Практика и эксперименты - обязательно. А что будет, если написать так? А так? В общем, пробовать какие-то нестандартные вещи и пытаться понять, как и почему это работает/не работает. С Днем Сисадмина, кстати =)

Добрый день. Спасибо за отличные лекции. Всё понятно с первого раза.

Удалить созданный файл

Спасибо! Текущий RHCE это исключительно ansible. Вот раньше были темы про администрирование различных сервисов, что было востребовано. И сейчас я работаю над курсом про администрирование инфраструктуры. Курс про текущий RHCE пока что не планирую

Все понятно?

@@GNULinuxPro обычно, мне становится все понятно, после проработки материала за терминалом. В этом видео с с частью материала был уже знаком, а о кое-чем даже не догадывался что так можно сделать. В целом подача очень хорошая как по мне, лучше не встречал.

хорошо, практика очень важна =)

Я в целом стараюсь рассматривать темы вместе с безопасностью, а не отделять безопасность от функционала

Попробуйте создать символическую ссылку на /bin/su (например, /bin/test1). Затем в sudoers разрешите пользователю запускать команду /bin/test1. И всё заработает =)

sudoers разрешает выполнение команды. А то что стоит за символической ссылкой sudo не проверяет

@@GNULinuxPro Получается, что выполняется проверка прав на ярлык (симв.ссылку), а на на файл который ярлык запускает. Я вважаю, що це зрада. Спасибо

Еще поковырялся: если использовать sudo -i то можно наблюдать в реальном времени как я работал в терминале под sudo. Видимо так и создается sudo-сессия, которая объединяет в себе несколько команд.

sudo -u user2 ls

@@GNULinuxPro Я понял, если у меня к примеру в файле /etc/sudoers будет такая строчка : vladimir ALL=(vasya) ALL и я буду находиться в системе под пользователем vladimir и введу команду к примеру sudo -u vasya ls то я как-бы становлюсь vasya и команду ls выполняет он. Правильно?

@@ВладимирКазанцев-ц9т Верно А если говорить точнее, процесс запускается от имени vasya, соответственно у процесса права vasya, а не vladimir

@@GNULinuxPro Понял, спасибо не обессудьте, если и вопрос детский, но я думаю комментарии в любом случае приветствуются.

@@ВладимирКазанцев-ц9т Не переживайте, вопрос хороший =)

Ну смотри, написав sudo su ты выполняешь команду su с рутовскими привелегиями. Команда выполнилась, ты стал рутом и всё. Правда без указания - (sudo su -) считываются файлы для non login shell. При выполнении sudo -i ты запускаешь login shell рута, то есть считываются файлы, относящиеся к login shell. Но при этом ты не поменял своего пользователя на рута, ты всё еще тот юзер с рут правами, просто запустил шелл. Если же говорить о разнице между "sudo su -" и "sudo -i", то можно заметить по переменным окружения. Допустим, если убрать secure_path из sudoers, то при sudo -i у "рутового шелла" PATH будет включать в себя /home/user/bin, то есть переменные могут "передаться" через sudo -i, то есть sudo не меняет пользователя, а "симулирует", считывая файлы для login shell. А при "sudo su - " чистый рут только со своими переменными, своим окружением. Но в большинстве случаев это всё без разницы, и то и другое можно использовать.

sudo даёт разрешение от имени другого пользователя(к примеру, root-а) запускать перечисленные команды В вашем случае вы запретили user2 запускать команду touch от имени любого пользователя Но sudo права работают только когда вы вводите команду sudo Т.е. попробуйте сделать sudo touch file, или sudo -u user touch file - должна выйти ошибка А когда вы просто запускаете touch file, вы не используете sudo, вы не запускаете команду от имени другого пользователя, поэтому всё будет работать

не особо.

Флаг тебе в руки, барабан на шею)