Вообще, конечно, програмированием должны заниматься исключительно специально обученные люди. Со специальными дипломами.
Иначе в отрасли будет кавардак полный. Каждый, кому удалось вывести форму в браузере, причислит себя к программистам.
Примеров масса. Perl создал лингвист… Не каждый осилит… Turbo Pascal (он же Borland) — автор — «недоучка» математик и саксофонист, и помощники у него такие же, официантка коктейль-бара и бывший владелец ресторана…
И чего этот язык в институтах (универститетах), умные дядьки преподают талантливым будущим программистам.? Последние на этом языке даже дипломы защищают.
Потом пинают «недоучек»…
Не знаю, будет ли она полезной в наше время. Слишком, наверное, старомодной она получится. И не айтишной. Знаете, это для примера, чтобы был понятен ход мысли. Однажды только у одной веб-студии я наткнулся на идеальную рекламу. Звучала она примерно так — «У нас интернет-магазин обойдется вам не дороже 15000 долларов США, но если у вас нет хотя бы 3 миллионов на его работу, не заказывайте его у нас. Интернет-магазин это придаток бизнеса, но не его основа.» Примерно так. Перефразируя, скажу, что информационные системы — это не мир, это его придаток. Т.е. безопасность системы определяется не только наличием или отсутствием sudo, но и еще многими факторами, напрямую, казалось-бы, не связанными с работой ИТ-отделов. Коротко, между карточкой учета кадров и лабиринтным коридором в администраторскую еще очень много звеньев (и денег). И эти процессы — не прерогатива администратора системы, и даже не начальника админ-отдела.
Так что, если нет другой возможности, пользуйтесь sudo, не забывайте про длинные пароли, ограничение сеанса sudo и пр. Остальное оставьте владельцу предприятия — пусть у него голова болит. Просто иногда предупреждайте. Лучше письменно.
И желаю вам отсутствия притаившихся гостей и «чужих ягодиц» на ваших серверах.
Конечно же, есть правильное решение. Но, я думаю этот топик не предназначен для обсуждения этого вопроса, потому что слишком большой объем займет. Все зависит от бюджета организации и ценности системы. Если это какой-нибудь а-ля пельменная на колесах, или хостинг на коленке, то, конечно, трудно обеспечить надлежащую защиту. Не принимайте близко к сердцу. Ничего обидного здесь нет. Это только бизнес-вопросы. Просто админ-отдел это не только админы и системы, это нужно понимать. Просто вот такой он сс… sudo :)
P.S. А у вас в отделе все по простому?
А так я уже видел спецов из уважаемых учреждений. И вот результат работы их админисраторов (это не опечатка). Взлом сайта Верховной Рады Украины
Имелось ввиду sudo для некоторых пользователей. Хотя, работа отдела администраторов должна быть жестко увязана с работой отдела безопасности. И тут есть много механизмов обойтись без sudo. Расписывать здесь нет смысла. Все равно я против sudo в системе. Иногда это даже спасает от необдуманных действий.
Я делаю в root то, что нужно делать в root. И в Arch, и в Debian. Если нужно быстро — $ su - 'command' Сеанс закрывается сразу, никаких задержек, как по умолчанию в sudo, нет.
Т.е. в sudo есть сохранение сеанса, в течение этого времени можно зайти без пароля. Теоретически можно использовать.
и про sudo: я правильно понимаю, что по вашему мнению его вообще не должно быть в системе? ( или всё таки быть должно, но должно быть корректно настроено? )
Здесь палка о двух концах. Лучше, конечно, чтобы админ был один. В другом случае sudo только для админ группы.
Касательно п. 1 можно еще использовать $ sed = filename | sed 'N;s/\n/\t/'
Что же касается остального… Почти все указанные утилиты входят в так называемый core пакет — пакет базовых утилит системы. Поэтому, например, если у вас кто-то (?) удалит cat хотя-бы, то практически ни один скрипт инициализации системы работать не будет. Вывод, я думаю ясен.
Про утилиту ip, netstat, ifconfig — ip входит в состав пакета iproute, все остальные используют этот пакет.
Если его удалить из системы, сетевой стек вообще никак не поднимется. Ifconfig даже в Debian не рекомендуется к использованию.
Касательно adduser — он практически не используется — useradd из core делает все одной командой.
Там выше еще было про выключение. Скажу сразу — отмирает. Все новые версии дистрибутивов переходят на systemd — там все по-другому. Да, Debian тоже уйдет туда — выхода другого нет, нарушится связь пакетов. Впрочем, в новоиспеченной 7 уже намекнули на него в /etc.
Напоследок насчет случайного удаления.
Для того, чтобы что из указанного удалить, нужно иметь права root. Такие права имеет только администратор системы. Или пользователь из группы wheel, который, соответственно имеет доступ к root через sudo. Если администратор позволяет присутствовать в системе sudo — гнать надо поганой метлой!
Если администратор позволил себе удалить что-то из указанного, тогда не спасет, но может помочь получить моральную компенсацию потчевание виновника КАНДЕЛЯБРОМ.
Впрочем, от восстановления, трудного и неприятного, это не спасет.
Простая переустановка пакетов здесь тоже не поможет. В силу специфики системы.
Поставил-бы плюсик, да кармы не хватает.
Иначе в отрасли будет кавардак полный. Каждый, кому удалось вывести форму в браузере, причислит себя к программистам.
Примеров масса.
Perl создал лингвист… Не каждый осилит…
Turbo Pascal (он же Borland) — автор — «недоучка» математик и саксофонист, и помощники у него такие же, официантка коктейль-бара и бывший владелец ресторана…
И чего этот язык в институтах (универститетах), умные дядьки преподают талантливым будущим программистам.? Последние на этом языке даже дипломы защищают.
Потом пинают «недоучек»…
Так что, если нет другой возможности, пользуйтесь sudo, не забывайте про длинные пароли, ограничение сеанса sudo и пр. Остальное оставьте владельцу предприятия — пусть у него голова болит. Просто иногда предупреждайте. Лучше письменно.
И желаю вам отсутствия притаившихся гостей и «чужих ягодиц» на ваших серверах.
file /usr/bin/dir /usr/bin/dir: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=7e6f2e1b03b4e9431fb044f01171d533e3d48bf8, strippedА так я уже видел спецов из уважаемых учреждений. И вот результат работы их админисраторов (это не опечатка).
Взлом сайта Верховной Рады Украины
$ su - 'command'Сеанс закрывается сразу, никаких задержек, как по умолчанию в sudo, нет.Т.е. в sudo есть сохранение сеанса, в течение этого времени можно зайти без пароля. Теоретически можно использовать.
Здесь палка о двух концах. Лучше, конечно, чтобы админ был один. В другом случае sudo только для админ группы.
$ sed = filename | sed 'N;s/\n/\t/'Что же касается остального… Почти все указанные утилиты входят в так называемый core пакет — пакет базовых утилит системы. Поэтому, например, если у вас кто-то (?) удалит cat хотя-бы, то практически ни один скрипт инициализации системы работать не будет. Вывод, я думаю ясен.
Про утилиту ip, netstat, ifconfig — ip входит в состав пакета iproute, все остальные используют этот пакет.
Если его удалить из системы, сетевой стек вообще никак не поднимется. Ifconfig даже в Debian не рекомендуется к использованию.
Касательно adduser — он практически не используется — useradd из core делает все одной командой.
Там выше еще было про выключение. Скажу сразу — отмирает. Все новые версии дистрибутивов переходят на systemd — там все по-другому. Да, Debian тоже уйдет туда — выхода другого нет, нарушится связь пакетов. Впрочем, в новоиспеченной 7 уже намекнули на него в /etc.
Напоследок насчет случайного удаления.
Для того, чтобы что из указанного удалить, нужно иметь права root. Такие права имеет только администратор системы. Или пользователь из группы wheel, который, соответственно имеет доступ к root через sudo.
Если администратор позволяет присутствовать в системе sudo — гнать надо поганой метлой!
Если администратор позволил себе удалить что-то из указанного, тогда не спасет, но может помочь получить моральную компенсацию потчевание виновника КАНДЕЛЯБРОМ.
Впрочем, от восстановления, трудного и неприятного, это не спасет.
Простая переустановка пакетов здесь тоже не поможет. В силу специфики системы.
Поставил-бы плюсик, да кармы не хватает.