Заити в корень системы через фтп менеждер

[mvd_k]

Отключил - включил - костыль. Решается проще.
Зашли под собой через ssh сделались рутом, из рута сделались www-data - рулите сайтами на здоровье.

хм...

[fisher74]

Зашли под собой через ssh сделались рутом, из рута сделались www-data - рулите сайтами на здоровье.

Ни хера себе Вы через Китай его погнали... А не проще сразу su www-data? Или на root свет клином сошёлся.
К тому же смотыжить альяс на домашнюю директорию ещё удобней в плане работы с сайтом

Код: [Выделить]

$cat /etc/apache2/conf.d/mvd_k.conf
<IfModule mod_alias.c>
    Alias /ismus /home/mvd_k/www/mvd_k
</IfModule>
Зашёл по ssh и уже сайтодиректория под боком. А уж тестовую версию сайте держать вообще, как два бита передать.

[Yuriy_Y]

из рута сделались www-data - рулите сайтами на здоровье.

Блин, спасибо тебе, добрый человек. А я каждый раз права и овнера правлю. И ведь сам же становился другим пользователем, а вот стать wwww-data ума не хватило. 

[Sly_tom_cat]

fisher74, у www-data может не быть пароля (что тоже полезно для безопасности). Так вот, из простого пользователя su в него  - не пройдет, а из под рута su пройдет в любом случае.

Именно поэтому я дал стопроцентно рабочий вариант. Если в командах то будет так:

$ ssh user@server
<вводим пароль user-а>
user@server $ sudo -s
<вводим пароль user-а>
root@server # su www-data
www-data@server $

profit!


ЗЫ руту собственно тоже лучше пароль не задавать - пусть он будет еще и на этом уровне задизейблен от прямого логина - тогда в него только пользователь включенный в группу sudo сможет попасть через sudo -s или sudo -i.
Если пароля нет не у рута ни www-data, то ни рут ни вввдата не смогут на сервере интерактивно залогиниться - это "+10 к безопасности сервера" 

[fisher74]

Я только хотел сказать про запароленный root, но Вы сами это озвучили.
Так то считаю, что сайтодиректория в хомячке - лучшее решение. Зашёл выделенным под редактирование сайтов пользователем, поправил что нужно не выползая за пределы своей директории и не мучаясь с овнерами (644 редко не хватает)

[mvd_k]

хмм, блин где же раньше были)) я похожу вообще поломал сервак) сегодня переустановлю) опыт уже кое какои есть) навыки тоже нахватал, кстате про руут не понятно, руту пароль вообще не ставить? например даже при установке сервера типо вводим например sudo su вводим пароль от пользователя, а команду sudo passwd root не выполнять и не давать пароль руту?

[fisher74]

Canonical специально в коробке сделал root без пароля (не путать с "с пустым паролем"). Считается, что это серьёзный шаг в плане безопасности. Копий, конечно, много на эту тему поломано, но в итоге всё равно все смирились и root всё чаще остаётся без пароля.
В принципе, это никому  в итоге не мешает - меняются только привычки. Поверьте как давнему пользователю православной Slackware - после переезда на Ubuntu дОООлго учился жить в консоли без root: сначала от связки sudo su не отходил, а сейчас уже и этим-то не пользуюсь - хватает sudo
Так что мой совет: не нужен root-у пароль

[mvd_k]

Так что мой совет: не нужен root-у пароль

Интересный поворот событии

[fisher74]

Эммм... В Ubuntu его из коробки уже давнОООО нет. Так давно, что я, переходя со слаки на ubuntu 8.04  этот вопрос уже серьёзно не обсуждался. Хотя для меня, конечно, тоже было неожиданным поворотом дел
Теперь на всех серверах, даже не на Ubuntu, примерно так

Код: [Выделить]

~$ sudo grep root /etc/passwd
root:x:0:0:root:/root:/bin/bash
~$ sudo grep root /etc/shadow
root:!:16325:0:99999:7:::
Вполне привык и считаю правильным.

[Sly_tom_cat]

... про восклицательный знак в строчке:
root:!:16325:0:99999:7:::
Стоит отдельно упомянуть, что на второй позиции должен быть хеш (с солью) от пароля пользователя в кодировке base64, но этот хеш должен иметь строго определенное начало, по которому идентифицируется тот алгоритм хеширования, который нужно использовать для верификации пароля. Однако, восклицательный знак - это неправильное имя хеш функции - и проверка пароля фактически падает по исключению. Но, система аутентификации по паролю (PAM) специально построена так, что не сообщает деталей о том, что произошло при проверке пароля -  иначе были бы возможны атаки подобные атаке типа PaddingOracle.

Это конечно не так важно знать. Достаточно знать, что для блокировки рута (да и любого другого пользователя) от логина по паролю достаточно выполнить

Код: [Выделить]

sudo passwd -l root Команда караз ! и выставит вместо пароля, но залогиниться под рутом (через sudo) или под другим пользователем через su (от рута) - все равно можно будет.

Собственно в целях безопасности пользователей под которыми запускаются сервера баз данных или веб-сервера рекомендуют именно так и блокировать. Запуск этих сервисов под нужными учетками - не проблема - он же выполняется рутом.

[mvd_k]

Вот честно, у меня все больше и больше возникает вопросов от ваших ответом.....Ъотя я уже столько видео пересмотрел про люнекс системы, и инфы перечитал.... но все же как я и говорил, где то не полноценно расписано (сказано), а где то вообще на это не обращают внимание, хотя судя по вашим ответам это оказывается больные темы, которые нужно знать....

[Sly_tom_cat]

mvd_k, больше знаешь - хуже спишь
Но если серьезно, то в сети очень много информации и в частности очень много информации совершенно не адекватной, усторевшей или попросту "вредительской". Сортировать информацию хотя бы на полезную/вредную - довольно трудна не разбираясь в вопросе. А разобраться в вопросе часто помогает просто man и собственный экспиремент. Как вариант - документация на серезных ресурсах.

Видео и блоги пользователей я для себя отношу к источникам информации изначально не достаточно достоверной. Но и там попадается полезное.

Ну и да часто информация закопана довольно глубоко и доступна только на англоязычных ресурсах - инглиш - зе маст.

[mvd_k]

mvd_k, больше знаешь - хуже спишь
Но если серьезно, то в сети очень много информации и в частности очень много информации совершенно не адекватной, усторевшей или попросту "вредительской". Сортировать информацию хотя бы на полезную/вредную - довольно трудна не разбираясь в вопросе. А разобраться в вопросе часто помогает просто man и собственный экспиремент. Как вариант - документация на серезных ресурсах.

Видео и блоги пользователей я для себя отношу к источникам информации изначально не достаточно достоверной. Но и там попадается полезное.

Ну и да часто информация закопана довольно глубоко и доступна только на англоязычных ресурсах - инглиш - зе маст.

Короче я придумал выход из ситуации)) смотри, получается что я один упралять всеми саитами буду, так ? ага, от сюда следует что сейчас заново ставлю систему Ubuntu, не меняя ни каких настроек, чисто по мануалу, потом в испконфиге я просто создаю 1 клиента, и вещаю все саиты на него, тоесть получится что то типо например пользователь client1 там папка www в неи например site1.ru , site2.ru и так далее, потом в настройках испконфиг меняю путь к главному саиту по умолчанию он /var/www/clients/client[client_id]/web[website_id] , а я например сделаю так /var/www/clients/client1[1]/web[site1.ru] тоесть получится что при обращении (заходе на сервер http://84.244.7.119/) у меня будет открываться site1.ru , и так как все саиты будут сидеть на одном клиенте , то я смогу быть в коне всей папки "богом" , удалять/изменять/ и так далее папки/файлы , и так далее, только проблема в том что что я еще не до понял как потом сделать домены) тоесть домен1.ру открывает саит сервера , домен2.ру открывает саит2 , тоесть как то нужно указывать путь к каждому саиту отдельно, тоесть при добавлении домена как бы указывать домашнюю директорию саита например www/web1 , www/web2 и так далее? правильно ли мои мозг работает? что это даст- мне не нужны будут вообще права руута, и у меня самого не будет доступа к всеи системе, только к папке с саитами, что опять же по вашим рекомендация + к безопасности) если я что то путаю, поправьте) меня
Пользователь добавил сообщение 31 Августа 2016, 12:40:25:хотя при добавлении нового саита пути сами будут меняться как я понял например
/var/www/clients/client0/web1 саит номер 1
/var/www/clients/client0/web2 саит номер 2
/var/www/clients/client0/web3 саит номер 3

[AnrDaemon]

Жизнь - такая штука… Лучше каждому сайту отдельного пользователя. И этому отдельному пользователю дать primary group www-data.
А в ~/.ssh/authorized_keys им скопировать свои ключи.
Если надо будет дать доступ кому-то для работы по сайту, дашь доступ к одному сайту.

[mvd_k]

Жизнь - такая штука… Лучше каждому сайту отдельного пользователя. И этому отдельному пользователю дать primary group www-data.
А в ~/.ssh/authorized_keys им скопировать свои ключи.
Если надо будет дать доступ кому-то для работы по сайту, дашь доступ к одному сайту.

все мои мозг взрывается....