Заметки по администрированию Linux

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

samp_2456

Участник

samp_2456

Участник
29 Фев 2016
5
1
Заметки по администрированию Linux
Здесь я собираю различные советы и приемы преодоления "граблей" на тему системного администрирования компьютера (сервера) под управлением Linux. Конкретно Fedora, поскольку я чаще всего пользуюсь именно этим дистрибутивом. Каждый из этих советов слишком мал, чтобы писать для него отдельную статью, а вместе они образуют своего рода шпаргалку сисадмина, которая поможет сэкономить время в нужную минуту.

Здесь приводятся только имена команд и типичные примеры их использования, чтобы получить подробную информацию используйте man.

Авторизация
Для авторизации с помощью открытых ключей нужно создать пару ключей командой ssh-keygen. Закрытый ключ помещается в ~/.ssh/id_rsa (или ~/.ssh/id_dsa) на локальной машине (откуда логинимся), а открытый в файл ~/.ssh/authorized_keys на машине-сервере (куда будем логиниться). Домашний каталог здесь соответствует пользователю, который логинится, на клиенте, и пользователю, под которым логинятся, на сервере.

Каталог .ssh должен иметь права 700, а файлы id_rsa, id_dsa, authorized_keys права 600.

Чтобы получить открытый ключ по закрытому, нужно выполнить ssh-keygen -y -f ~/.ssh/id_rsa (или id_dsa). Ключ будет выведен на STDOUT в том виде, в каком его нужно вставить в authorized_keys на сервере.

Каждый ключ (их может быть сколько угодно) в authorized_keys долен быть на отдельной строке, в конце файла долен быть перевод строки.

SELinux
Основная проблема — неправильный тип файла в контексте безопасности, из-за чего к нему не удается получить доступ. Ошибки доступа сохраняются в /var/log/messages вместе со всеми остальными сообщениями, либо в /var/log/audit/audit.log. Для поиска и просмотра расшифрованных сообщений можно использовать команду ausearch, в частности ausearch -m avc -ts today выводит список ошибок, связанных с невозможностью получить доступ, которые произошли в текущие сутки.

Для установки типа и других параметров контекста безопасности используется команда chcon. Вызов chcon -t тип устанавливает тип файла.

Для восстановления неправильно установленных (или не установленных совсем, то есть установленных по умолчанию) параметров контекста безопасности используется команда restorecon (читать инструкцию).

Некоторые часто встречающиеся случаи:

  1. Каталог журналов web-сайта (указанный в директивах ErrorLog, CustomLog и подобных) должен иметь тип httpd_log_t
  2. Каталог, в который httpd долен иметь возможность записывать данные и создавать файлы, должен иметь тип httpd_sys_rw_content_t
Если при отправке письма через функцию mail (PHP) возвращается ошибка, а в логе /var/log/maillog появляются сообщения
can not chdir(/var/spool/clientmqueue/): Permission denied
нужно проверить флаг httpd_can_sendmail командой getsebool httpd_can_sendmail и, если он выключен, включить командой setsebool -P httpd_can_sendmail 1 (от имени root). Параметр -P сохраняет значение флага на диск, чтобы оно осталось указанным и после перезагрузки.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя