Install /home/felhasználó alá - hogyan?

Linux-kezdő

Üdv!

A szituáció a következő:
Adott egy (nem saját) linux-os gép (ha jól látom Debián Sarge), internetkapcsolattal, kellene rá tenni ezt-azt, de a korábbi "rendszergazda" "eltűnt", a root jelszó ismeretlen. A hardverhez nem nyúlhatok (nincs benne se CD-meghajtó, se Floppy, se USB), így se újrahúzni nem tudom, se Live CD-ről belekaparászni. Meg aztán túl sokat nem akarok vele foglalkozni.
Kérdésem: hogyan lehet (pl. deb csomagból) installálni root jog nélkül pl. /home/felhasználó alá cuccokat?

Amit eddig átmeneti megoldásként tettem: Firefox, Seamonkey, Opera (statikusan linkelt Qt-vel) simán rakható a felhasználó alá, OpenOffice (disztrófüggetlen csomag) telepítő szkriptet is át tudtam írni, hogy ne kelljen root jogú könyvtárakba erőltetnie magát, Autopackage-el is felment ez-az, és van egy kiló Java (pl. Mercury MSN, JDictionary, JBuddy Messenger stb.) alkalmazás, ami szintén simán használható lett (a Sun JRE-t is a /home/kispista alá tettem, a böngészőplugin is innen van).
Még Crossover (wine) is felment, azzal is megy néhány win-es cucc.

De azért ez így nem az igazi. Bosszantó, hogy a temérdek deb csomagból egyiket sem tudom használni (na jó volt, amit kézzel kimásolgattam a csomagból és elindult)!

Van rá normális módszer, hogy /home/user alá telepítsünk csomagokat?
Vagy feltörjem a root jelszót? És azt meg hogyan?
Vagy inkább tegyek bele egy CD-t? :-)

  • 1279 megtekintés

( Replaced | 2007. 05. 26., szo – 17:39 )

bocsi, de ha fizikai hozzaferessel nem tudsz root jelszot szerezni, akkor vagy uber securuty guru volt az elozo admin, vagy nem neztel utana elegge :)

de a kerdesre az egyik valaszt itt talalod: unprivileged

--
The Internet has evolved from smart people in front of dumb terminals to dumb people in front of smart terminals.

slackware alatt is lehet mas rootot megadni, viszont nem tudom mennyire kell hozza hegeszteni
ez allitolag mukodik, es felrakhhatja debinara is.

de ott szerintem inkabb mas megoldas lesz, root acc kellene neki ;)

--
The Internet has evolved from smart people in front of dumb terminals to dumb people in front of smart terminals.

leszeded ezt, kicsomagolod /home/szdl/-be vagy ahova gondolod, aztan a pkgsrc/bootstrap/bootstrap scriptet lefuttatod, igy: "./bootstrap --unprivileged"

ha szererencsed van, akkor a path-ot kell mar csak allitani, az azt hiszem ugy van bash alatt, hogy: PATH=$PATH:~/pkg/bin:~/pkg/sbin ; export $PATH
de nem 100% (ajajj, elkenyelmesedtem a c shell alatt) :P

aztan kiprobalhatod: cd ~/pkgsrc/games/cmatrix
bmake install clean clean-depends

menni kell neki :)

--
The Internet has evolved from smart people in front of dumb terminals to dumb people in front of smart terminals.

Ez nagyon jó módszernek tűnik! Alkalmazni fogom máshol. Az említett gépen viszont nem az igazi, ez egy P2 200 v. 300 Mhz-es vas. Csigalassú. Nem fordításra való.
Közben már van root jelszó, megy az apt-get. Tulajdonképpen elég régiek a fent lévő csomagok, úgyhogy szinte teljes frissítés kellene, semmi új nem megy fel a függőségek miatt. Úgyhogy ez sem egyszerű, de azért egy fokkal jobb érzés így, rootként.. :-)

1. Mint a fórum kategóriája mutatja, kezdő vagyok a témában, és eddig nem is kellett ilyet tennem.

2. Elsősorban kifejezetten az érdekelt, hogy root jelszó NÉLKÜL hogyan boldogulok.

3. Elsősorban csomagból akarom feltenni a cuccokat, ha már vannak. Nekem, és a célnak ugyanis megfelelnek.

( dfodor | 2007. 05. 26., szo – 17:54 )

Az ophcrack csak winnel mukodik?

szerk:

Vagy inkább tegyek bele egy CD-t? :-)

Hat igen, valszeg ez a leginkabb jarhato ut :) de ne felejtsd el a konfigfajlokat lementeni, mielott belepiszkalsz...

--------------------------
Debian etch, 2.6.18-3

( zeller | 2007. 05. 26., szo – 18:21 )

init=/bin/bash. Ha grub/LILO jelszó van, akkor az fejfájósabb (rúdaszpirin, illetve cumicecin). Hogy az első mondatom hova kell, annak nézz utána, meg hog ez mire jó, no annak is.

( _jack_ | 2007. 05. 31., cs – 21:48 )

Ha újraindíthatod a rendszert, és nincs jelszóval védve a GRUB, akkor simán szerezhetsz root jogokat.

Gondolom ezt már olvastad, de ha GRUB van, akkor:
- Ha grafikus GRUB van ESC-el tudsz átlépni karakteres módba.
- Karakteres módban válaszd ki a megfelelő bejegyzést, nyomj "e"-t, majd válaszd ki a "kernel=..." sort, megint nyomj "e"-t, a LILO-hoz hasonlóan szerkeszd át a sort, ENTER, majd "b"-vel bootolhatsz.

Nem tudom, működik-e a dolog, eddig sosem kellett kipróbálnom...

:-) Már túl vagyok ezeken. Szép hangzású új root jelszót csináltam.

Szóval jó a módszer (nem írom le részletesen, nehogy néhány hülye outsider innen tudja meg, keressék meg maguktól..), csak az a baj, hogy épp ezt akartam elkerülni!
Fentebb írtam már, hogy a pkgsrc megoldás jó lett volna, ha nem lenne bűnlassú a gép, de így maradt a root jog megszerzése. Ez szomorú dolog, mert azt hittem, létezik egyszerű, rugalmas módszer arra, hogy home/valaki alá installáljunk teljesértékűen, de ezek szerint nincs ilyen. Például többek között ez az a rugalmatlanság, ami még sokakat tart távol a linux-tól (és más "szigorú" jogkezelésű unix alapú desktop használatra pályázó os-ektől). Hiába a szigorúság, ha úgyis közismert lehet a root jelszó megszerzésének módszere (fizikai hozzáférés esetén). Így maximum kényelmetlen a dolog..

A módszer ismert, nagyon sok helyen le vagyon írva, csak el kell olvasni -- erre próbáltunk utalni.

Egy unix-rendszerben valóban nincs egyszerű módszer arra, hogy Egységsugaró "user" Béluska felrakja a neki tetsző szoftvereket -- egyszerűen azért, mert a mezei felhasználó -- ahogy a nevében is benne vagyon -- használja, és nem telepíti/adminisztrálja a rendszert. (Többeknek volt szerencséje itt több ezer usert kiszolgáló UNIX-okhoz. Gondolj bele, mi lenne egy ilyen környezetben akkor, ha minden felhasználó csak 1-2, számára "elengedhetetlenülnagyonfontos" és "adottcélrakizárólagcsakazajó" szoftvert fel tudott volna tolni a saját home-jába? Megmondom: káosz, ráadásul a szükséges diszkkapazitást is jelentősen meg kellett volna növelni, és hab a tortán, hogy a rendszer frissítése, up-to-date állapotban tartása is gyakorlatilag lehetetlenséggel lett volna egyenértékű.

Láttam olyat is, hogy a home-könyvtárakat kétfelé szedték, és az egyik felét tartalmazó partíció noexec-kel lett csatolva, a másik, "kiváltságos", illetve effektív programfejlesztést végző felhasználói kör adatait tartalmazó meg simán. Ha nem kell egy jogosultság, akkor ne is legyen elv alapján teljesen érthető volt a dolog.

A PC-k, de más rendszerek védettsége KÉT dolgon múlik: fizikai védelem (szerver a szerverszobában (ahova nem mászkálhat be akárki, akármikor)), illetve a logikai védelem (jelehtséges jelszavak, titkosítások egyeben kasználata).

Ha pl. lett volna a gépen egy BIOS-jelszó, hogy más boot-eszközt ne választhass, a Grub/LILO boot jelszót kért volna a boot-oláshoz, illetve a beállítások/paraméterezés konzolról való felülbírálatához (azaz a logikai védelem lehetőségeit alkalmazta volna elődöd...), akkkor azért erőteljesen "csavarhúzós " lett volna a dolog.

Hogy milyen jogosultságok a célszerűek, az a rendszer használatától függ. Egy sokfelhasználós hálózatban nyilván nem lehet mindenkinek root jogosultsága, de nem biztos, hogy tiltani akarjuk, hogy ha egy felhasználónak szüksége van egy szoftverre, azt telepíthesse magának. Ha lemezkapacitással van gond, lehet kvótákat használni. (Itt, a suliban mindenkinek 120 MB-os home könyvtára van, mindenki azt telepíthet bele, amit akar és belefér.)

Nem tudom, hogy meg szokták-e fogalmazni elvként, de a Linuxban a legtöbb esetben (itt úgy látszik, nem) követik, hogy ha valakinek (pl. egy felhasználónak) lehetősége van valamit megcsinálni kerülő úton, fáradság árán, akkor azt a legegyszerűbb módon is tegyük számára lehetővé. Itt ez azt jelentené, hogy mivel a felhasználó képes feltelepíteni a szoftvert forrásból fordítva, a megfelelő prefixet beállítva, nincs értelme annak, hogy az egyszerűbb módszert (csomagból telepítés) ne engedjük meg számára.

Fordítva ülsz a lovon: a felhasználónak, ha kell valami szoftver, az a feladata, hogy szóljon, hogy neki ez kell, a rendszergazda/adminisztrátot meg rakja azt fel, ha nem ütközik az üzemeltetési, illetve cégpolicyval. Esetleg a finomítása az lehet, hogy adott usereknek adsz sudo-jogot az "apt-get install *" vagy ezzel ekvivalens parancsok kiadására -- viszont jelzed feléjük, hogy tökönbököd, ha valamit elkuf.

A forrásból fordít/felrak ellen valóban nem vagy védve -- de egy átlagos production rendszerben mi a lópérót keres egy C-fordító? Ha meg van, akkor miért is kell mindenkinek exec-kel mountolni a home-ját? Ha meg ez is muszáj, akkor tessen felhasználási policy-ban lekorlátozni a dolgot, megfelelő szankciók kilátásba helyezésével. A védelem egyik eleme akár az lehet, hogy rendszeresen kigyűjti egy script a rendszergazda számára a home-okban lébő végrehajtható állományok listáját (meg az összes futtatható, illetve linkelhető fájlt is, mert az is számít, nem csak az x-bit...), és ha ő gyanusat tapasztal, akkor utánanéz, és kérdez.

Mint írtam, a rendszer jellegétől függ, hogy mi a célszerű hozzáállás. Nálunk a suliban pl. ha kérjük a rendszergazdákat, hogy rakjanak fel egy szoftvert, akkor ha értelmét látják, felrakják, de ez (gyakran nem kevés) időbe telik, így egyszerűbb magunknak telepíteni. Az pedig, hogy a 120 MB-os home könyvtárunkat mire használjuk fel, az őket egyáltalán nem érdekli, tudtommal nem is akarják korlátozni a szoftvertelepítést.

Egyébként az rpm-nél meg lehet adni prefixet, és a csomagadatbázis helyét is. deb-nél ilyen nincsen? A binárisok home-ba való telepítésnek viszont az a technikai akadálya lehet, hogy a legtöbb programba (szerintem elég hülye módon) bele van fordítva, hogy melyik könyvtárba telepítjük, így a home-ban sok program nem találná a szükséges további fájlokat.

( turul16 v | 2007. 06. 01., p – 13:20 )

deb csomagokat, mc -vel meg tudod nyitni akkor simán kimásolod.
Ha nem akkor konvertálod .tgz -re, vagy csak uncomprest kérsz dpkg -töl valahová.

a PATH -okat kiegészjted az így kapott könyvtárakkal.

(de látom már megoldódott :) )