на 0»
 

Olej

New member
Сообщения
1 307
#19
вот в этом, с астрой такой вариант не прокатит...«
Допустим у вас уже есть какой-то пользователь user, которому вы хотите дать root права:
Для этого необходимо открыть файл /etc/passwd, найти этого пользователя и изменить его UID и GID на 0»
Не знаю, на вскидку, прокатит или не прокатит ... но это сама по себе "рекомендация" из числа совершенно дурацких - править вручную /etc/passwd, /etc/group, а то ещё и /etc/shadow. Для всех целей администрирования есть команды. А править вручную конфигурационные файлы, вообще - это уже последнее дело, когда ничто другое не помогает...
 
Сообщения
15
#20
Не знаю, на вскидку, прокатит или не прокатит ... но это сама по себе "рекомендация" из числа совершенно дурацких - править вручную /etc/passwd, /etc/group, а то ещё и /etc/shadow. Для всех целей администрирования есть команды. А править вручную конфигурационные файлы, вообще - это уже последнее дело, когда ничто другое не помогает...
Это не рекомендация править вручную, это простой пример, там конечно же дальше в посте был приведен код команды...