Comments 114
Откройте для себя удивительный мир:
free-for.dev
Очень приятно, что IT самый приятная для входа индустрия.
В дальнейшем лишь нужно не забывать, что открывать те или иные порты нужно не только в системе, но и в настройках VCN (Security Lists).
Теперь можно будет зайти на машину сразу под root-пользователемМне кажется, что не стоит приучать людей к такому. Удалённый вход под рутом — плохая привычка. Как и сидеть локально всё время под рутом. Для выполнения команд с правами суперпользователя есть sudo.
P.S. Как раз на днях настраивал выборочный обход блокировок на этой VPS, вдруг кому-то пригодится.
Удалённый вход под рутом — плохая привычка.А почему это? Я вхожу на свои серверы именно для того, чтобы что-то администрировать, а не для того, чтобы «сидеть там».
Или ключ тоже могут пробрутить? :)
Сейчас комп, с которого вы подключаетесь, уже в 99% не надо ни с кем делить. Уже мало кто работает за настоящим терминалом, запустить/закрыть putty — секундное дело, нет смысла долго держать сессию открытой.
А вот если надо чего сотворить скриптом, под тем же ansible, то здесь root милое дело, все же выполняется по заранее заданной программе.
нет смысла долго держать сессию открытой.
if [! -e "$(which tmux 2>/dev/null)" ]; then
echo «Tmux: not found.»
else
if [ $TERM != «screen» ]; then
( (tmux has-session -t remote && tmux attach-session -t remote) || (tmux new-session -s remote) ) && exit 0
fi
fi
Тупо так удобнее
— Да нельзя.
«А почему это? Я вхожу на свои серверы»
— Нет, root ssh — это не root
«что мешает вам делать sudo? Религия?»
— А он именно так и делает, т.к. sudo — это тоже не root
«Комп лочу даже дома когда отхожу. И кот на стол лазит»
— Подозреваете, что кот втихаря сгенерил себе приватный ключ, помимо публичного, который подсмотрел у вас?
«Кейсов много — совместная работа например, всем под root ходить?»
— А если не root, то это их оскорбляет или что? Почему не ходить под своим пользователем?
«sudo бывает дырявым, но это отдельный разговор.»
— А вот это как раз первая и самая правильная фраза (по смыслу) из всего треда. Формулировка так себе, поэтому и я позволю себе немного вольности.
Итак.
Вы смешали в кучу пользователей, утилиты и привелегии.
Sudo — это не команда, делающая вас root пользоваиелем, а утилита, очень гибко настраиваемая и позволяющая выполнять программы с привелегиями ЛЮБОГО другого пользователя. По умолчанию суперюзер, конечно же.
При этом программа выполняется от имени того пользователя, который ее запустил. Для красоты описания, наделим linux юзеров антропоморфнымы свойствами.
Например, вечером, вы разрешили своему сыну погулять подольше. При этом сын не стал вами, а вы — разрешением. Вы остались дома (в своем окружении), со своими тараканами (настройками, переменными и проч), а сын со своими.
И предположим, он на улице встретил друга, который говорит — погнали играть на заброшку и зная, что для этого требуется отдельное разрешение от вас — отказывает этому малолетнему бездельнику. (Привелегия на одну команду)
Вы же в это время решаете попить пивка с соседом у себя в квартире. Напиваетесь идете спать, а соседу говорите — творю любую фигную (root привелегии, окружение и переменные суперпользователя, но сосед при этом не станет вами (root-ом), даже съев и выпив все что было в холодильнике.)
Вам среди ночи звонит супруга, находящаяся в анный момент в командировке, но что-то подозревающая. Вы не хотите спалиться, поэтому даете трубку соседу — мол говори что хочешь, только отммаж, да и скажи пусть привезет гостинец. Сосед озвучивает это вашей супруги и на вопрос из трубки :«а ты кто такой, чтоб со мной так говорить?» — поручение мужа (это ssh доступ с root привелегиями, но и тут не root). Кстати ваш вопрос про скрипт и ssh. Вы удивитесь, что может ssh, открыв даже консольный хэлп)
Вы возможно возразите, что не может быть такой слюнтяй root. А попробуйте выполнить sudo под рутом? )) Более того, пользователь, может отключит root юзера без sudo, а т.к. Разблокировка требует sudo, тут, может возникнуть смешная ситуация,, если скажем sudo не установлено или неправильно сконфигурирован юзер — все, танцуйте — вы системе, которую невозможно хакнуть))
Еще есть файловые привелегии, внешние привелегии куча экеров процессов.
А еще, помимо кучи системных пользователей, групп (кстати, есть еще и группа — root, но тут уж сами разберетесь — без аллегорий) есть в некоторых гаджетах пользователь manufacturer, который имеет доступ к системе на низком уровне не указ ему root. Это я вспомнил к тому, что возможно, вы будете пытаться разблокировать рут на своем телефоне и искренне удивляться, что после перезагрузки телефона кто-то злой отбирает у вас права) Или программа не хочет запускаться, вы ведь под рутом.
Да и вишенкой на торите. Пользователь root создан, чтоб ни разу не залогиниться. Вам даже об этом намекает авторазметка дисков при установке.
да? Интересно, а что это Откройте нам тайну.
Можете еще поискать в чем разница между консолью и терминалом. Ну так между делом.
— — А он именно так и делает, т.к. sudo — это тоже не root
Этого не кто не утверждал.
— В итоге не очень понятно, что вы хотите сказать. Sudo может позволить вам выполнять от имени других пользователя команды, включая root. Перейти в окружение root полностью, перейти в окружение root перенеся ваши переменные, запуск нужных команд для пользователя, которые требует root доступа, при этом можно выделить в группу итд итп. Не очень понятно, зачем весь этот идиотизм с примерами.
Так же, есть добавление переменных, при проваливании в другого пользователя, что бы знать откуда было sudo
```declare -x SUDO_COMMAND="/bin/bash"
declare -x SUDO_GID=«1001»
declare -x SUDO_UID=«1001»
declare -x SUDO_USER=«ubuntu»```
это как пример.
Потенциально ключ может утечь. Хорошо, если паролем защищён (у вас так?). А если нет, то тот, кто получит ключ будет иметь полный доступ к машине. В случае с выделенным пользователем, атакующему, кроме ключа, нужно знать имя пользователя и пароль. Как бы тоже не очень хорошо, что посторонние на сервере, но дел натворить с ограниченными правами значительно меньше можно.
Речь была о том, есть ли смысл постоянно использовать sudo или просто залогиниться под root. То есть вовсе необязательно сразу логиниться под root. Вы можете сначала зайти под ограниченной учеткой, а уже из нее авторизоваться как root. Ну или продолжать упорно писать sudo перед каждой командой.
совместная работа например, всем под root ходить?
Простите за глупый вопрос, это особенности какого-то дистрибутива, что после захода под рутом перестаёт работать команда useradd?
Насколько я помню а амазоне такая же щедрость есть но со сроком годности 365 дней.
В GCP есть пожизненно-бесплатные ресурсы в некотором количестве. Не очень много, но на инстанс с виртуальным Микротиком хватает.
В GCP всего гигабайт бесплатного трафика, против, как помнится, 10 ТБ у Оракула.
Слово "пожизненно" значит что в течении жизни этой акции, могут через полгода закрыть
Могут, разумеется. Но уже много лет они эти ресурсы предоставляют без каких-либо проблем.
Гугл уже неоднократно 'пожизненные' сервисы или закрывал или устанавливал заградительные лимиты
Странно, в списке shapes нету 1 GB RAM always free машины, самая мелкая "VM.Standard.E2.1" 8 GB RAM. Ищу во вкладке "Specialty and Legacy", где она должна быть по идее. Может это от региона зависит? Хотя в справке написано что для моего региона always free VM доступны.
Создание аккаунта и привязка карты проходят одновременно -> на любой чих регистрация проваливается и запись о «недоделанном» пользователе остаётся, а карта не привязывается. В результате там или остаётся «труп» в базе и не удаляется через время мешая повторной регистрации или оно просто писалось особенными сеньорами.
Пробовал из интереса виртуальные/пластиковые, банковские/эпс. Даже если платёж проходит оно в итоге ломается. Вот вроде не рога и копыта лимитед, а впечатление как от самых убогих самописных панелей.
Ораклу не интересны мелкие юзеры, это огромный энерпрайзный монстр
Я до сих пор помню разговор с техподдержкой 10 летней давности, что-то не работает, звоню в поддержку… да, да… сервак такой-то, где-то за 800к)… лицензии куплены… да, Солярис, Спарк, oracle db на 2 процессора и этот сервер… переспрашивают… всего один сервер? Да… короткие гудки…
Уже потом через другую контору где больше оборудования оракла выяснили что они вообще не разговаривают с конторам которые покупают у них меньше какойто определенной суммы… ну тоесть вам будут отвечать отписками и динамить неделями… нас тогда вообще буквально послали...(сервак же вы купили в январе, а лицензии в сентябре… сейчас декабрь.нет оплаты с января по сентябрь, оплатите долг и приходите, нам плевать что сервака и складе лежали, у вас долг)… у меня до сих пор на них аллергия
общение с техподдержкой получилось только через почту. чат-онлайн не прошёл — когда у меня день — у них нет свободных операторов. а по почте ответили, что для регистрации нужна только кредитная карта (а дебетовую и виртуальную нельзя — еврик снимают, потом возвращают, а потом тишина), как и выше писали.
У меня нормально создалось с виртуальной карты.
Правда, через пару недель снёс виртуальную карту, а оракл зачем-то на неё полез, получил отказ и забанил аккаунт.
Ps ещё нужно учитывать, что сами сотрудники оракла шутят "its always free, but not always available" и не использовать бесплатные сервера для чего-то важного или критичного.
Это не глюк, это проверка валидности карты — снять денег, вернуть деньги.
В более сложных случаях просят ввести сумму, которую сняли (а-ля $1.27), чтоб подтвердить что это ваша карта.
Повторное? Поимел списания в 0.9€, 1€ подряд во время регистрации (с последующей отменой). Через ~ 3 часа в 10€, и через неделю с лишним ещё одно на 10€. Допускаю что их опять может переклинить и система опять захочет проверить. Собственно когда регистрировался первый раз — списание в 10€ получило отбой и регистрация прекратилась, правда никакой обратной связи и о том что я получил отбой я узнал только когда мне надоело ждать ту самую обратную связь
Но привет халяве: Out of capacity for shape VM.Standard.E2.1.Micro in availability domain EU-FRANKFURT-1-AD-3. Please try again later. :))
На free tier нельзя, ты намертво прикован к домашнему региону. Разве что помогать мозг техподдержке с сомнительными шансами. Так что если нужен ipv6 то выбрать надо США (только там вроде как есть)
ipv6 уже должен быть везде - https://blogs.oracle.com/cloud-infrastructure/post/ipv6-on-oracle-cloud-infrastructure
Во всяком случае у меня в Амстердаме он есть.
Включается при создании VCN, установкой галки "Enable IPv6 CIDR Block"
Можно добавить в существующую
Networking ->> Virtual Cloud Networks ->> Virtual Cloud Network Details ->> CIDR Blocks
"Add IPv6 CIDR Block"
2 недели проходит и дают бан. В поддержке не знают почему
Он реально полностью бесплатный. Нужно перейти в специальное меню и нажать на кнопку Upgrate чтобы Oracle начал списывать деньги. Если вы используете 250 евро и не перейдете на платное обслуживание, то они удалят все что не относится к Always free и запретят использовать платные услуги. К тому же, у вас будет целых 10 терабайт бесплатного исходящего трафика на месяц, в отличие от AWS с его 15 Гб
Проблема в том что привязанная карточка - не вечная, а её оракл регулярно проверяет, судя по комментариям.
Насколько я понял, поменять способ оплаты без перевода аккаунта в платный - нельзя.
По идее бесплатные сервисы должны остаться бесплатными и на платном аккаунте, но уже можно накосячить с финансовыми последствиями... :)
Зарегистрировался в облаке 10 февраля, сняли и вернули две суммы — 1 евро и 90 евроцентов.
А 14 февраля еще раз сняли и вернули 1 евро.
Возможно что такие проверки будут еще с какой-либо периодичностью, так что карту актуальную надо держать там.
Именно так. Виртуальный сервер перестал быть доступен дней через 10 с момента создания, БД и APEX— через 13-14 дней с момента создания.
На виртуалке поднял nginx, который был реверс-прокси для APEX. В БД/APEX были мои личные наработки.
Есть подозрение, судя по некоторым комментариям здесь, что попытались снова проверить банковскую карту, а там денег не оказалось (она у меня для интернет-платежей, потому есть необходимость в платеже — есть деньги на карте, ну и какая-то мелочь остаётся).
Но почему тогда не сразу все ресурсы забанили? Почему не написали что денег не хватает или хоть как-нибудь уведомили?
Но как я понял из ваших ответов — вы активно использовали полученные машинки :-( так что за “неактивность» видимо не отключали.
sudo su user_name
mkdir -m 700 .ssh
А дальше key-pair добавить. Разберетесь?
Т.к., судя по ответу только здесь — лишь на одну простую семантическю констукцию с моей стороны, которая у человека вызвать эмоции не могла бы в принципе, В ОТЛИЧИИ от двух моих других ответов, которые переполнены сложной морфологией и предпологающей восприятие контекста не в разрезе словарного значения слов, а основываясь на т.н. имманентном знании, эмоцианально далеко не нейтральную, но человеком пониманмаемую, даже при чтении по-диагонали.
Вчера, отвечая на ваш вопрос я искренне верил, что овечаю человеку (в контексте Тьюринга, конечно же). Я и подумать не мог, что хабр, на котором я всего года 2-3 уже не был превратился в настоящую спампомойку и ваш аккаунт и вся эта фейковая переписка переписка с «собеседниками» — это не просто подтверждение — это капля в море.
Отдам должное — не ожидал, что спам за последниие годы стал таким (ирония) качественным, что приятнее многих реальных собеседников. Я лично заметил только спаустя 3 своих ответа вам и то, только по формальным маячкам, на которые мне всегда было плевать — ни одного лайка дизлайка, все сообщения на столько нейтральный, что Швецария такая: «не, я не дотягиваю..» и 2К вашим каментам, который с момента регистрации нужно было выдавать по 4 штуки в сутки, в течение 5!!! лет КАЖДЫЙ день! Респект, конечно. Я это даже не хотел озвучивать, но мне прилетело от бота. Возможно вы и живой человек — оператор, просто юзаете крутую нейросетку. Переодичность ссылочной рекламы в ваших каментах, выверенная с такой сео точность, что действительно достойно уважения, учитывая, что тексты — даже не рерайт и залетают в СЕРП какоголтелые.В любом случае, возиожно нормальный чловек найдет ответ в поиске (тем более, смотрите сколько я вам тут нагенереровал «уникальных соседей») и будет хоть чем-то полезен ваш цирк.
Все ваши эмоции и рассуждения, несвязанные с темой, можете оставить при себе. Но считаю, что вы и подобные вам пользователи как раз и превращают хабр в помойку. Потому что: 1. Ваши ответы очевидны 2. Они никак не помогают решить вопрос. 3. Вы переходите на личности и уходите от темы. Поэтому дальнейший диалог с вами считаю неконструктивным.
Вообще я надеялся немного на другое решение.
Серьёзно? Вы рассматриваете это как решение, но все же хотелось бы чего-то другого? Уверяю вас — это самое пацанское из всех пацанских решений. Удаленно обновить конфигурацию сервиса, требующую перезапуска своего main процесса и единственному процессу, дающую вам удаленную возможность его же перезапустить с немаленькой вероятностью того, что этот процесс может и не стартануть — это мощно.
Чуть выше есть тред, где человек жалуется, что ему без объявления отрубили доступ к ресурсам — не стал тогда вдоваться в подробности, но, похоже ответ нашелся)
— в отете выше — написал, как сделать то что вы хотели.
Каким бы пользователем не пытался зайти на ssh (через putty) каждый раз вижу ошибку.
PuTTY Fatal Error
No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic)
ОК
Было у вас такое, как решали?
Публичный ключ был добавлен при создании инстанса? У тебя ещё есть вариант подключиться через функционал "console connection"
Во время создания скачал публичный ключ.
Так же пробовал через console connection подсунуть свой ключ.
Результат одинаковый. Такая же ошибка во всех случаях.
Честно говоря уже не знаю куда смотреть.
Обнови putty
Через console connection можно подключиться и через веб браузер. Открыв прямо на странице инстанса shell, там есть вверху страницы кнопка (он будет запущен где то у оракла, но в браузер будет транслироваться вывод) сгенерировать ключ, добавить в console connection, скопировать оттуда команду для подключения и вставить в shell.
Честно говоря я и сам ни разу не смог подключиться через console connection иначе чем через браузер, но сам факт, оно подключается.
P.S. для подключения нужен приватный ключ, если ты скачал публичный - нет ничего удивительного в неудачном подключении
Кто знает, как правильно полностью грохнуть этот Oracle account, чтобы создать новый Free tier, но уже в другом регионе?
Ммм, как это прекрасно.
Создаёшь аккаунт, а через 10 минут уже войти не можешь, пароль не подходит.
Сбросить пароль тоже не можешь, потому что якобы используешь не тот ПК+Браузер с которого заходил.
Решил таки попробовать.
Указал все правдивые данные.
Проверка карты вроде успешно - списали и тут-же вернули.
Зелёная кнопка всё ок.
И тут ж пишут - провал.
Написал в техподдержку. Ждиттте отттветтта.
Получаем бесплатные сервера в Oracle Cloud Free Tier