Каковы рекомендуемые способы защитить удаленное *, отклоняют установку от неуклюжего администратора?

На земле Ubuntu/Debian мы реализуем "твердые/мягкие" зависимости при наличии фактического, Зависит, но также и Рекомендует. Мы также имеем, Предлагает, которые являются еще более мягкими мягкими зависимостями.

6
03.07.2012, 01:39
5 ответов

Выполните свою установку в виртуальной машине. Возьмите снимок известного хорошего состояния. Возьмите снимки прежде, чем сделать что-либо опасное. Почти ничего не сделайте в серверной среде. Если Вы завинчиваете, соединяетесь с серверной средой и восстанавливаете снимок.

10
27.01.2020, 20:20
  • 1
    Конечно, это не препятствует тому, чтобы я завинтил серверную среду путем выдачи неправильной команды там... Иначе, не плохая идея. Но также и требует способных к виртуализации аппаратных средств и заканчивает тем, что уменьшил количество поршня, доступного машине, которую я надеюсь использовать... Некоторые хорошие позитивные аспекты, но несколько слишком много оборотных сторон, я думаю. –  killermist 03.07.2012, 02:15
  • 2
    Почти ничего не Сделайте в серверной среде. В наше время нет многих non-virtualization-capable процессоров, все еще работающих, и RAM не является очень дорогой. –  Gilles 'SO- stop being evil' 03.07.2012, 02:21
  • 3
    Мне очень свойственно установить Xen на новом сервере только для выполнения, тот паравиртуализировал гостя, которому предоставляют большинство имеющихся ресурсов (вне того, какого dom-0 / хост ОС требует). Это сохраняет меня от необходимости обратиться к (дорогим) удаленным рукам, когда вещи идут не так, как надо, неважно, кто или что вызвало ее :) Xen хорошо поддерживается Debian. –  Tim Post♦ 03.07.2012, 04:51
  • 4
    @TimPost, я не забываю смотреть на Xen прежде. Но это выглядело ОЧЕНЬ сложным для начинаний. Вы могли рекомендовать хорошему "начинающему" руководству для Xen? Я использовал Proxmox (KVM/OpenVZ) прежде, но иногда он заканчивает тем, что был неприятностью, пытающейся настраивать некоторые вещи. человек аплодисментов –  killermist 03.07.2012, 05:25

Резкая истина - то, что ничто не может защитить Вас от Вашей собственной глупости. Нет никакого DWIM (сделайте то, что я имею в виду), интерфейс. Компьютер не может сказать различие между тем, что является намеренным и что случайно. Неважно, то, сколько абстракции Вы наваливаете неправильную случайную команду, может уничтожить все это.

Простой ответ должен замедлиться и обратить внимание на то, что Вы делаете.

18
27.01.2020, 20:20
  • 1
    полезная точка, чтобы быть уверенным. Но я знаю, что рано или поздно, собираюсь фиксировать ООП. Если бы я не сделал, то я должен был бы начать сомневаться относительно своего человечества. Я ценю понятие, и я тренировал меня об этом после нескольких отказов, но в этой точке, я смотрю больше для предотвращения/смягчения повреждения, потому что я знаю, что рано или поздно ошибки неуклюжего администратора произойдут. Я не могу действительно изменить природу этого зверя (меня). +1 для хорошей мудрости. –  killermist 03.07.2012, 05:33
  • 2
    Не Сделайте предположения, имейте здоровую дозу паранойи, дайте команды как своя жизнь, зависевшая от них, полный удар паузы, прежде чем Вы будете нажимать Enter и будете думать о команде и ее побочных эффектах. И имейте резервные копии для того, когда это неизбежно не защитит Вас. –  Alexios 03.07.2012, 08:47
  • 3
    Резервные копии, резервные копии, резервные копии. И используйте sudo для того небольшого дополнительного края просьбы о Вашем пароле снова прежде, чем выполнить команду. –  Shadur 03.07.2012, 11:28
  • 4
    @Alexios I CAN НЕ настолько серьезно относиться к администрированию "моих собственных" машин. Если бы это превратилось в это, то я должен был бы распродать все свои аппаратные средства, и купить несколько планшетов и превратиться в типичный американский овощ, который не заботится о том, как работают вещи. Машины работы/клиента, то мышление полезно, но если я должен рассматривать свои собственные машины как этот, нет никакой радости в нем, и без радости, нет НИКАКОЙ ПРИЧИНЫ иметь его. –  killermist 03.07.2012, 19:29
  • 5
    @Alexios Одна из вещей, которые сделал правильно мой папа, состояла в том, чтобы привить мне бесстрашие "Независимо от того, что Вы делаете, Вы не можете повредить эту машину". (предоставленный, который был на Компьютере Цвета TRS-80 2, который был довольно пуленепробиваемым), но то мышление придерживалось. Если я должен пересмотреть каждое действие, то это не забава/изучение. В той точке это - тяжелая работа без выплаты. –  killermist 03.07.2012, 19:33

Ничто не препятствует тому, чтобы Вы стреляли себе в ногу. Вы "думали", что корневой раздел является картой с интерфейсом USB. Вы могли столь же легко принять важную машину за доступный VM. (Происходит в меру нас),

То, что важно, должно сделать услугу, которую Ваши компьютеры предоставляют, избыточный.

В этом случае у Вас могло быть две версии Linux, установленные на двух отдельных разделах. Можно сказать брату загружаться в другого. (Просто идея)

Что является самым важным, что Вы берете резервные копии и имеете стратегию восстановления.

В этом случае, так как Вы взяли на себя ответственность своих братьев ПК, необходимо взять резервные копии непрерывных басов любых данных, Вы можете, и хранить несколько копий у себя.

Можно также предоставить брату диск Linux USB загрузиться от с сервером SSH и набором пароля. И набор его ПК для начальной загрузки от USB. Затем в чрезвычайной ситуации, просто попросите, чтобы он вставил карту с интерфейсом USB и перезапустил ПК.

2
27.01.2020, 20:20
  • 1
    Это на самом деле - МОЯ машина, но работает на его сети (больше пропускной способности и этажерки). Идея оставить позади загрузочную Карту памяти, от которой я могу восстановить машину без него имеющий необходимость сделать что-либо кроме разъема/перезагрузки, является прекрасной идеей. Я должен был бы также проверить конфигурацию BIOS дважды, чтобы удостовериться, что она загрузит USB при наличии перед жестким диском, который с некоторой BIOS, может быть боль. Определенно стоящий дополнительного исследования/расследования. –  killermist 03.07.2012, 19:04

Одно маленькое, но возможно очень полезный шаг в том направлении должно установить molly-guard который предотвратит Вас от случайного вызова reboot или даже remote на удаленном хосте. Это обнаруживает, зарегистрированы ли Вы от удаленного, и требует, чтобы Вы ввели имя хоста для подтверждения действия.

2
27.01.2020, 20:20
  • 1
    Это не ужасная идея. Но я знал очень хорошо, где я был, и что я пытался сделать. Я дополнительно признаю, что Mollyguard на некоторых машинах препятствовал тому, чтобы я делал что-то глупое, которое я должен был знать лучше. Это не поможет непосредственно с неуклюжим из этого администратора, но +1 для хороших идей. –  killermist 03.07.2012, 20:10

Не делайте вещей как пользователя root. Настроенный sudo, чтобы позволить Вашей обычной учетной записи делать корневые вещи, но с паролем. Это дает Вам один последний шанс видеть то, что Вы действительно делаете.

Но когда Вы действительно работаете как корень, настраиваете псевдонимы для общих команд, которые вызывают интерактивное использование. например. alias rm="rm -i" сделает rm подсказка перед удалением. Вы можете явно переопределение с -f (сознательное решение), если Вы действительно хотите rm * (затем был бы rm -f *).

Вы не сказали, какой FS был на USB. Обычно они - VFAT. Можно смонтировать их с опциями заставить каждый файл уже, казаться, принадлежать определенному пользователю. Затем никогда на самом деле необходимо работать chown -r ... и таким образом устраните возможность ошибки.

Сделайте свое корневое приглашение оболочки красным, чтобы напомнить Вам, что Вы работаете с поднятым полномочием.

Обычно делает вещи трудными для Вас сделать, поскольку корень, с препятствиями, такими как пароль запрашивает, и т.д.

Теперь, после факта для фиксации его можно получить доступ к другой машине как он и использованию find показать Вам программы SUID/SGID. Затем заставьте поврежденный диск соответствовать тому chmod команда.

1
27.01.2020, 20:20
  • 1
    Это не ужасные рекомендации, но уже используемый как значение по умолчанию. Я действовал с помощью sudo chmod. И так как я только что использовал sudo, чтобы разделить и отформатировать диск (как btrfs), он помнил мою администраторскость и не попросил пароль снова. Кроме того, часть его была то, что я неправильно читал результаты ls -lh /dev/disks/by-uuid/ и помещенный неправильный UUID в/etc/fstab для/volumes/temp при монтировании. –  killermist 03.07.2012, 18:58
  • 2
    @killermist Хорошо затем, я предполагаю, что Вы были, подсознательно, связаны и полны решимости испортить компьютер своего брата. ;-) –  Keith 04.07.2012, 14:14

Теги

Похожие вопросы