vfclists's questions

A página ArchWiki - rsnapshot menciona a criação de vários usuários com uide gidconfigurado 0como um meio de criar usuários que fazem login remotamente para realizar backups.

Uma coisa que você pode fazer para mitigar o dano potencial de uma violação do servidor de backup é criar usuários alternativos nas máquinas clientes com uid e gid definidos como 0, mas com um shell mais restritivo, como scponly.

Presumo que o objetivo seja conceder a essas contas as permissões de leitura, gravação e execução do rootusuário, com a condição de que seu shell de login lhes conceda direitos reduzidos.

Isso significa que mesmo que as contas tenham o mesmo gide uidainda sejam distinguidas pelo nome da conta e tenham o mesmo gide uidlhes dêem os mesmos direitos de acesso que?

Eu configurei git diffpara ser um comando que chama substituto diff para visualizar diferenças de arquivos, ou seja, /usr/bin/vim -dR "$2" "$3"e que não funciona quando quero criar um patch usando git diff > patchfile.

Existe uma maneira de invocar diretamente o diff integrado do git sem desabilitar o diff substituto que uso para comparações visuais?

Estou executando um rsync -avzcomando que exclui um arquivo grande de 32 GB usando --exclude=/file/pathe não importa o que eu faça, rsynctransfere o arquivo.

Entendo que logicamente a --archiveopção significa espelhar tudo, mas o exame das -rlptgoDopções às quais a --archiveopção é equivalente não parece substituir explicitamente a --excludeopção

--archive, -a            archive mode is -rlptgoD (no -A,-X,-U,-N,-H)


--recursive, -r          recurse into directories    
--links, -l              copy symlinks as symlinks
--times, -t              preserve modification times
--perms, -p              preserve permissions
--group, -g              preserve group
--owner, -o              preserve owner (super-user only)
-D                       same as --devices --specials
--devices                preserve device files (super-user only)
--specials               preserve special files

Quando instalo alguns pacotes de software do Emacs em um shell não interativo, digamos, a partir de um org-babelarquivo, alguns dos pacotes resultam na mensagem abaixo:

debconf: unable to initialize frontend: Dialog
debconf: (Dialog frontend will not work on a dumb terminal, an emacs shell buffer, or without a controlling terminal.)
debconf: falling back to frontend: Readline

Eu sei que no caso do mysql, por exemplo, é para solicitar a senha do root, ou alguma outra coisa que busca as preferências ou configurações do usuário.

Presumo que nesses casos o instalador pode usar algumas configurações padrão e continuar.

Portanto, minhas principais preocupações são:

1. As consequências podem ser tão ruins?

2. Existe algum tipo de arquivo de resposta relacionado a cada pacote que pode ser passado ao instalador ou alguns arquivos padrão em alguns locais predefinidos que podem ser usados ​​para essa finalidade?

Por que a coluna de duração em .zsh_history geralmente é 0, embora o comando "history -D" a exiba?

Depois de testar esta resposta para Qual é a finalidade da coluna com '0' após o carimbo de data / hora numérico em .zsh_history? Percebo que embora o history -Dcomando exiba o tempo de execução do comando, a coluna de duração ainda ~/.zsh_historyexibe 0.

Qual é a causa disso?

É porque o ~/.zsh_historyarquivo é atualizado no comando inicial e não é atualizado depois, ou obtém history -Da hora de um local separado, talvez da memória ou de outro arquivo?

Qual é o propósito da coluna 0após o carimbo de data/hora numérico em .zsh_history?

: 1568128379:0;cp -a ~/.zshrc.pre-oh-my-zsh ~/.zshrc
: 1568128381:0;exit

Faz parte do carimbo de data/hora ou serve a um propósito totalmente diferente?

Estou tentando instalar o pacote Debian firmware-misc-nonfreeem uma determinada instalação do Linux.

╰─○ apt install firmware-misc-nonfree
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Package firmware-misc-nonfree is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'firmware-misc-nonfree' has no installation candidate

E algo parece estar segurando, mas em dois outros sistemas está tudo bem.

Esta é a saída deapt-cache policy

╰─○ apt-cache policy firmware-misc-nonfree
firmware-misc-nonfree:
  Installed: (none)
  Candidate: (none)
  Version table:
     20210315-3 -1
         -1 http://uk.mirrors.clouvider.net/debian bullseye/non-free amd64 Packages

Existe alguma maneira automatizada de encontrar a causa do conflito?

Estes são os conteúdos de/etc/apt/sources.list

# updated 2023-03-11-1956 for Debian 11 Bullseye

deb http://uk.mirrors.clouvider.net/debian/ bullseye main contrib non-free
deb-src http://uk.mirrors.clouvider.net/debian/ bullseye main contrib non-free

deb http://security.debian.org/debian-security bullseye-security main contrib non-free
deb-src http://security.debian.org/debian-security bullseye-security main contrib non-free

# bullseye-updates, previously known as 'volatile'
deb http://uk.mirrors.clouvider.net/debian/ bullseye-updates main contrib non-free
deb-src http://uk.mirrors.clouvider.net/debian/ bullseye-updates main contrib non-free

# deb http://uk.mirrors.clouvider.net/debian/ bullseye-backports main contrib non-free
# deb-src http://uk.mirrors.clouvider.net/debian/ bullseye-backports main contrib non-free

A única coisa que consigo pensar é que esta instalação é um sistema VirtualBox e que a virtualização pode ter algo a ver com isso.

Ele precisa de algum firmware binário que não esteja no diretório apropriado, mas posso copiá-lo dos outros sistemas para o local apropriado, onde pode ser carregado no momento da inicialização.

O sistema de empacotamento Debian mantém um log dos comandos emitidos quando a instalação de um pacote dispara uma retenção, remoção ou bloqueio de outro?

Eu tentei algumas das sugestões em https://askubuntu.com/questions/640986/how-to-get-a-list-of-installed-packages-held-back-from-upgrade , mas os comandos não aparecem qualquer coisa.

Percebo que quando compilo uma compilação personalizada de um programa empacotado armazenado em , /usr/binpor exemplo /usr/bin/emacs, which emacsmostra o executável já existente em /usr/bin/emacs, /usr/local/bin/emacsembora /usr/local/binocorra anteriormente no meu arquivo PATH.

Eu preciso entrar e sair, ou abrir um novo screenquadro antes de which emacsmostrar o novo binário.

Isso é por causa de algum cache ou há algum recurso de segurança que faz com que o caminho existente seja referenciado até o login novamente?

EDITAR :

Para aqueles que consideram esta pergunta duplicada ou respondida por outras perguntas, por exemplo - Como faço para limpar o cache do Bash de caminhos para executáveis? , Qual é a finalidade do comando hash? , esta pergunta pergunta especificamente sobre um shell, não sobre bash, ou o hashcomando embutido bash(que eu não conhecia), apesar de ser o shell padrão na maioria dos sistemas.

Existem outros shells, por exemplo, zsho que eu uso, fish, ksh, eshell, kshe host de outros novos shells, por exemplo, oilshellchegando ao mercado, por assim dizer.

Então eu acho que essa questão deve ser por si só, sendo sobre shells em geral, não um shell em particular ou outro.

Se há uma razão para isso, a experiência ensinou que é a opção sensata, ou tem a ver com economia ou desempenho do que outras respostas podem elaborar.

Eu teria preferido que esta edição fosse um comentário, mas eles são limitados em tamanho.

Digamos que uma chave autorizada esteja restrita ao comando para testar parâmetros, por exemplo, command="bin/testparameters"e a chamada ssh é:

ssh user@host 'some parameters which may include other commands'

Como pode bin/testparametersler o valor 'some parameters which may include other commands'.

Alguns utilitários como git e Gitolite podem restringir quais comandos uma chave SSH pode executar fazendo modificações nos authorized_keyarquivos.

O Gitolite, por exemplo, altera a entrada no authorized_keysarquivo assim:

command="/usr/bin/gitolite/src/gitolite-shell username",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty

Como esse comando está sendo executado na extremidade receptora, ele precisa processar o fluxo de dados que chega pela conexão SSH.

Como comandos como esse processam os dados de entrada, por exemplo, lêem o fluxo de dados de entrada e o enviam para quaisquer diretórios ou processos que o utilizem?

Como o serviço sshd pode escutar em portas diferentes, é possível configurar uma chave que funcionará apenas se a conexão for feita em uma porta, mas não na outra?

Com isso quero dizer que a chave aparece mais de uma vez na authorized_keyslista e a conexão será permitida se for feita na porta especificada na chave.

A ideia é usar a mesma chave, mas com uma command=opção diferente e outra para permitir que a mesma chave seja usada para serviços diferentes.

Meu laptop tem resolução de tela de 1366x768, mas eu quero criar um display X com uma resolução mais alta e rolar ao redor dele.

Era possível no Windows, onde os drivers e a placa gráfica permitiam.

O mesmo pode ser feito no Linux?

Antes de entrar nos detalhes do meu problema, há uma lista de discussão do debian que parece explicar a causa- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=854414

Após instalar o Debian 9, fazer login em shells remotos resulta na mensagem de erro "screen.xterm-256color: unknown terminal type". Em alguns casos, digitar export TERM=xterm-256colorcorrige o problema.

Quando eu entro em um console remoto e executo alguns comandos como apt-get xxxa mensagem de erro WARNING: terminal is not fully functionalaparece e o apt também adiciona- (press RETURN)WARNING: apt does not have a stable CLI interface yet. Use with caution in scripts.

O que eu noto é que quando eu pressiono Ctrl-Alt F1para executar esses comandos diretamente os problemas não estão lá, então eu assumo que há algo errado ou faltando na Konsoleconfiguração padrão do Debian 9 pode ser o problema e minha outra pesquisa parece apoiar isso.

O problema surge mais zshdo que bash, mas presumo que alguma alteração que fiz na .bashrcconfiguração anos atrás possa estar corrigindo-o.

Eu pensei em fazer algumas alterações, .screenrcmas li em algum lugar porque o Konsole é o terminal que é onde as alterações devem ser feitas.

Quais poderiam ser as falhas na configuração do meu Konsole, e elas poderiam ser provenientes de padrões definidos na configuração do X11?

Eu quero usar um dos módulos syslog do Drupal, mas colocar o log no diretório inicial do usuário para que não haja problemas de permissão quando o usuário quiser visualizar ou analisar o arquivo.

Existe uma maneira de definir uma configuração do syslog dessa maneira?

Instalei o Stretch e descobri que o NetworkManager fica no meu caminho com mais frequência, e prefiro me familiarizar com a administração da interface de rede em um nível inferior com base no conteúdo de /etc/network/interfaces.

Quais programas de linha de comando assumem a configuração da rede de tarefas quando o NetworkManager está desabilitado?

Existem vários programas como ip, ifconfig, iwconfig, e wicdé difícil dizer qual deles é usado /etc/network/interfacespara definir as configurações de rede.

Preciso criar uma espécie de conta "operador de backup", que possa ler todos os arquivos em um sistema para copiar para um sistema de backup sem permissão para modificar nenhum deles, inclusive aqueles que pertencem ao root.

A rootconta parece ser a única capaz de fazer isso, mas a rootconta não é impedida de executar o que quiser. A outra opção que posso pensar é colocar uma conta em um grupo que tenha direitos de leitura e tornar essa conta um membro de cada grupo de usuários. As rwxpermissões básicas no Linux não parecem criadas para isso.

O Linux tem algo mais sofisticado para esse propósito, como algo que as ACLs podem oferecer?

As permissões são para um usuário que efetua login de um servidor de backup remoto e faz backup de todos os arquivos para o servidor remoto. Se o servidor de backup for comprometido, essa conta não poderá fazer login no servidor do qual está sendo feito o backup e causar algum dano. As contas no servidor de backup também não devem poder fazer login no servidor de backup e causar algum dano se forem comprometidas.

Há um processo que ocupa 100% da CPU em um servidor baseado em KVM que estou executando.

Esta é a saída do htop.

  PID USER      PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command                 
22230 adminx     20   0  185M  3468  1600 S 100.  0.5 72h45:33 apache 
22232 adminx     20   0  185M  3468  1600 R 100.  0.5 72h45:12 apache 
10660 root       20   0 26880  4680  3176 R  0.0  0.6  0:00.11 htop
 1061 root       20   0  276M  5796     0 S  0.0  0.8  0:05.59 /usr/lib/snapd/snapd 
 9529 root       20   0 92796  6916  5992 S  0.7  0.9  0:00.11 sshd: root@pts/3

O nome do processo é apachee o usuário é adminx. Não deve haver nenhum apache executável no sistema e o usuário adminxnão deve executá-lo em nenhum caso.

A saída dos stracedois pids é mostrada abaixo.

strace -p 22230

epoll_wait(7, [], 1024, 204)            = 0
epoll_wait(7, [], 1024, 34)             = 0
epoll_wait(7, [], 1024, 500)            = 0
epoll_wait(7, [], 1024, 465)            = 0
epoll_wait(7, [], 1024, 34)             = 0
......

strace -p 22232

sched_yield()                           = 0
sched_yield()                           = 0
sched_yield()                           = 0
sched_yield()                           = 0
sched_yield()                           = 0
......

Não sei como o processo se originou e o servidor pode ter sido hackeado. Eu matei o processo e pretendo reinstalar o servidor.

Dado algo dessa natureza, como você rastreia como o processo foi iniciado, se não houver um executável com esse nome? Como a imagem da memória do executável pode ser capturada para análise e como suas alocações de memória podem ser analisadas?

PS. Eu encontrei o nome do executável. Parece que foi copiado para a memória compartilhada e excluído.

adminx@gw06  ~  ls -l /proc/10160/exe
lrwxrwxrwx 1 adminx adminx 0 Jun  3 09:22 /proc/10160/exe -> /dev/shm/apache (deleted)