Рецепты решения проблем с компьютерами и программами
чтобы вывести настройки сетевой карты есть команда: ifconfig
чтобы вывести только ip адрес, маску и подсеть можно выбрать эти даные конвеером из несколькоих команд:
Чаще всего на рабочих станциях и домашних компьютерах добавляют не-root пользователей в ниже указанные группы, чтобы дать доступ к оборудованию или функциям системного администрирования:
| Группа | Affected files | Назначение |
|---|---|---|
| adm |
/var/log/* |
доступ на чтение к log файлам. |
| audio |
/dev/audio , /dev/snd/* , /dev/rtc0 |
Доступ к звуковому оборудованию. |
| avahi | ||
| bin |
/usr/bin/* |
Right to modify binaries only by root, but right to read or executed by anyone. (Please modify this for better understanding…) |
| camera | доступ к цифровым камерам Digital Cameras. | |
| clamav |
/var/lib/clamav/* , /var/log/clamav/* |
И Clam AntiVirus. |
| daemon | ||
| dbus |
/var/run/dbus/* |
|
| disk |
/dev/sda[1-9] , /dev/sdb[1-9] |
Access to block devices not affected by other groups such as optical, floppy, and storage. |
| floppy |
/dev/fd[0-9] |
Access to floppy drives. |
| ftp |
/srv/ftp |
|
| games |
/var/games |
Access to some game software. |
| gdm | ||
| hal |
/var/run/hald , /var/cache/hald |
|
| http | ||
| kmem |
/dev/port , /dev/mem , /dev/kmem |
|
| locate |
/usr/bin/locate , /var/lib/locate , /var/lib/mlocate , /var/lib/slocate |
Right to use
updatedb command. |
| log |
/var/log/* |
Access to log files in
/var/log , |
| lp |
/etc/cups , /var/log/cups , /var/cache/cups , /var/spool/cups |
Access to printer hardware; enables the user to manage print jobs. |
| mem | ||
|
/usr/bin/mail |
||
| network | Right to change network settings such as when using NetworkManager. | |
| networkmanager | Requirement for your user to connect wirelessly with NetworkManager. This group is not included with Arch by default so it must be added manually. | |
| nobody | Unprivileged group. | |
| ntp | ||
| optical |
/dev/sr[0-9] , /dev/sg[0-9] |
Access to optical devices such as CD and DVD drives. |
| policykit | ||
| power | Right to use suspend utilities and power management controls. | |
| rfkill | ||
| root |
/* |
Complete system administration and control (root, admin). |
| scanner |
/var/lock/sane |
Access to scanner hardware. |
| smmsp |
sendmail group |
|
| storage | Access to removable drives such as USB hard drives, flash/jump drives, MP3 players; enables the user to mount storage devices through HAL and D-Bus. | |
| stb-admin | ||
| sys | Right to admin printers in CUPS. | |
| thinkpad |
/dev/misc/nvram |
Used by ThinkPad users for access to tools such as tpb. |
| tty |
/dev/tty , /dev/vcc , /dev/vc , /dev/ptmx |
Eg. to acces /dev/ACMx |
| users | Standard users group. | |
| uucp |
/dev/ttyS[0-9] , /dev/tts/[0-9] |
Serial and USB devices such as modems, handhelds, RS-232/serial ports. |
| vboxusers |
/dev/vboxdrv |
Right to use VirtualBox software. |
| video |
/dev/fb/0 , /dev/misc/agpgart |
Access to video capture devices, DRI/3D hardware acceleration (X can be used without belonging to this group). |
| vmware | Right to use VMware software. | |
| wheel | Right to use sudo (setup with
visudo ), also affected by PAM. |
При подготовке использован материал с сайта Archlinux.org
часто когда настраиваешь Linux компьютер требуется добавить в конец разных файлов строку (или несколько) с настройками. Это можно сделать не открывая файл в редакторе, тем более обычно рекомендуют открывать файл в редакторе vi или nano.
НО ведь новичок, да и не новичок в Linux не знает комбинации клавиш в этих консольных редакторах. Кроме того и действий требуется лишнего.
Вместо этого можно:
sudo — выполнить команду от имени другого пользователя
sudo -V | -h | -l | -L | -v | -k | -K | -s | [ -H ] [ -P ] [ -S ] [ -b ] | [ -p запрос ] [ -c класс|— ] [ -a тип_аутентификации ] [ -u имя_пользователя/#uid ] команда
sudo позволяет разрешенному пользователю выполнять команду как суперпользователь или другой пользователь, как определено в файле sudoers. Реальный и эффективный uid и gid при этом устанавливаются так, чтобы соответствовать таковым целевого пользователя, как определено в файле passwd (также инициализируется вектор группы, если целевой пользователь — не root). По умолчанию sudo требует, что бы пользователи аутентифицировали себя при помощи пароля (ЗАПОМНИТЕ: это пароль пользователя, не пароль root). Как только пользователь аутентифицировал себя происходит обновление временной метки и пользователь может использовать sudo некоторый период времени без пароля (по умолчанию пять минут, если в sudoers не указано другое).
sudo определяет, кто является авторизованным пользователем сверяясь с файлом /etc/sudoers и всеми файлами с подходящим названием в каталоге/etc/sudo.d. Указав для sudo флаг -v пользователь может обновить временную метку без выполнения команды. Строка приглашения для ввода пароля так же устаревает, если пользователь не введёт пароль в течение 5 минут (если в sudoers не переопределено другое).
Если не указанный в файле sudoers пользователь попытается выполнить при помощи sudo команду, то уполномоченному пользователю будет отправлено почтовое сообщение, как определено во время конфигурации или в файле sudoers (по умолчанию это root). Обратите внимание, что сообщение не будет отправлено, если неавторизованный пользователь пытается выполнить sudo с флагами -l или -v. Это позволяет пользователям определить — разрешено им использовать sudo или нет.
sudo может регистрировать оба типа попыток, успешные и не удачные, (так же как и ошибки) при помощи системного журнала регистрации событийsyslog(3), собственного журнала, или с использованием обоих вариантов. По умолчанию sudo регистрирует события через syslog(3), но это можно изменить во время конфигурации или в файле sudoers.
sudo акцептирует следующие параметры командной строки:
В случае успешного выполнения возвращаемым значением sudo будет возвращаемое значение выполненной программы.
В противном случае sudo завершает работу со значением 1, если обнаруживает проблемы в конфигурации/правах доступа или sudo не в состоянии выполнить заданную команду. В последнем случае сообщение об ошибке будет выведено в stderr. Если sudo не в состоянии получить stat(2) на одну или болееe запись в пользовательском PATH, то сообщение об ошибке будет выведено на stderr. (Если каталог не существует или если это на самом деле не каталог, запись о нем будет игнорирована и об ошибке сообщено не будет.) При нормальных обстоятельствах этого не должно произойти. Наиболее частая причина возврата от stat(2) «permission denied», если вы запустили автоматическое монтирование дисков и один из каталогов в вашем PATH находится на машине, которая в настоящий момент не доступна.
sudo пытается быть безопасной при выполнении внешних команд. Переменные, контролирующие выполнение динамической загрузки и связей, могут быть использованы для уничтожения программ выполняемых sudo. Для борьбы с этим, переменные окружения LD_*, _RLD_*, SHLIB_PATH (только HP-UX) и LIBPATH (только AIX), изъяты из окружения доступного для команд выполняемых всеми. sudo также изымает переменные IFS, ENV, BASH_ENV, KRB_CONF, KRB5_CONFIG, LOCALDOMAIN, RES_OPTIONS, HOSTALIASES, NLSPATH, PATH_LOCALE, TERMINFO, TERMINFO_DIRS И TERMPATH, поскольку они тоже могут представлять угрозу. Если установлена переменная TERMPATH и является именем пути, то она также будет игнорирована. Дополнительно, если переменные LC_* или LANGUAGE содержат символы / или %, то они будут игнорированы. Если sudo було собрано с поддержкой SecurID, то переменные VAR_ACE, USR_ACE и DLC_ACE будут также очищены. Список переменных, подлежащих очистке со стороны sudo, может быть распечатан в вывод команды sudo -V, выполненной от имени суперпользователя (root).
Во избежание подмены команд sudo проверяет «.» и «» (оба указывают на текущий каталог), когда осуществляет поиск команды в пользовательском PATH (если один из них есть в PATH) в последнюю очередь. Однако, обратите внимание, что фактическая переменная окружения PATH не модифицирована и передается программе, выполняемой sudo, в неизмененном виде.
Из соображений безопасности, если ваша ОС поддерживает разделяемые библиотеки и не отключает пользовательский путь поиска для программ использующих setuid (чаще всего), вы должны использовать параметры линковщика которые исключают такую возможность или линкуют sudoстатически.
sudo проверяет принадлежность каталога содержащего временные метки (по умолчанию это /var/run/sudo) и игнорирует каталоги с содержимым не принадлежащим root и доступным на запись только для root. В системах, позволяющих не привилегированным пользователям передавать права на файлы через chown(2), если временная метка находится в каталоге доступном для записи для всех (т.е.: /tmp), то возможна ситуация, когда пользователь создаст каталог каталог содержащий временную метку прежде, чем будет выполнено sudo. Однако, так как sudo проверяет права владения и режим доступа каталога и его содержимого, то вред может быть нанесён только «скрытыми» файлами, помещенными в каталог с временными метками. Это вряд ли случится в том случае, если владельцем каталогов с временными метками является суперпользователь и они не доступны для других пользователей для записи в них. Что бы обойти эту проблему вы можете использовать каталог для хранения временных меток (например /var/adm/sudo), никому не доступный для записи, или создать /var/run/sudo, с соответствующими владельцем (root) и правами доступа (0700) в системных файлах запуска.
sudo игнорирует временные метки с датой создания в далеком будущем. Временные метки с датой большей, чем настоящий момент времени + 2 * TIMEOUT будут игнорироваться, регистрироваться sudo и уполномоченному пользователю будет послано предупреждение. Это сделано во избежание создания временных меток с поддельными датами, которые позволят отдавать файлы пользователям.
Обратите внимание, что sudo регистрирует только явно выполненные команды. Если пользователь выполняет такую команду как sudo su или sudo sh, то команды выполненные из этих оболочек не будут запротоколированы и при этом их не затронет управление доступом sudo. Тоже-самое верно по отношению к командам, допускающим использование управляющих символов (включая большинство редакторов). В связи с этим должна быть проявлена осторожность при предоставление пользователям доступа к выполнению команд посредством sudo, во-избежание нечаянного предоставления пользователю доступа к оболочке суперпользователя (root).
Внимание: следующие примеры содержат работающие записи sudoers(5).
Для получения списка файлов в каталоге закрытом для чтения:
sudo ls /usr/local/protected
Для получения списка файлов домашнего каталога пользователя yazza на машине, где файловая система, содержащая ~yazza не позиционируется как корневая:
sudo -u yazza ls ~yazza
Для редактирования файла index.html как пользователь www:
sudo -u www vi ~www/htdocs/index.html
Для выключения компьютера:
sudo shutdown -r +15 «quick reboot»
Для создания списка занимаемого каталогами места в партиции /home. Обратите внимание, что это выполняется в под-оболочке (sub-shell) для выполнения cd и переадресации файла.
sudo sh -c «cd /home ; du -s * | sort -rn > USAGE»
sudo использует следующие системные переменные:
PATH Установленную в нормальное значение, если установлен SECURE_PATH. SHELL Используется для указания оболочки для запуска с параметром -s. USER Устанавливается к целевому пользователю (root, если параметром -u не определено другое). HOME В варианте -s или -H (или если sudo было сконфигурировано с
параметром —enable-shell-sets-home) указывает на домашний каталог целевого пользователя.
SUDO_PROMPT Используется как заданная по умолчанию подсказка пароля. SUDO_COMMAND Установлено на команды, выполняемые sudo. SUDO_USER Установлено на вход в систему пользователя, которому разрешено
вызывать sudo. SUDO_UID Установлено на uid пользователя, которому разрешено вызывать sudo. SUDO_GID Установлено на gid пользователя, кто вызвал sudo. SUDO_PS1 Если установлено, PS1 будет установлен на это значение.
/etc/sudoers /etc/sudo.d/* Описание того, кто и какие команды может выполнять /var/run/sudo Каталог содержащий временные метки
Многие люди годами работали над sudo. Эта версия содержит код написанного преде всего:
Todd Miller
Chris Jepeway
Краткую историю sudo смотри в файле HISTORY в дистрибутиве или в интернете по адресу http://www.sudo.ws/sudo/history.html.
Александр Блохин <sass@altlinux.ru> — перевод на русский язык.
Если вам кажется, что вы нашли ошибку в sudo, то отправьте рапорт об ошибке по адресу: http://www.courtesan.com/sudo/bugs/
Sudo поставляется «КАК ЕСТЬ’ и любые явные или неявные гарантии, включая, но не ограничиваясь неявными гарантиями, коммерческой ценности и пригодности для конкретной цели отрицаются. Подробности смотри в файле LICENSE, поставляемом вместе с sudo.
Не существует никакого простого способа предотвратить захват пользователем оболочки с правами суперпользователя (root), если он имеет доступ к командам оболочки.
Если пользователь имеет sudo ALL, то ничто не остановит его от создании собственной программы, которая даст ему оболочку привилегированного пользователя (root), не смотря ни на какие элементы ! в спецификации пользователя.
Выполнение сценариев оболочки через sudo может вызвать те же самые ошибки ядра, которые делают сценарии оболочки со сменой идентификатора пользователя опасными на некоторых операционных системах (если ваша ОС поддерживает каталог/dev/fd/, сценарии оболочки со сменой идентификатора пользователя в целом безопасны).
stat(2), login_cap(3), sudoers(5), passwd(5), visudo(8), grep(1), su(1).
нужно чтобы пользователь мог зайти на Linux в SSH или с консоли напрямую и выполнить какую-то команду, требующую прав root
ну не давать ему же пароль от root!
Можно включить его в группу admin, но и это лишнее количество передаваемых прав. Так он дел натворит! Можно дать ему доступ к sudo на конкретные команды или (и) переменные среды конкретного пользователя. Этому и посвящена эта запись.
Идея в том, что будет один пользователь и он сможет выполнять определенные команды от sudo не имея root прав. Но можно сделать это и нескольким пользователям.
Общий вид команд этого файла:
[пользователь] [хост]=([кем может стать]) [что может сделать]
#TVS
#%tvs-ssh-system-views TVS-Laptop = NOPASSWD: /home/tvs/scripting/test.sh # этот вариант с правами на выполнение скрипта группе не работает. Нужно указывать каждому пользователю.
sudo visudo
vova TVS-Laptop = NOPASSWD: /home/tvs/scripting/test.sh tvs TVS-Laptop = NOPASSWD: /home/tvs/scripting/test.sh
чтобы указанная в visudo команда работала нужно сделать
sudo имя_файла.sh
Также здесь, в настройках, указывается какие пользователи могут выполнять команды от sudo
# User privilege specification
root ALL=(ALL:ALL) ALL
Defaults env_reset #команда сбрасывает все переменные среды. Если нужен доступ к каким-то переменным среды, то их нужно указать здесь.
Defaults:%admin !env_reset # не сбрасывать переменные среды для группы admin
которая будет сохранять переменные окружения для всех пользователей группы admin, или:
Defaults:tvs env_keep=my_var1 #сохранить для пользователя tvs переменную var1
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL #членам группы admin дать все права root
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL #членам группы sudo дать разрешение выполнять любые команды
sudo -l
sudo -ll # показать полные данные по правам sudo для текущего пользователя
sudo -lU user_name
bc — Basic Calculator
позволяет делать вычисления с C подобным синтаксисом в консоли Linux. Принимает выражение для вычисления с конвеера.
Может делать операции с плавающей запятой.
echo 303701360 /1024 | bc
echo 303701360 /1024^2 | bc -l
cat /var/log/syslog
вывести файл, поставив впереди каждой не пустой строки порядковый номер
cat -b /var/log/kdm.log
cat -n /var/log/kdm.log
отображение не печатных символов:
Опция -E показывает символы конца строки.
Опция -e показывает непечатаемые символы плюс символ конца строки
Опция -T показывает символ табуляции
Опция -t показывает непечатаемые символы плюс символ табуляции
Опция -v показывает непечатаемые символы кроме табуляции и конца строки.
cat -n -A -E -e -T -t -v /var/log/kdm.log
cat -n /var/log/kdm.log /var/log/kern.log
эта команда посылает на выдачу объединенный поток из перечисленных файлов (выдавая их один за другим)
grep "dbus" /var/log/syslog
чтобы посмотреть календарь в консоли Linux нужно набрать команду:
cal # выведет календарь на этот год
cal -3 # выведет календарь на 3 месяца, начиная с текущего
http://forum.ubuntu.ru/?topic=124998.0
http://howtoit.ru/linux/shell/item/43-linux-svobodnoe-mesto-na-diske.html
stat -c %o /dev/устройство - узнать размер блока файловой системы
http://www.sbras.ru/win/docs/unix/awk/
http://linuxgeeks.ru/awk.htm
Для анализа нагрузки на диски очень полезна программа iostat, входящая в пакет sysstat:
apt-get install sysstat
раз в 10 секунд получать данные о нагрузке на HDD
более подробно можно прочитать здесь: http://www.sysadministrator.ru/proverka-sostoania-zestkih-diskov-v-linux
Это мне понадобилось, чтобы решить задачу смены пароля пользователя Samba через подключение Putty. При этом у меня есть файл содержащий соответствия IP адресов и логинов пользователей (у меня система такая: один компьютер — один пользователь).
<strong>cat '/home/tvs/scripting/15.txt' | while read LINE ; do awk "/^$LINE\ /{print \$2}" '/home/tvs/scripting/userip.txt'; done</strong>
разберем этот скрипт:
cat ‘/home/tvs/scripting/15.txt’ — вывести содержимое файла 15.txt
while read LINE ; # в конвеере на вход команды BASH чтения строк из конвеера:
do # начало действий цикла BASH
awk «/^$LINE\ /{print \$2}» ‘/home/tvs/scripting/userip.txt’;
done # конец действий цикла BASH
/^ — ^ это спецсимвол, поэтому он экранируется с помощью символа /
$LINE — переменная куда была считана строка с помощью while read LINE (строка из файла /home/tvs/scripting/15.txt)
/{print \$2}» — вывод значения 2го столбца файла /home/tvs/scripting/userip.txt
/{ — экранирование спецсимвола {, чтобы сказать что это относится к AWK, а не BASH
\$2} — экранирование спецсимвола $2 (переменной AWK, содержащей значение 2го столбца (или другими словами 2е значение текущей в строке
например в файле с содержимым: 127.0.0.1 localhost
выведет localhost
)
{} — в AWK действие, которое должно быть выполнено при нахождении нужного значения записывается в таких скобках, чтобы BASH не спутал их со своими вложенными запусками дочерних процессов в консоли эти скобки экранированны символами \
Таким образом этот файл выведет:
значение 2го столбца в файле /home/tvs/scripting/userip.txt, найденное в результате получения из файла /home/tvs/scripting/15.txt строки, содержащей IP адрес.
Причем, в файле /home/tvs/scripting/userip.txt будет найдена строка, совпадающая со значением IP адреса из файла /home/tvs/scripting/15.txt
чтобы создать функцию в BASH нужно объявить ее, а затем использовать:
function check_users_online()
{
# так начинается описание тела функции
echo «Есть юзеры»
} # так заканчивается описание тела функции
function check_users_online # указывается при вызове без скобок!
чтобы покрасить текст в консоли или скрипте для нее нужно сделать следующее:
#Это комментарий.
#Ниже объявляются переменные консоли (BASH интерпретатор команд)
SETCOLOR_GREEN=»echo -en \\033[1;32m»
SETCOLOR_RED=»echo -en \\033[1;31m»
SETCOLOR_NORMAL=»echo -en \\033[0;39m»
#как использовать:
$SETCOLOR_GREEN
echo «Этот текст выводится зеленым цветом.»
$SETCOLOR_NORMAL
echo «Этот цвет будет выведен с обычной расцветкой»
чтобы очистить экран в консоли linux наберите
http://www.k-max.name/linux/peremennye-intepretatora-bash/ — работа с переменными в Bash
unset my_var — удаление переменной в Bash
http://linuxgeeks.ru/bash-1.htm — Bash в примерах
http://habrahabr.ru/post/52871/ — циклы в Bash
http://eddnet.org/?p=1140 — запись в переменную результата работы скрипта и другие виды работ с переменными
http://www.samba.org/samba/docs/man/manpages/smbclient.1.html
команды:
smbclient -L — просмотр подключений к серверу SAMBA (кто висит на шарах) и какие файлы они используют.
чтобы отправить сообщение нужно запустить из Linux команду:
cat file_with_message | smbclient -N -M win_ computer_name
параметр -N — означает не запрашивать пароль
параметр -M после него через пробел указывается имя компьютера
Первым делом создайте резервную копию таблицы маршрутизации командой:
ip r > /backups/old_route_table
"ip r" — это сокращение от ip route, которое можно использовать в консоли Linux
> — символ направления всего что сообщит команда ip r в указанный файл /backups/old_route_table
Чтобы сбросить таблицу маршрутизации в Linux нужно выполнить в консоли команду:
ip ro flush all
чтобы восстановить настройки сохраненные в резервной копии нужно добавить в файл к каждой строке (в начало с пробелом команду:
ip r a __здесь текст который был на строке в файле__
пример:
было содержимое файла:
10.110.141.0/24 dev eth1 proto kernel scope link src 10.110.141.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.212
169.254.0.0/16 dev eth1 scope link
10.0.0.0/8 via 10.110.141.1 dev eth1
default via 192.168.1.1 dev eth0
стало:
ip r a 10.110.141.0/24 dev eth1 proto kernel scope link src 10.110.141.1
ip r a 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.212
ip r a 169.254.0.0/16 dev eth1 scope link
ip r a 10.0.0.0/8 via 10.110.141.1 dev eth1
ip r a default via 192.168.1.1 dev eth0
далее файлу нужно присвоить атрибут исполняемый и запустить. И таблица маршрутизации будет восстановлена.
<code>chmod +x </code>/backups/old_route_table
наберите в консоли следующие команды:
sudo aptitude update
sudo aptitude safe-upgrade
sudo aptitude why wine
sudo aptitude why-not wine
