quarta-feira, 10 de fevereiro de 2010

sudoers + Como proibir usuário de executar alguns comandos?

Preciso dar permissão de administrador para o usuário "usradm" do grupo "admin", porém não quero que ele tenha o direito de mudar senhas com o comando "/usr/bin/passwd", logar como root com o comando "/bin/su" e alterar as configurações pelo "/usr/sbin/visudo".
Para fazer isso, precisamos editar o arquivo "/etc/sudoers" com o comando "visudo":

# visudo

Ir na seguinte linha:

.
.
.
%admin ALL=(ALL) ALL
.
.
.

E altera-la para:

.
.
.
%admin ALL=(ALL) ALL, !/usr/bin/passwd, !/usr/sbin/visudo, !/bin/su
.
.
.

A última palavra ALL indica que todos os comandos são permitidos aos usuários pertencentes ao grupo "admin". Porém, o ponto de exclamação "!" nega os comandos listados.
Ao logar com o usuário "usradm", faça um teste, as seguintes mensagens aparecerão:
...
usradm@srv1:~$ sudo su
Sorry, user usradm is not allowed to execute '/bin/su' as root on srv1.
usradm@srv1:~$ sudo visudo
Sorry, user usradm is not allowed to execute '/usr/sbin/visudo' as root on srv1.
usradm@srv1:~$ sudo passwd
Sorry, user usradm is not allowed to execute '/usr/bin/passwd' as root on srv1.
...

quinta-feira, 4 de fevereiro de 2010

Squid + como retirar a última linha das páginas de erro que exibe data hora e informações sobre o squid?

O squid por padrão imprime a data, hora e sua versão na última linha das páginas de erro.
Podemos retirar somente a exibição da versão pela seguinte variável do arquivo "/etc/squid.conf":
.
.
.
httpd_suppress_version_string on
.
.
.

Porém a última linha continuará sendo exibida. Não sei se existe, mas não achei como retira-la pelo squid.conf, somente fazendo um script. O script explicarei logo abaixo.

Meu squid está configurado para Portugues:
.
.
.
error_directory /usr/share/squid/errors/Portuguese
.
.
.

Executo o script abaixo para inserir uma string no final de cada arquivo de erro dizendo para comentar tudo que tiver "%h (%s)" que é a nossa linha!


for ARQUIVO in /usr/share/squid/errors/Portuguese/*; do echo -e '\n\n<clear="all">\n<hr noshade size=1>\n<!-- %h (%s) -->' >> $ARQUIVO; done;

Ao executar o script, recarregue o squid:
# /etc/init.d/squid reload

E veja o resultado, embora o nome do host e o nome "squid" estejam aparecendo comentados no código fonte de cada página de erro, a data, hora e versão não aparecem mais!

terça-feira, 2 de fevereiro de 2010

TCL TK + como ativar uma nova linguagem em um banco de dados postgres?

Recentemente precisei instalar a linguagem TCL TK no postgres ubuntu. Facilmente com o apt-get consegui baixar os pacotes:

# apt-get install tcl tk

Porém, para que o postgres reconheça os pacotes é necessário executar uma comando: createlang.
Quebrei a cabeça um pouquinho até descobrir que o comando deve ser executado pelo o usuário "postgres" do linux! Então ao logar no servidor postgres, provavelmente como "root", lembre-se de mudar para o usuário "postgres" para executar o comando de criação de linguagens, como ilustram os comandos abaixo:

# su postgres
$ createlang -U postgres pltcl NOME_DO_BANCO_DE_DADOS

segunda-feira, 1 de fevereiro de 2010

SSH Como restringir acesso de usuários do AllowUsers para logar somente de uma rede

Recentemente precisei dar acesso ssh ao usuário "ujoao". Então fui no arquivo "/etc/ssh/sshd_config" e na declaração "AllowUsers" adicionei o "ujoao". Porém, quero que "ujoao" só acesse meu servidor de dentro da minha rede "10.1.1.0/24", de qualquer outro lugar ele não terá permissão. Como fazer isso?
Penando na Internet descobri que simplesmente devemos fazer o que segue abaixo:

===================
- abrir o arquivo "/etc/ssh/sshd_config"
- em "AllowUsers" devemos adicionar "ujoao@10.1.1.*"
===================

Simples não? Pois é, mas foi difícil achar isso.