vfclists's questions

Em algum momento no passado, sempre que eu tentava uma sshconexão com um servidor sem especificar a senha, ssheu tentava todas as chaves, ssh-agenta ponto de, se houvesse muitas chaves, meu endereço IP ser bloqueado por muitas falhas de conexão.

O comportamento parece ter mudado, pois mesmo que haja uma única chave válida na ssh-agentlista, tenho que incluí-la no comando, por exemplo ssh -i ~/.ssh/alternate-key user@host.

Isso se deve a alguma alteração na configuração ou a uma alteração no comportamento do sshpróprio executável?

Por vários motivos, principalmente por não precisar lembrar a senha, esqueço as senhas das contas e preciso executar um comando que exija uma senha, como usar sudoquando não o uso há muito tempo.

Geralmente, isso ocorre porque usamos chaves SSH para efetuar login na maior parte do tempo e precisamos de um comando que exija a senha, como alterar o shell, executar sudo ou algum outro comando que solicite a senha existente.

No que diz respeito à segurança, poder efetuar login no shell implica que o usuário está autorizado a executar o comando.

Neste caso, quero que o comando gere uma nova senha e a exiba na tela, usando algum pwgenutilitário parecido.

Tentei copiar alguns arquivos de cache do navegador para um disco separado e, embora o espaço livre fosse suficiente, o disco ficou sem espaço porque cada arquivo pequeno usado ocupava o espaço mínimo de alocação em disco.

Existe alguma ferramenta que altere o tamanho do bloco sem precisar copiar os arquivos, reformatar os discos e depois copiar os arquivos de volta?

Quero reservar determinados números de porta em um host de VM para uso pelas próprias VMs.

Existe um mecanismo pelo qual o host pode excluir essas portas de serem alocadas para processos não relacionados às VMs, consultando-as em uma lista ou verificando-as em relação a regras predefinidas?

Se algum outro software solicitar uma porta sem verificar com o host, ele deverá encontrá-la bloqueada, como se estivesse em uso.

As próprias VMs também são softwares em execução no host, então acho que elas podem ser bloqueadas, então deveria ser mais um sistema reservando certas portas para alguns utilitários específicos usados ​​pelo gerenciador de VMs para alocar essas portas.

Também pode ser relevante para contêineres Docker.

Atualização: As VMs compartilham o endereço IP com o host, e algumas portas de entrada precisam ser encaminhadas para serviços em execução nas VMs ou nos contêineres. Não sei se as portas de saída precisam ser reservadas, a menos que interfiram nos serviços de escuta. Acho que as regras do iptables podem distingui-las ou não.

A página ArchWiki - rsnapshot menciona a criação de vários usuários com uide gidconfigurado 0como um meio de criar usuários que fazem login remotamente para realizar backups.

Uma coisa que você pode fazer para mitigar o dano potencial de uma violação do servidor de backup é criar usuários alternativos nas máquinas clientes com uid e gid definidos como 0, mas com um shell mais restritivo, como scponly.

Presumo que o objetivo seja conceder a essas contas as permissões de leitura, gravação e execução do rootusuário, com a condição de que seu shell de login lhes conceda direitos reduzidos.

Isso significa que mesmo que as contas tenham o mesmo gide uidainda sejam distinguidas pelo nome da conta e tenham o mesmo gide uidlhes dêem os mesmos direitos de acesso que?

Eu configurei git diffpara ser um comando que chama substituto diff para visualizar diferenças de arquivos, ou seja, /usr/bin/vim -dR "$2" "$3"e que não funciona quando quero criar um patch usando git diff > patchfile.

Existe uma maneira de invocar diretamente o diff integrado do git sem desabilitar o diff substituto que uso para comparações visuais?

Estou executando um rsync -avzcomando que exclui um arquivo grande de 32 GB usando --exclude=/file/pathe não importa o que eu faça, rsynctransfere o arquivo.

Entendo que logicamente a --archiveopção significa espelhar tudo, mas o exame das -rlptgoDopções às quais a --archiveopção é equivalente não parece substituir explicitamente a --excludeopção

--archive, -a            archive mode is -rlptgoD (no -A,-X,-U,-N,-H)


--recursive, -r          recurse into directories    
--links, -l              copy symlinks as symlinks
--times, -t              preserve modification times
--perms, -p              preserve permissions
--group, -g              preserve group
--owner, -o              preserve owner (super-user only)
-D                       same as --devices --specials
--devices                preserve device files (super-user only)
--specials               preserve special files

Quando instalo alguns pacotes de software do Emacs em um shell não interativo, digamos, a partir de um org-babelarquivo, alguns dos pacotes resultam na mensagem abaixo:

debconf: unable to initialize frontend: Dialog
debconf: (Dialog frontend will not work on a dumb terminal, an emacs shell buffer, or without a controlling terminal.)
debconf: falling back to frontend: Readline

Eu sei que no caso do mysql, por exemplo, é para solicitar a senha do root, ou alguma outra coisa que busca as preferências ou configurações do usuário.

Presumo que nesses casos o instalador pode usar algumas configurações padrão e continuar.

Portanto, minhas principais preocupações são:

1. As consequências podem ser tão ruins?

2. Existe algum tipo de arquivo de resposta relacionado a cada pacote que pode ser passado ao instalador ou alguns arquivos padrão em alguns locais predefinidos que podem ser usados ​​para essa finalidade?

Por que a coluna de duração em .zsh_history geralmente é 0, embora o comando "history -D" a exiba?

Depois de testar esta resposta para Qual é a finalidade da coluna com '0' após o carimbo de data / hora numérico em .zsh_history? Percebo que embora o history -Dcomando exiba o tempo de execução do comando, a coluna de duração ainda ~/.zsh_historyexibe 0.

Qual é a causa disso?

É porque o ~/.zsh_historyarquivo é atualizado no comando inicial e não é atualizado depois, ou obtém history -Da hora de um local separado, talvez da memória ou de outro arquivo?

Qual é o propósito da coluna 0após o carimbo de data/hora numérico em .zsh_history?

: 1568128379:0;cp -a ~/.zshrc.pre-oh-my-zsh ~/.zshrc
: 1568128381:0;exit

Faz parte do carimbo de data/hora ou serve a um propósito totalmente diferente?

Estou tentando instalar o pacote Debian firmware-misc-nonfreeem uma determinada instalação do Linux.

╰─○ apt install firmware-misc-nonfree
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Package firmware-misc-nonfree is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'firmware-misc-nonfree' has no installation candidate

E algo parece estar segurando, mas em dois outros sistemas está tudo bem.

Esta é a saída deapt-cache policy

╰─○ apt-cache policy firmware-misc-nonfree
firmware-misc-nonfree:
  Installed: (none)
  Candidate: (none)
  Version table:
     20210315-3 -1
         -1 http://uk.mirrors.clouvider.net/debian bullseye/non-free amd64 Packages

Existe alguma maneira automatizada de encontrar a causa do conflito?

Estes são os conteúdos de/etc/apt/sources.list

# updated 2023-03-11-1956 for Debian 11 Bullseye

deb http://uk.mirrors.clouvider.net/debian/ bullseye main contrib non-free
deb-src http://uk.mirrors.clouvider.net/debian/ bullseye main contrib non-free

deb http://security.debian.org/debian-security bullseye-security main contrib non-free
deb-src http://security.debian.org/debian-security bullseye-security main contrib non-free

# bullseye-updates, previously known as 'volatile'
deb http://uk.mirrors.clouvider.net/debian/ bullseye-updates main contrib non-free
deb-src http://uk.mirrors.clouvider.net/debian/ bullseye-updates main contrib non-free

# deb http://uk.mirrors.clouvider.net/debian/ bullseye-backports main contrib non-free
# deb-src http://uk.mirrors.clouvider.net/debian/ bullseye-backports main contrib non-free

A única coisa que consigo pensar é que esta instalação é um sistema VirtualBox e que a virtualização pode ter algo a ver com isso.

Ele precisa de algum firmware binário que não esteja no diretório apropriado, mas posso copiá-lo dos outros sistemas para o local apropriado, onde pode ser carregado no momento da inicialização.

O sistema de empacotamento Debian mantém um log dos comandos emitidos quando a instalação de um pacote dispara uma retenção, remoção ou bloqueio de outro?

Eu tentei algumas das sugestões em https://askubuntu.com/questions/640986/how-to-get-a-list-of-installed-packages-held-back-from-upgrade , mas os comandos não aparecem qualquer coisa.

Percebo que quando compilo uma compilação personalizada de um programa empacotado armazenado em , /usr/binpor exemplo /usr/bin/emacs, which emacsmostra o executável já existente em /usr/bin/emacs, /usr/local/bin/emacsembora /usr/local/binocorra anteriormente no meu arquivo PATH.

Eu preciso entrar e sair, ou abrir um novo screenquadro antes de which emacsmostrar o novo binário.

Isso é por causa de algum cache ou há algum recurso de segurança que faz com que o caminho existente seja referenciado até o login novamente?

EDITAR :

Para aqueles que consideram esta pergunta duplicada ou respondida por outras perguntas, por exemplo - Como faço para limpar o cache do Bash de caminhos para executáveis? , Qual é a finalidade do comando hash? , esta pergunta pergunta especificamente sobre um shell, não sobre bash, ou o hashcomando embutido bash(que eu não conhecia), apesar de ser o shell padrão na maioria dos sistemas.

Existem outros shells, por exemplo, zsho que eu uso, fish, ksh, eshell, kshe host de outros novos shells, por exemplo, oilshellchegando ao mercado, por assim dizer.

Então eu acho que essa questão deve ser por si só, sendo sobre shells em geral, não um shell em particular ou outro.

Se há uma razão para isso, a experiência ensinou que é a opção sensata, ou tem a ver com economia ou desempenho do que outras respostas podem elaborar.

Eu teria preferido que esta edição fosse um comentário, mas eles são limitados em tamanho.

Digamos que uma chave autorizada esteja restrita ao comando para testar parâmetros, por exemplo, command="bin/testparameters"e a chamada ssh é:

ssh user@host 'some parameters which may include other commands'

Como pode bin/testparametersler o valor 'some parameters which may include other commands'.

Alguns utilitários como git e Gitolite podem restringir quais comandos uma chave SSH pode executar fazendo modificações nos authorized_keyarquivos.

O Gitolite, por exemplo, altera a entrada no authorized_keysarquivo assim:

command="/usr/bin/gitolite/src/gitolite-shell username",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty

Como esse comando está sendo executado na extremidade receptora, ele precisa processar o fluxo de dados que chega pela conexão SSH.

Como comandos como esse processam os dados de entrada, por exemplo, lêem o fluxo de dados de entrada e o enviam para quaisquer diretórios ou processos que o utilizem?

Como o serviço sshd pode escutar em portas diferentes, é possível configurar uma chave que funcionará apenas se a conexão for feita em uma porta, mas não na outra?

Com isso quero dizer que a chave aparece mais de uma vez na authorized_keyslista e a conexão será permitida se for feita na porta especificada na chave.

A ideia é usar a mesma chave, mas com uma command=opção diferente e outra para permitir que a mesma chave seja usada para serviços diferentes.

Meu laptop tem resolução de tela de 1366x768, mas eu quero criar um display X com uma resolução mais alta e rolar ao redor dele.

Era possível no Windows, onde os drivers e a placa gráfica permitiam.

O mesmo pode ser feito no Linux?

Antes de entrar nos detalhes do meu problema, há uma lista de discussão do debian que parece explicar a causa- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=854414

Após instalar o Debian 9, fazer login em shells remotos resulta na mensagem de erro "screen.xterm-256color: unknown terminal type". Em alguns casos, digitar export TERM=xterm-256colorcorrige o problema.

Quando eu entro em um console remoto e executo alguns comandos como apt-get xxxa mensagem de erro WARNING: terminal is not fully functionalaparece e o apt também adiciona- (press RETURN)WARNING: apt does not have a stable CLI interface yet. Use with caution in scripts.

O que eu noto é que quando eu pressiono Ctrl-Alt F1para executar esses comandos diretamente os problemas não estão lá, então eu assumo que há algo errado ou faltando na Konsoleconfiguração padrão do Debian 9 pode ser o problema e minha outra pesquisa parece apoiar isso.

O problema surge mais zshdo que bash, mas presumo que alguma alteração que fiz na .bashrcconfiguração anos atrás possa estar corrigindo-o.

Eu pensei em fazer algumas alterações, .screenrcmas li em algum lugar porque o Konsole é o terminal que é onde as alterações devem ser feitas.

Quais poderiam ser as falhas na configuração do meu Konsole, e elas poderiam ser provenientes de padrões definidos na configuração do X11?

Eu quero usar um dos módulos syslog do Drupal, mas colocar o log no diretório inicial do usuário para que não haja problemas de permissão quando o usuário quiser visualizar ou analisar o arquivo.

Existe uma maneira de definir uma configuração do syslog dessa maneira?

Instalei o Stretch e descobri que o NetworkManager fica no meu caminho com mais frequência, e prefiro me familiarizar com a administração da interface de rede em um nível inferior com base no conteúdo de /etc/network/interfaces.

Quais programas de linha de comando assumem a configuração da rede de tarefas quando o NetworkManager está desabilitado?

Existem vários programas como ip, ifconfig, iwconfig, e wicdé difícil dizer qual deles é usado /etc/network/interfacespara definir as configurações de rede.

Preciso criar uma espécie de conta "operador de backup", que possa ler todos os arquivos em um sistema para copiar para um sistema de backup sem permissão para modificar nenhum deles, inclusive aqueles que pertencem ao root.

A rootconta parece ser a única capaz de fazer isso, mas a rootconta não é impedida de executar o que quiser. A outra opção que posso pensar é colocar uma conta em um grupo que tenha direitos de leitura e tornar essa conta um membro de cada grupo de usuários. As rwxpermissões básicas no Linux não parecem criadas para isso.

O Linux tem algo mais sofisticado para esse propósito, como algo que as ACLs podem oferecer?

As permissões são para um usuário que efetua login de um servidor de backup remoto e faz backup de todos os arquivos para o servidor remoto. Se o servidor de backup for comprometido, essa conta não poderá fazer login no servidor do qual está sendo feito o backup e causar algum dano. As contas no servidor de backup também não devem poder fazer login no servidor de backup e causar algum dano se forem comprometidas.