| Q:. | Почему пользователю root не ходит почта? |
| A:. | В силу того, что читать почту под этим пользователем крайне не рекомендуется авторами дистрибутива, при первой загрузке создаётся почтовый псевдоним, перенаправляющий почту на первого зарегистрированного пользователя (подразумевается, что это тот же человек, который устанавливал систему). Если это не устраивает (нужен другой пользователь), загляните в файл /etc/postfix/aliases, после правки этого файла необходимо выполнить от имени root следующую команду:
# newaliases
|
| Q:. | почему пользователю root не дают собирать RPM? Выдаётся ошибка: rpmb: сборка пакетов запрещена для привилегированного пользователя |
| A:. | сборка пакетов привилегированным пользователем является потенциально небезопасной (плюс к тому правильно сделанный пакет должен собираться от имени обычного пользователя). За дополнительной информацией обратитесь к документу /usr/share/doc/rpm-4.0.4/README.ALT. |
| Q:. | У рута сломана локаль! |
| A:. | У пользователя root настроена “локаль” POSIX в целях устранения возможных проблем с системными сервисами, использующими этот пользовательский аккаунт для своего запуска. В частности, последствия применения не-POSIX локали для root становятся видны в файлах протоколов syslog в виде локализованных дат, которые не воспринимаются большинством анализаторов системных протоколов. Крайне не рекомендуется выполнять ежедневную работу от имени root — а для администрирования должно хватить sudo и нормального локализованного пользовательского аккаунта. Специфические настройки локали для любого пользователя (в том числе и root) можно изменить в файле ~/.i18n. |
| Q:. | CUPS не конфигурируется -- выдаёт ошибки даже после ввода правильного пароля root! |
| A:. | Для повышения безопасности CUPS теперь обычно работает от имени пользователя вместо root, при этом он не может быть переконфигурирован. Есть два варианта для выполнения конфигурирования и других административных задач:
|
| Q:. | Пользователя root не пускают по ssh, пароль правильный! |
| A:. | Обычно принято заходить по ssh пользователем и лишь тогда делать sudo (или su). Мотивация — во-первых, для административного доступа к системе требуется два пароля; во-вторых, администрирование в этом случае не анонимно (идентифицируется по первоначально вошедшему пользователю). Если в силу каких-либо обстоятельств необходим ssh root login — скорректируйте параметр PermitRootLogin в файле /etc/openssh/sshd_config и выполните команду:
# service sshd reload
Но наиболее правильным является следующее решение: создаётся специальный пользователь su-user и помещается в группу wheel. Тем самым исключается компрометация user->root через su. Считайте, что вас предупредили. Если логин осуществляется с сетевой машины — см. на счёт hosts.allow. |
| Q:. | Почему нельзя работать под рутом? Я вот все время под рутом сижу и ничего криминального не наблюдаю.... |
| A:. | Всякая работа под Linux, не являющаяся администрированием, действительно может быть выполнена не-рутом. Следовательно, если только вы не заняты администрированием, имеет смысл работать без прав суперпользователя, ибо при этом:
|
| Q:. | Как мне узнать о “дырявых” программах? |
| A:. | security-announce@altlinux.ru — список рассылки, в который отправляются анонсы, связанные с безопасностью для всех продуктов, разрабатываемых командой ALT Linux Team. Подписаться можно на него отправив письмо с subscribe в теле документа на адрес security-announce@altlinux.ru Либо можно заполнить эту форму. |
| Q:. | Подскажите, пожалуйста, какая программа или скрипт, или ещё что меняет права доступа и владельца устройств при логине пользователя, а потом восстанавливает? Откуда она узнает, что нужно менять? |
| A:. | Это делает PAM-модуль /security/pam_console.so согласно правилам, указанным в конфигурационном файле /etc/security/console.perms. |