Autor |
Sõnum |
pingviinimees
Pingviini kasutaja
Liitunud: 19.10.2009
Postitused: 59
|
|
Hi, "users and group management" all lubab teha ilma paroolita automaatset sisselogimist ainult kasutajale, roodule seda võimalust ei pakuta millegipärast. Muidugi huvitaks üksnes interaktiivne desktopi konsooli sisse logimine, mitte võrgupõhine sisselogimine (mis peaks jääma edasi parooliga).
Üritasin anda kasutajale root õigused (panin root gruppi), et siis kasutajana automaatselt sisse logida. Logib sisse küll automaatselt, kuid ikka ei luba "ifconfig" käsku ja muid iptablega seotud skripte jooksutada - teatab et pole õigusi. Tundub et grupid ei toimi üldse Linuxis. Vaatasin siis et failide õigused on millegipärast kasutajapõhised mitte gupipõhised. Mina seda pole nii seadnud ja see on iseenesest muidugi väga üllatav lähenemine õigustele. Edasi võtsin kogu partitsioonilt ACL maha - ja ikka ei midagi, ikka pole õigusi.
Äkki peaks ext3 asemel tegema mingi muu failisüsteemi et õigustest lõpuks lahti saada. Mul pole neid õigusi vaja, kuna masin hakkab olema tulemüür (iptables põhine FirewallBuilder), mis nagunii ise majandab. GNOME'sse aga pean saama automaatselt ilma paroolita sisse logida, et voolukatkestuse puhul GNOME üles tuleks. GNOMEt aga on vaja sellepärast, et see jäi ainukeseks võimaluseks taaskäivitada iptables skripti automaatselt vahetult peale sisse logimist. FirewallBuilderis soovitatud /etc/init.d/boot.local 'isse skripti käivitus ei toimi - veateade teatab et ei tunne br0 ära. Samuti ei toimi soovitatud 'if-up.d' kataloogi skripti lisamine - lihtne 'echo AAA > faili' skript ei käivitunud kunagi ei ip-vahetuse ega kaabli võrgukaardiga ühendamise järel. ifstatus aga näitab et interface on ükskõik millisel juhul alati nagunii UP, seega skript ei peagi toimima. Kui aga panen võrgukaardi seadeks 'by cable connection', siis ifstatus näitab et hoopis 'ifplugd' deemon on 'ifup' asemel ja jällegi loogiline et if-up.d ei peagi käivituma. ifplugd jaoks aga ei leidnud automaatset hooki. Fwbuilder soovitab veel lisada skripti käivitamine sysconfig-editori, kuid paraku jälle pole seal olemaski soovitatud DHCLIENT_SCRIPT_EXE keyd. Foorumites on ka paljud sama probleemiga et IF-UP.D ei käivita skripte. Soovitused on nagu issanda loomaaed - ükski ei toimi. IF-UP.D suutis elumärki anda üksnes bootimisel (käivitas siis skripti),
kuid paraku jällegi iptables skript laob lagedale üksnes erroreid, samas desktopilt käivitamine sujub ladusalt. Nii palju avastasin ise (seda ei teatud isegi foorumites), et if-up.d kaustast käivitatakse ainult linke skriptile, kui seal on skript ise, siis seda ei käivitata. No kas saab üks opsüsteem veel rohkem perses olla?
|
|
|
|
|
|
|
|
-ordi-
Vana Pingviin
Vanus: 32
Liitunud: 13.12.2008
Postitused: 821
Distributsioon: GNU/Linux
|
|
Asi on Sinus, mitte selles et Linux ei tööta. Üldiselt paistad oma jutu järgi kõva "googeldaja" olevat, nii et see ei tohiks ju Sinu jaoks raskusi valmistada. Windows on ka hea valik, sobib vast rohkem Sinule.
|
|
|
|
|
|
|
|
Sisyphos
Vana Pingviin
Vanus: 62
Liitunud: 24.02.2008
Postitused: 602
Distributsioon: Slackware
|
|
Lühidalt öeldes on rooduna sisselogimine NO-NO ja eriti on rooduna automaatne sisselogimine NO-NO-NO .
Miks ? Googel on sõber ja ütleb. Ja ka tavamõtlemine ütleb.
Suse kaitseb sind päris hästi sinu enda vastu
|
|
|
|
_________________
|
|
|
|
pingviinimees
Pingviini kasutaja
Liitunud: 19.10.2009
Postitused: 59
|
|
-ordi- kirjutas: | Asi on Sinus, mitte selles et Linux ei tööta.
|
Kas Sa oled siis targem ja oskad? Kuidas saab asi olla minus või sinus üldse?
Kui on kirjas, et nii-ja-nii peab tegema ja nii peab toimima, kuid ei toimi, siis kelle taga asi ikkagi on? Loogika ütleb et antud juhul eksib see ütleja, kes on siis developer antud juhul. Mina või sina ei puutu üldse asjasse, kuna ei väida midagi, leiuta ka midagi, ega pretendeeri millegile. Küsimus on ju selles, et kas documentatsioon vastab tegelikkusele või mitte.
|
|
|
|
|
|
|
|
pingviinimees
Pingviini kasutaja
Liitunud: 19.10.2009
Postitused: 59
|
|
Sisyphos kirjutas: | Lühidalt öeldes on rooduna sisselogimine NO-NO ja eriti on rooduna automaatne sisselogimine NO-NO-NO .
Miks ? Googel on sõber ja ütleb. Ja ka tavamõtlemine ütleb.
Suse kaitseb sind päris hästi sinu enda vastu |
Soovitan sul ka natuke oma peaga mõelda Google kõrvalt - kas ikka on root'una sisse logimine paha või pole ja kui on paha, siis kas sa tead ka miks see paha on või ainult loed Googlet ja kaagutad järgi mida keegi ees on öelnud. Windowsis näiteks on enamus kasutajaid administraatorina sees. Miks? Kas see on turvaline? Loomulikult pole see nii turvaline kui userina sees olla. Küsimus aga on selles, et kas on vaja sellist turvalisust alati. Kindlasti mitte. Seda turvalisust saavad asendada väga paljud muud komponendid - tulemüür-gateway, lokaalne-tulemüür, viirustõrjed, funktsionaalsust piiravad tweakid, varundus jne. Lisaks sellele, kui on tegemist masinaga, millel pole mitte mingit muud ülesannet ega kasutusala, kui ainult omaenda systeemi konfimine, nagu näiteks tulemüür-gateway, siis kas ikka on mõtet userina sees olla? Ei saa teha kõiki operatsioone SUDO'ga. Windowsis "run as"'iga tegelikult veel saaks teha, kuna seal "run as" toimib ka reaalselt (pisut tülikas siiski on seda teha serveri konfimiseks tundide kaupa), kuid Linuxis pole ju failiõigusedki grupipõhised, mis siis veel muust rääkida. Konkreetne näide aga kodust, kus naine oli algul oma masinas sees ainult userina. Siis aga hakkas iga natukese aja tagant "tule, installi mulle see jubin ära, ei saa midagi teha masinaga seni". Panin ta siis adninistraatoriks ja usu või mitte, ei tulnud mingeid viirusi ega sissemurdmisi, kuna loomulikult on olemas kõik tulemüürid ja viirustõrjed ning ka regulaarne varundus, mis vajadusel taastab kogu süsteemi (dokumendid on eraldi varundatavad) hetkega.
|
|
|
|
|
|
|
|
Sisyphos
Vana Pingviin
Vanus: 62
Liitunud: 24.02.2008
Postitused: 602
Distributsioon: Slackware
|
|
Ähh, ma unustasin ära, et sa oled see pingviinimees. Mõtlesin, et aitan tavalist hädasolijat.
Sinu masin - tee mis tahad.
|
|
|
|
_________________
|
|
|
|
pingviinimees
Pingviini kasutaja
Liitunud: 19.10.2009
Postitused: 59
|
|
Sisyphos kirjutas: | Ähh, ma unustasin ära, et sa oled see pingviinimees. Mõtlesin, et aitan tavalist hädasolijat.
Sinu masin - tee mis tahad. |
Ega ma ei lootnudki et aitad ja pealegi miks Eesti foorumis peaksid järsku targemad olema kui mujal, pole ju loogiline. Mina ei aita sind ka muul alal kui peaksime kunagi kohtuma.
|
|
|
|
|
|
|
|
Kaar3l
Vana Pingviin
Vanus: 37
Liitunud: 07.05.2007
Postitused: 692
Asukoht: Plv
Distributsioon: Ubuntu
|
|
pingviinimees kirjutas: | Soovitan sul ka natuke oma peaga mõelda Google kõrvalt - kas ikka on root'una sisse logimine paha või pole ja kui on paha, siis kas sa tead ka miks see paha on või ainult loed Googlet ja kaagutad järgi mida keegi ees on öelnud. Windowsis näiteks on enamus kasutajaid administraatorina sees. Miks? Kas see on turvaline? |
Tee mis tahad, kuid milleks sulle see root'ina sees olek on vajalik?
|
|
|
|
_________________ Hyva päiva!
|
|
|
|
pingviinimees
Pingviini kasutaja
Liitunud: 19.10.2009
Postitused: 59
|
|
Kaar3l kirjutas: |
Tee mis tahad, kuid milleks sulle see root'ina sees olek on vajalik? |
Sellest ma just kirjutasin ylalpool pikalt-laialt. Aga nii jutujätkuks ütlen veel, et Linuxi IPTABLES on ikka väga võimekas ja võimalusterohke systeem, kiire installiga ka lisaks.Ausalt öeldes teeb ära isegi kallitele appliance seadmete võimalustele. FirewallBuilderis on üks selline tabel, mis võrdleb IPTABLES võimalusi Ciscoga ja Cisco jääb ikka pooltes võimalustes alla Linuxi native IPTABLES'le. BSD PF on sama nagu iptables, kuid eelisena veel lisaks see, et kõik reeglid on staatiliselt mälus ja pole tarvis scripti restarti.
Näiteks on võimalik väga lihtsalt kommuteerida 'stateless' ja 'stateful' vahel, suunata konkreetset ühendust teisele gatewayle, ilma src-des muutmata, märgistada tervet sessiooni jne jne mida paljud müürid ei võimalda.
Ainult ka mulle tuli üllatusena see, et käsureaga pole midagi tegemist kogu tulemüüri reeglite paika panekul. Iptabest on jällegi maalitud mingi totter arusaam nagu peaks kogu tegevus toimuma käsurealt ning tänu sellele on ka paljude eelistus langenud appliance seadmetele, kuna pole viitsimist neid käsurealt teha. Muidugi monitooring on väga nõrk koht, pea olematu võrreldes appliancedega ning kui on monitooringut tarvis siis muidugi native Linux ei kõlba.
|
|
|
|
|
|
|
|
Kaar3l
Vana Pingviin
Vanus: 37
Liitunud: 07.05.2007
Postitused: 692
Asukoht: Plv
Distributsioon: Ubuntu
|
|
_________________ Hyva päiva!
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
|
|
pingviinimees
Pingviini kasutaja
Liitunud: 19.10.2009
Postitused: 59
|
|
Kaar3l kirjutas: | rc.local ? |
Aga suured tänud vihje eest, see toimis. Ainult faili nimi on RC mitte RC.LOCAL Täitsa hea ikka. FWBuilderi dokis on kirjas:
Tsitaat: |
The universal method is to put generated script in /etc or /etc/firewall directory and add a line at the
bottom of script /etc/rc.d/rc.local (Mandrake and RedHat), /etc/rc.local (Debian, Ubuntu and derivatives) or /etc/init.d/boot.local (SuSE) like this:
/etc/firewall/firewall.fw
|
...mis ei toiminud ja veel selline jutt:
Tsitaat: |
There must be better way to turn firewall off on SuSE, but we do not know it.
|
....ja mina sain loomkatsete ja Eesti foorumi abiga paremini Linuxi tööle kui need kes Linuxile tarkvara kirjutavad (ja hulga hädalisi erinevates foorumites). Normaalne, ma ei imesta enam üldse millegi üle, umbes nagu p...peaga tehtud, ei mäleta isegi. Aga see "me ei tea täpselt, küllap on parem lahendus" on lahe väljend, suppordi töötajad võiksid kasutada sellist väljendusviisi klientidega suhtlemisel. Jah, "ruut on turvaline" ja puha....turvalisuse peaks vist üldse kõrvale jätma kui random faktori.
|
|
|
|
|
|
|
|
zaxon
Vana Pingviin
Vanus: 47
Liitunud: 10.04.2006
Postitused: 478
Asukoht: Tartu
Distributsioon: Gentoo
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
Aitab sellest trollimisest, teema lukku..
|
|
|
|
_________________
|
|
|
|
|