CVE-2019-14287

На хабре пишут о свежей уязвимости в SUDO (https://habr.com/ru/news/t/471586/). Суть бага вот в чем:


Специалист приводит пример: администратор создал на сервере mybox пользователя sudo с именем bob, добавив в конфигурационный файл строку mybox bob = (ALL, !root) /usr/bin/vi. Пользователь bob сможет запускать текстовый редактор Vi, однако, если он запустит команду sudo -u#-1 vi, то сможет делать это уже с привилегиями суперпользователя.

Венникс отметил, что -u#1234 может использоваться как идентификатор пользователя 1234 в командной строке с sudo для запуска команд, в данном случае Vi. Sudo передает это значение идентификатора через системные вызовы setresuid и setreuid для изменения эффективного ID пользователя команды. -u#-1 же передает через вызовы -1 для изменения эффективного идентификатора на -1. Системный вызов принимает данный ID в качестве особенного и не меняет идентификатор пользователя. У sudo изначально есть права суперпользователя, и -1 продолжает работать как суперпользователь. Идентификатор пользователя 4294967295 тоже может обходить ограничения, поскольку, будучи знаковой 32-разрядной целочисленной переменной, он равен -1.

В sudo версии 1.8.28 все уже починили.

Кое-что о inode

Кросспост. Оригинал: https://habr.com/ru/post/462849/

Периодически, с целью переезда в ЦРС собеседуюсь в разных крупных компаниях, в основном Питера и Москвы на должность DevOps. Обратил внимание, что во многих компаниях (во многих хороших компаниях, например в яндексе) задают два сходных вопроса:

  1. что такое inode;
  2. по каким причинам можно получить ошибку записи на диск (или например: почему может закончиться место на диске, суть одна).

Как часто бывает, я был уверен что эту тему знаю хорошо, но как только начал объяснять — обозначились провалы в знаниях. Что-бы систематизировать свои знания, заполнить пробелы и больше не позориться пишу эту статью, может еще кому пригодится.

Читать

Обновление php до версии 7.2 в trusty tahr (14.04)

Как и обещал (https://pustovoi.ru/2019/2978) решил вопрос с php 7.2 под Ubuntu 14.04.

Собственно, что б не звали меня единоличником, забэкпортил его в свой ppa под ubuntu 14.04 (debian weezy) на launchpad. Обновления не обещаю.

Подключается командой:

sudo add-apt-repository ppa:serp2002/php7-backport
sudo apt-get update

При установке они НЕ заменяют php5, а тоят спокойненько рядом.

PS обновления для более свежих дистрибутивов можно получать из ppa Ondřej Surý:

add-apt-repository ppa:ondrej/php

Кодирование\декодирование MIME subject для почтовых сообщений на русском

В догонку к вот этому посту https://pustovoi.ru/2017/2469.

Что бы сделать шаблоны для postfix с темой сообщения на русском (некоторые пользователи, как огня боятся бусурманских слов), придется немного поколдовать, т.к. простое

Subject: Ваше сообщение доставлено!

Не сработает.

Читать

Минимум один трюк Vim, про который вы не знали

Я уже восемь лет работаю в Vim и постоянно открываю что-то новое. Принято считать это достоинством Vim. Как по мне, так это недостаток открытости: куча скрытых функций спрятаны слишком глубоко.

Вот говорят о красоте модального редактирования и текстовых объектах, но мне кажется, что суть Vim не в этом. Vim — это лоскутное одеяло из подсистем, под завязку забитых дополнительными инструментами. Только в обычном режиме редактирования более сотни комбинаций клавиш! Такая плотность инструментария в значительной степени объясняет, почему Vim настолько полезен. Если «показать все теги для ключевого слова» — это просто g], то этой командой будут пользоваться гораздо чаще.

В системах с недостатком открытости приходится полагаться на руководства. Но для Vim их не так уж много. Есть статьи для новичков, такие как ciw (не путать с CIA, мануалом ЦРУ по Vim) и тому подобное. И есть статьи экспертов, которые погружаются в подсистемы. Но никто на самом деле не говорит об этих особых трюках, которые заставляют воскликнуть: чёрт побери, как мне это было нужно в течение последних шести лет!

Эта статья о некоторых маленьких трюках, которые я использую в Vim. Ни один из них не разобран во всех деталях, так что если что-то заинтересовало, рекомендую покопать дополнительную информацию. Они также не связаны друг с другом. Но это нормально. В общем, их более чем достаточно, чтобы реально помочь практически каждому.

Читать

Про обновление PHP на CentOS

Кто в повседневной жизни пользуется какой-нибудь CMS, или админит хостинг сервер не раз наверное сталкивался с необходимостью обновления версии PHP. Вот и я этим вопросом очередной раз озадачился.

Сегодня расскажу как это было на CentOS. (Людителям битрикса посвящается).

С 30 июня 2019 года будет ограничена поддержка наших продуктов на PHP версии ниже 7.1. Пожалуйста, запланируйте обновление PHP или обратитесь в службу технической поддержки вашего хостинга.

Читать

Настройка SAMBA в Mint 19 Tara (Ubuntu 18.04)

В далеком 2011 я репостил подробную статью с сайта www.oslinux.ru, (https://pustovoi.ru/2011/1179но она давно уже не актуальна, т.к. в современной самбе запилили множество нового функционала, который позволяет ее настраивать проще, но иначе.

Итак. После установки Mint, при нажатии правой кнопкой на любую свою папку (папки принадлежащие другим пользователям требуют еще некоторых настроек) можно жмакнуть «свойства» и на вкладке «общий доступ» обнаружить неактивные элементы управления:

Читать

Про CentOS

У каждого, кто использует Linux, есть какой то дистрибутив, с которым он работал больше, и потому знает о нем больше. У меня основной Ubuntu\Debian, там все привычно и понятно. Даже в новых версиях ничем особо не удивляют.

Но есть дистрибутивы, например такие как CentOS, с которыми мне прям непонятно, вот например как поставить htop?

С точки зрения пользователя Ubuntu, если я использую этот дистрибутив, то есть для него один официальный репозиторий, и несчетное множество неофициальных. Официальный находится по адресу «http://archive.ubuntu.com/ubuntu/» и соответственно там, можно посмотреть, какие версии есть, какие ветки у репа есть для каждой версии, и прочее.

С центос все не так.
Основной (если можно так выразиться) реп у них «http://mirror.centos.org/centos/», а вот например пакет htop, лежил в epel репозитории, который (как я потом уже выяснил) можно подключить через


yum install epel-release

Читать

Kickban пользователя из ssh

Иногда бывает такая необходимость (обычно в следствие обострения параноидального психоза гыгы) закрыть доступ для всех, или отдельного пользователя к серверу по ssh.
Сегодня приключилась такая нужда.

В винде эта операция делается просто: блокировка пользователя в панели управления, и отключение его сеанса через диспетчер задач, что логично, и интуитивно понятно.
В юниксах же… Вообще говоря тоже, все логично, но способов в интернетах понаписали много, и как обычно, в твоем случае, половина из них будет неприменима 😉

В общем почитал чего советуют, ниже самые на мой взгляд интересные способы и мои мысли по поводу их применения. Читать