Комментарии 33
Самое главное не написали, где его взять (откуда ставить), в стандартных репах для CentOS его то нет.
goo.gl/YWWzN
goo.gl/YWWzN
0
Я так вижу, что формат ip адреса никак не проверяется? То есть можно ввести любой бред и он попадет в командною строку к iptables?
+2
Да, данный скрипт, как и статья в целом, приведены исключительно для демонстрации возможностей Pdmenu.
Вопросов безопасности (настроек sudo, ограничения прав созданного для pdmenu пользователя, грамотного написания shell-скриптов и т.д. и т.п.) я не касался, чтобы не раздувать статью. На эти темы уже есть достаточно много информации и примеров.
Понятно, что администратор должен подумать кому и какие возможности управления сервером он дает, чем это чревато и какие меры безопасности следует предпринять в каждом конкретном случае.
Вопросов безопасности (настроек sudo, ограничения прав созданного для pdmenu пользователя, грамотного написания shell-скриптов и т.д. и т.п.) я не касался, чтобы не раздувать статью. На эти темы уже есть достаточно много информации и примеров.
Понятно, что администратор должен подумать кому и какие возможности управления сервером он дает, чем это чревато и какие меры безопасности следует предпринять в каждом конкретном случае.
0
Ну для демонстрации возможностей — наверное таки подходит.
Если написали про обязательное логирование, напишите и про обязательную проверку всего, что ввел юзер.
Лично я бы сделал проверку формата, даже если бы единственным пользователем этой штуки был я сам.
Если написали про обязательное логирование, напишите и про обязательную проверку всего, что ввел юзер.
Лично я бы сделал проверку формата, даже если бы единственным пользователем этой штуки был я сам.
+1
Pageant из комплекта упростит доступ, ключами иметь доступ к серверу
p/s по ключу можно ограничивать скриптом (оболочкой) т.е. после логина хочет пользователь или не хочет будет выполнятся только определенный скрипт.
т.е. пользователь может не иметь шела вобще /bin/false
а скрипт будет выполнятся при заходе в систему…
p/s по ключу можно ограничивать скриптом (оболочкой) т.е. после логина хочет пользователь или не хочет будет выполнятся только определенный скрипт.
т.е. пользователь может не иметь шела вобще /bin/false
а скрипт будет выполнятся при заходе в систему…
0
Отличная статья, не знал о таком средстве. Спасибо.
+2
Это только я постарался читать Electr**i**S***pl***.com :)
+2
Знал, что это будет кому-то интересно.
Специально не зарисовывал наглухо :)
Специально не зарисовывал наглухо :)
0
www.electronicsshowplace.com/, да? :)
0
НЛО прилетело и опубликовало эту надпись здесь
Я сторонник максимальных ограничений.
Даже хостинговая панель управления (плеск) по умолчанию отключена и запускается только тогда, когда действительно нужна, после чего сервис снова останавливается (кстати, тоже через pdmenu).
Даже хостинговая панель управления (плеск) по умолчанию отключена и запускается только тогда, когда действительно нужна, после чего сервис снова останавливается (кстати, тоже через pdmenu).
0
Я даже не знаю как вебмин можно научить беспарольной авторизации по ключу.
0
ИМХО вебмин не совсем для этого, там при наличии кривых рук можно все поламать очень просто, что не подпадает под название топика: «как не дать новичку ошибиться».
0
А сделать аунтификацию, скажем, по ключам и не иметь проблем с привязкой по ip было не проще сделать?
+1
А что будет если я левый пользователь и нажму ^Z?
0
Откройте для себя dialog, который есть практически во всех дистрибутивах
+3
какой смысл в привязке к IP, если они не фиксированые и постоянно обновляются? поднимите VPN и юзайте сертификаты — раз настройте начальнику и готово, человеку не придётся адреса прописывать. это не говоря уже о том, что можно просто по SFTP с ключём ходить (выше уже упоминалось).
но вобще идея имеет место — надо сделать альтернативный шелл в виде текстового меню с ограниченной функциональность, хотя наверняка уже есть такие.
но вобще идея имеет место — надо сделать альтернативный шелл в виде текстового меню с ограниченной функциональность, хотя наверняка уже есть такие.
0
> поднимите VPN и юзайте сертификаты — раз настройте начальнику и готово, человеку не придётся адреса прописывать. это не говоря уже о том, что можно просто по SFTP с ключём ходить
Для конкретно этой задачи — да, согласен. Удобнее и проще.
Но целью топика все-таки было не показать решение конкретной проблемы, а раскрыть функционал и возможности pdmenu.
Для конкретно этой задачи — да, согласен. Удобнее и проще.
Но целью топика все-таки было не показать решение конкретной проблемы, а раскрыть функционал и возможности pdmenu.
0
Зачем вообще привязываться к IP? IP может не спросясь поменять провайдер, может возникнуть нужда зайти на сайт через левую сеть (wifi в аэропорту, GPRS, etc), с левого устройства… зачем?
Гораздо удобнее и надежнее аутентификация по ключу или по одноразовым паролям с привязкой к телефону/email.
Гораздо удобнее и надежнее аутентификация по ключу или по одноразовым паролям с привязкой к телефону/email.
0
Вопрос: почему не через веб-морду? Смысл давать шелл, а потом в нём городить жалкое подобие ncurses?
+1
От этой идеи пришлось отказаться, т.к. в моем случае (кроме всего прочего, уже сказанного) нужна была ещё и возможность останавливать/запускать веб-сервис.
0
Э… А написать простенький сервис для перезапуска веб-сервиса было не судьба? Повесили на отдельный порт управляющую штуку и всех делов.
Для перфекционизма: restart management service, форкается/демонизируется, перезапускает родителя, завершается.
Для перфекционизма: restart management service, форкается/демонизируется, перезапускает родителя, завершается.
+1
> А написать простенький сервис для перезапуска веб-сервиса было не судьба?
К сожалению, у меня не настолько богатый опыт, чтобы сделать это быстро и качественно, а затягивать с решением не хотелось. Да и pdmenu вполне понравилось малоопытным пользователям. Но да — веб-интерфейс приятнее и проще.
По свободе попробую реализовать и, возможно, следующая статья будет посвящена именно этому :)
К сожалению, у меня не настолько богатый опыт, чтобы сделать это быстро и качественно, а затягивать с решением не хотелось. Да и pdmenu вполне понравилось малоопытным пользователям. Но да — веб-интерфейс приятнее и проще.
По свободе попробую реализовать и, возможно, следующая статья будет посвящена именно этому :)
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Pdmenu или как не дать новичку ошибиться