Вопрос ребром о правах суперпользователя

[Heider]

almasvas, если хотите "нестандартно" зарубить безопасность, гуглите по словам visudo и /etc/sudoers. Возможность раздать права суперпользователя кому-попало там есть. Как это сделать, рассказывать не буду, у себя так никогда не делаю.

А вообще, насколько я понял, вы монтируете раздел ntfs, чтобы его смонтировать с правильными правами нужно указать маску монтирования. Подробнее здесь и здесь. Этот путь более правильный.

зы: Нацеливаясь на один лишь результат, можно сломать любой инструмент. Например, можно микроскопом забивать гвозди. Результат тоже будет.

[Peter_I]

almasvas,
Так вы покажите, как у вас монтируются эти сетевые ресурсы.
Вообще, если диск уже смонтирован, то вторично тем же путём он монтироваться не будет.
Если ваш пользователь имеет к ним доступ по записи, то смотрите, от чьего имении запускается
программа, это ваш сервер или что, которая должна в него записывать, т.к. программа с его правами
должна иметь такой доступ.
Когда этот пользователь что-то записывает в сетевой каталог, то как он это делает?
Пользователь решил продолжить мысль 24 Марта 2016, 13:43:38:AnrDaemon,
Права на каталог 775 - это вполне нормально.

[almasvas]

visudo и /etc/sudoers гуглил разные статьи, все попробовал, вот что в итоге в файле

Код: [Выделить]

# User privilege specification
root ALL=(ALL:ALL) ALL
user ALL=(ALL:ALL) ALL
postgres ALL=(ALL:ALL) ALL
user1cv82 ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
admin ALL=(ALL) ALL
usr1cv82 ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
sudo ALL=(ALL:ALL) ALL
usr1cv82 ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

ALL ALL=(ALL) NOPASSWD:ALL

Все равно пользователь связан по рукам ногам.

если хотите "нестандартно" зарубить безопасность,

Да, безопасность нужно зарубить полностью, чтобы как в винде она заключалась только в пароле. Для данных целей пароля более чем достаточно (но если пришлось бы и он не нужен)

вы монтируете раздел ntfs,

Я ничего не монтирую. Все что нужно делать, делает служба srv1cv82. Но никто не знает что конкретно.

микроскопом забивать гвозди

Возможно вы правы, я забиваю микроскопом гвозди. Потому что этот микроскоп бесплатный, эффективный, но в последнее время с навязчивым защитным кожухом, мешающим работать.

А что я могу сломать? Я ее установил только ради этой 1с. Не сломаю безопасность, работать не будет. Чем грозит отключение безопасности, если сервер стоит в закрытом помещении, не имеет доступа по SSH, не является рабочим местом, и должен предоставлять то, что не имеет особой ценности?

Эта безопасность, для маленького рядового сервера - из пушки по воробьям. Зачем ее навязывать? Лишать выбора? Ubuntu опопсела, стала умнее пользователя, а пользователи расслабились и стали ленивыми.

Пока она целит на высокие стандарты в серьезных отраслях, основной ее контингент обычных обывателей просто отвалится. Нужно всегда давать выбор и не навязывать свои эти стандарты безопасности. Вот я например, уже отваливаюсь. Мог бы пользоваться, но придется все переустанавливать на более адекватные системы, centos, debian и т.д. где нет таких заебов.
Пользователь решил продолжить мысль [time]24 Март 2016, 15:19:42[/time]:

Так вы покажите, как у вас монтируются эти сетевые ресурсы.

Я ничего не монтирую. сервер 1с развернут и готов к употреблению, все последующие настройки производятся через 1с клиента, конфигуратор, консоль и т.д. в windows. Указывается путь в виде \\ftpserver\ftp\ , и передается регламентному заданию. Задание выполняется службой сервера, но что она при этом делает, я не знаю. Вряд ли разработчики распишут мне весь процесс.

от чьего имении запускается программа

служба сервера запускается от имени пользователя usr1cv82 который автоматически создается при установке.

Когда этот пользователь что-то записывает в сетевой каталог, то как он это делает?

Когда пользователь (человек) что то делает, он делает это в клиенте 1с на платформе windows и запись в каталог по этим путям происходит без проблем.
Регламентное задание, это задание которое выполняется без участия пользователя (человека), то есть службой srv1cv82, которая запускается на ubuntu от имени пользователя usr1cv82 созданного при установке 1с сервера.

В windows чтобы получить доступ в каталог, ничего монтировать не нужно. Но чтобы понять как получает доступ к сетевому ресурсу d ubuntu служба srv1cv82 , нужно знать, только через монтирование это возможно в ubuntu?
Когда я в графической оболочке захожу в сетевое окружение и сразу на сетевой ресурс, за кулисами происходят динамические монитрования?

[Peter_I]

almasvas,
Да, в Linux доступ к ресурсу, находящемся на диске, не входящем в загруженную систему, возможен только после монтирования
этого диска. Если это для вас новость, то думаю, что вам будет непросто настроить желаемый доступ.
Вы сначала разберитесь, что делает при запуске эта служба сервера и как подключается диск с ntfs.
Вы говорите, что служба сама его подключает. Я думаю, что это неправильно и он должен подключаться системой
через /etc/fstab, тогда и дать доступ пользователю будет проще. man mount, man nfs И опять же права на каталог,
куда сетевой ресурс будет монтироваться, и владелец с группой.

[Yuriy_Y]

Я ничего не монтирую. Все что нужно делать, делает служба srv1cv82.

Так вот тебе и косяк. Монтировать нужно самому и для службы.

В windows чтобы получить доступ в каталог, ничего монтировать не нужно.

Точно? Хотелось бы на пруфы поглядеть. Но это не для этого форума.

Указывается путь в виде \\ftpserver\ftp\

А должен указываться как smb://ftpserver/ftp/. Курение манов никто не отменял же.

Эта безопасность, для маленького рядового сервера - из пушки по воробьям. Зачем ее навязывать? Лишать выбора? Ubuntu опопсела, стала умнее пользователя, а пользователи расслабились и стали ленивыми.

Пока она целит на высокие стандарты в серьезных отраслях, основной ее контингент обычных обывателей просто отвалится. Нужно всегда давать выбор и не навязывать свои эти стандарты безопасности. Вот я например, уже отваливаюсь. Мог бы пользоваться, но придется все переустанавливать на более адекватные системы, centos, debian и т.д. где нет таких заебов.

almasvas, мне кажется, вы позиционируете себя умнее целого сообщества убунтоводов, и даже умнее разработчиков системы, даже не представляя себе многих элементарных вещей. И все это вместо того, чтоб разобраться с проблемой. Вам твердят, что рут демонам вреден, вам же хочется дать рута кому попало вообще. Типично вендовый подход к проблеме. Из-за чего венду стали называть "маздаем"? Вот как раз из-за такого "коекакерского" админства. Ладно еще она сама по себе валится, так еще же и пользователи с админскими правами помогают. А тут дать права рута ваще непонятно кому и зачем. Не понимаю. Возможно, я просто стар и глуп стал, не спорю. Ну и как раз "простые обыватели" линуксом не пользуются, ибо тут нужно хоть изредка, но включать мосск.
Про тезис о "более адекватных системах" я даже своим тапочкам не стал рассказывать, чтоб они не ржали. Я еще пойму про центось, это немного другая система, но Ubuntu - это тот же дебиан, только под углом в 18 градусов. Ну и в дебиане по дефолту рут не залочен. ВСЁ, КАРЛ, ВСЁ! Отличия только в мелочах.

[almasvas]

Вы сначала разберитесь, что делает при запуске эта служба сервера и как подключается диск с ntfs.

Peter_I
Как это можно узнать? Подключается скорее всего автоматически и динамически (временно), так как я могу в реальном времени сделать 10 таких заданий в 1с, запустить, тут же поменять путь. Если бы после каждого добавления регламентного задания в 1с, нужно было вызывать админа, чтобы он лез на сервер и что то там прописывал в fstab, то это был бы ад.

Я думаю, что это неправильно и он должен подключаться системой
через /etc/fstab

Расскажите это разработчика 1с. Это их сырой продукт, и слабо поддерживаемый, но он работает. Пусть некоторые его функции требуют нестандартного подхода с правами, но работает.

Yuriy_Y,

Так вот тебе и косяк. Монтировать нужно самому и для службы.

Эти пути могут правиться многократно из 1с, заданий много и бывает нужно их редактировать. после каждой правки лезть и перемонтировать пути на сервер? это очень очень не удобно. Не думаю что это правильнее чем просто дать пользователю полные права. Это системный пользователь и больше чем ему надо не сделает.

А должен указываться как smb://ftpserver/ftp/. Курение манов никто не отменял же.

Привести к такому виду его должна сама служба. Клиент виндовый и пути в нем виндовые, иначе работать не будут из клиента. Тут мануалы не нужны.

Вам твердят, что рут демонам вреден

Чем?

вам же хочется дать рута кому попало вообще

Это не кто попало, это системный пользователь необходимый для запуска службы.

А тут дать права рута ваще непонятно кому и зачем.

Не утрируйте. Дать службе, затем чтобы она работала так как надо. Убунтолог, скажите, что важнее, права пользователя или исправная работа службы? Чем же пожертвует убунтолог? Службой. Исправить вы это не сможете, так как писали ее 1сники, они маздайцы. Я же считаю что важнее работа программы, нежели какие то там права, непонятно для чего придуманные. И мой подход заставит этот сервер работать, так же как и в прошлые разы, но с более "небезопасной" системой.

Ubuntu - это тот же дебиан

На сколько я помню в версиях до 10 в ubuntu тоже можно было дать права суперпользователя.

P.S. Я действительно уважаю эту систему, хоть она меня немного вывела из себя. Я уважаю Вас, иначе бы не обратился к вам. Пожалуйста, вернитесь к сути вопроса. Он не в том, ПОЧЕМУ пользователю нужно дать полные права, а КАК пользователю дать полные права
Не надо увлекаться большим и жирным шрифтом — тут у всех нормальное зрение (а у кого плохое сам себе настроит)
--Azure

[Karl500]

Если речь идет о полных правах (т.е. о "копии" пользователя/группы root), то такого просто не бывает. Причина в том, что только у одного пользователя (группы) id может быть нулевым. Соответственно, остальные пользователи принципиально ничем друг от друга не отличаются, несмотря на то, что одни могут повысить свои полномочия и стать пользователем root, а другие - нет.

Отсюда следует только одно: все проблемы с правами доступа имеют решение на уровне обычных групп и обычных пользователей.

UPD: Был не вполне прав. Грязный хак позволяет иметь другого пользователя с правами суперпользователя. Однако так делать категорически не стоит.

[Heider]

almasvas, Вам действительно нужно побольше почитать про линукс. То, что Вы пишете - полный бред и свидетельствует о том, что Вы даже с файловой системой линукс не разобрались.

По правилам, прописанным в /etc/fstab все монтируется один раз при запуске системы, не нужно Вам лезть каждый раз на сервер, как Вы говорите, для перемонтирования. Вы можете прописать монтирование Windows-раздела в этот файл и он будет автоматически монтироваться. Все Windows-пути в этом разделе скопируются в виде дерева вложенных папок в точку монтирования линукс. Вы будете менять эти пути в 1С, и будут меняться папки для работы Ваших заданий без всякого перемонтирования.

Нужно с этим один раз нормально разобраться и один раз сделать правильно, и все будет работать без всяких прав суперпользователя.

(Нажмите, чтобы показать/скрыть)

Вы даже не микроскопом гвозди забиваете. Вы их пытаетесь забить молотком, только держите этот молоток за стальную часть, а гвозди забиваете деревянной ручкой.

[Peter_I]

almasvas,
Как это можно унать - это вам лучше знать, это же вы запускаете службу.
Попробуйте вместо адреса передавать ей каталог, в который вы настроите монтирование сетевого ресурса.

[Yuriy_Y]

А должен указываться как smb://ftpserver/ftp/. Курение манов никто не отменял же.

Привести к такому виду его должна сама служба. Клиент виндовый и пути в нем виндовые, иначе работать не будут из клиента. Тут мануалы не нужны.

Аксиоматично. Кстати, было бы интересно, как у вас получилось запустить вендовый клиент на линуксе? Предлагаю написать подробный мануал. И чем не устроил нативный линуксовый?
И да, тебе ни в одной системе никто ничего не должен сделать сам. Но я помогу.
Вот тут находится большая волшебная кнопка. Она может все.

2All: Пацаны, мне одному кажется, что тут пахнет троллятиной, не?

Всем форумом пытаются ТС вправить мосск и выпрямить руки, а он уперся и гнет свою линию. Хорошо, ухожу в ридонли, но послежу, чем закончится.

[almasvas]

Уважаемый, --Azure, после того как вы вернули шрифт на место, посмотрите из 4 человек, хорошее зрение только у одного Karl500. Может вернете обратно?

Karl500, Я могу ошибаться, или забыть, но на других unix системах я делал так, чтобы не приходилось вводить sudo, действительно только добавлением в группы. Здесь, когда я от имени добавленного в группу root пользователя ввожу напримиер mnt, меня спрашивают "нет доступа, вы уверены что вы суперпользователь?" (или что то в этом роде).
Ок, если большинство действий доступно только суперпользователю, а он может быть только один, можно ли сделать наоборот, чтобы эти действия не требовали права суперпользователя?
Но раз уж вы знаете

Грязный хак

, то думаю мне нужен именно он! Делать так стоит, потому что это тестовый сервер и все это я делаю для эксперимента, дабы разобраться, что нужно этой 1с. (Но если будет работать, я так и оставлю))))




Yuriy_Y, Peter_I, Heider
Сервер ubuntu + 1c Server + PostgreSQL , и 10 виндовых клиентских машин. Ubuntu сервер так же как и сервер на Windows работает по тому же протоколу, слушает тот же порт 1540 и 1501, ведет себя абсолютно так же для клиента. Этот протокол един для всей платформы, и принимает информацию только в стандартизированной форме (не зависимо от операционной системы сервера), которую можно передать только через клиента и получить только клиентом 1с (на данный момент такой есть только для windows).

По идее, все что должен делать сервер, это принимать, обрабатывать и возвращать информацию. Регламентные задания - исключения, при которых иногда возникает необходимость пользоваться сетевыми ресурсами. Возможно разработчики этой мелочи уделили слишком мало внимания.

Вмешиваться в работу 1с сервера не целесообразно и без мануалов бесперспективно, поэтому как на самом сервере подсовывать смонтированные каталоги и прочую информацию, я не знаю. Ведь сервер принимает информацию только по внешнему порту 1540 и только от клиента 1с соответствующей платформы.

В любом случае, за этой информацией мне нужно не на этот форум, а на форум 1с. К вам я пришел за другой информацией. Как дать полные права пользователю. Это в вашей компетенции.
Приму любые советы, а результат буду проверять так - залогинюсь под пользователем usr1c82, попробую создать каталог в папке /mnt/ , если напишет отказано в доступе, значит не получилось. Попробую ввести команду mnt , так же если скажет что отказано в доступе, значит нужно пробовать другие варианты.
Повторяю, сервер тестовый, давайте любые советы, сломать не страшно, это все только ради эксперимента, чтобы разобраться как работает 1с сервер yf

[Yuriy_Y]

Ты не поверишь! (с) телик.
Но тут могут не знать, как дать всё права пользователю.  Этим вряд ли кто-то когда-то занимался. У меня у другана стоит неслабая конфа на линуксе, пользователей тож прилично. Но он так не парился. Щас дам ему ссыльку на ветку, возможно он что посоветует. Он и 1Сник и линуксоид.

[Karl500]

(Нажмите, чтобы показать/скрыть)

Для того, чтобы дать действительно полные права пользователю, можно использовать такой грязный хак: под рутом отредактировать файл /etc/passwd так, чтобы у пользователя номер группы стал 0. Только учтите, что это - действительно "копия" суперпользователя со всеми вытекающими, только с одним исключением - у него свой пароль.

[almasvas]

Щас дам ему ссыльку на ветку, возможно он что посоветует. Он и 1Сник и линуксоид.

Yuriy_Y, Это было бы супер!) Специалисты сразу в двух этих областях - редкость, я таких никогда не встречал). Большое спасибо!
Пользователь решил продолжить мысль 24 Марта 2016, 20:16:28:Karl500, всмысле сделать так?

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root:x:0:
usr1cv82:x:0:


[Karl500]

almasvas,
Да. Если потом захотите удалить этого пользователя - сначала смените 0 на что-нибудь другое: с нулем пользователя удалить не даст.
Пользователь решил продолжить мысль 24 Марта 2016, 20:47:26:И еще: если у Вас запрещен вход руту, этим пользователем тоже не войдете.