Linux- администратор

Пока мы разбирали команды, которые можно выполнять в своей директории и никаких проблем не возникнет, но в некоторых при администрировании системы требуется работать с файлами, которыми владеет пользователь root - суперпользователь, о котором мы говорили вскользь ранее, либо с программами, которые требуют таких полномочий. Для того чтобы производить такие операции, требуется повысить свои полномочия до уровня суперпользователя существует две команды для повышения полномочий:
1. Залогиниться как суперпользователь.
2. Использовать утилиту sudo для повышения полномочий для выполнения одной команды.

Начнем с простого - с входа в систему как суперпользователь. Для такого действия требуется установить пароль для суперпользователя и либо заходить в систему под ним (Desktop версия не позволяет такого), либо переключиться на пользователя, используя команду su. При ее вызове система просит ввести пароль пользователя, и при корректном вводе вы получите доступ к командной оболочке пользователя root со всеми полномочиями. Данная команда также позволяет переключаться и на других пользователей при передаче опции -u USERNAME. Используя опцию c COMMAND, можно запустить команду, отличную от командной оболочки.
В случае, если данная команда запускается пользователем root, пароль не требуется.
Однако ввод пароля по каждому запросу - довольно муторная затея. Плюс, как правило, давать такие возможности для пользователей, которые создаются для конкретного сервиса, а не для реального человека - слишком странная идея с точки зрения безопасности. Как правило, им требуется доступ только до ряда команд, как перезапуск конкретного приложения или удаление конкретных защищенных файлов, но не полный доступ. Для решения таких задач существует другая утилита - sudo, которая позволяет делать тоже самое, что и su, но еще огромную кучу всего сверху. Сравним, как делать те же действия, что и с su:
1. Вызов интерактивной оболочки - sudo –i.
2. Вызов команды от имени суперпользователя - sudo COMMAND .
3. Вызов команды от пользователя, отличного от суперпользователя, - sudo -u USER COMMAND.

Главное отличие от su - при запросах запрашивается пароль не пользователя, от которого вы пытаетесь запустить команду, а пароль вашего пользователя.
Однако есть возможность настроить вызов команды sudo и без пароля вовсе, разрешить вызов данной команды только к ограниченному списку команд и многое другое. Все это конфигурируется через файл /etc/sudoers, у которого довольно замысловатый синтаксис, однако все управление производится именно здесь.
Перед тем, как разбирать синтаксис данного файла, давайте разберем несколько команд, которые вам потребуются для работы: • whoami - выводит имя пользователя, под которым выводится текущая команда;
• id - выводит информацию о текущем пользователе и группах, в которых он состоит (данную тему мы разберем позже);
• visudo - редактировать файл /etc/sudoers с возможностью отката - данная команда позволяет редактировать файл /etc/sudoers и в случае, если в формате записываемого файла есть ошибка, измененный файл не будет сохранен (запускается она, естественно, только с правами суперпользователя, то есть либо от root, либо с использованием sudo - да, команда sudo visudo - может показаться довольно странной, но уж как есть).
Последняя команда особенно важна - она позволяет спасти вас от довольно грустных последствий изменений файла без верификации синтаксиса, поскольку сохраненный файл sudoers, содержащий синтаксис, приводит к полной неработоспособности команды sudo! Теперь разберем синтаксис файла /etc/sudoers на примере упрощенного конфигурационного файла: # Пример комментария
Итак, формат команды для пользователя/группы: User Host = (Runas) Options Command.
Разберем этот синтаксис на примере %sudo ALL=(ALL:ALL) NOPASSWD:ALL - данная директива устанавливает для всех, кто состоит в группе sudo на всех (ALL) хостах от имени всех пользователей и групп (ALL:ALL) без пароля (NOPASSWD:) запускать любую команду (ALL).
Как правило, описанная выше директива - это наиболее распространенная директива, которую можно встретить чаще остальных.
Напоследок, мы порекомендуем вам при тестах с sudoers предварительно задать пользователю root пароль при помощи команды passwd, чтобы в случае ошибки в /etc/sudoers иметь возможность исправить доступ.

• su или sudo?
• Understanding sudoers(5) syntax

1. Напишите команду для изменения пароля пользователя root от имени непривилегированного пользователя.
2. Напишите 2 формата для перехода в интерактивную командную оболочку без ввода пароля, используя sudo и su (с возможностью их комбинирования) при условии, что в sudoers уже прописана необходимая директива (по одной команде на строку).
3. Напишите директиву для sudoers файла, которая для группы rebrainme позволит без пароля запускать команду whoami от имени пользователя и группы postgres.

В предыдущем уроке мы научились писать простые пользовательские сценарии в командной строке и сохранять их в текстовый файл. В данном уроке мы поговорим про функции и аргументы. По сути, функция в bash является обычной переменной, но с более широкими возможностями. Основное применение — в тех случаях, когда один и тот же код необходимо использовать несколько раз и/или в разных связанных скриптах.

Давайте рассмотрим способы объявления функции в скриптах: #!/bin/bash function one { echo 1 } two () { echo 2 } function three () { echo 3 }
Наиболее предпочтительным является второй вариант, т.к. он максимально совместим с различными shell оболочками. Но, если вы работает только в одной системе, то можете использовать тот вариант, который больше нравится.

Вызвать функцию можно, указав в теле скрипта. Главное, чтобы вызов функции был после ее объявления:
$ cat script.sh #!/bin/bash two () { echo 2 } two $ ./script.sh 2
В теле нашего скрипта мы можем использовать так называемые аргументы командной строки:
• $0 - этот аргумент включает в себя имя, по которому был вызван скрипт. Для предыдущего примера это будет ./script.sh.
• $# - количество переданных аргументов, причем этот аргумент не учитывает $0. Для ./script.sh 1 2 3 4 переменная $# равна 4.
• $* - значения аргументов. Как и $#, данная переменная не содержит #0.
• $1, $2, и т.д. - нумерованные аргументы, в зависимости от позиции в списке.
Например — создадим скрипт с функцией, которая должна вывести количество переданных аргументов и сами эти аргументы: #!/bin/bash test () { echo $# echo $* echo $1 $4 } test 1 2 3 4 $ ./test.sh 4 1 2 3 4 1 4
Аргументы bash-функций обрабатываются практически так же, как аргументы командной строки. Только аргумент $0 все содержит имя скрипта.

Результатом работы функции является код завершения. Этот код является кодом завершения последней команды, вызванной в функции (0 - в случае успешного завершения последней команды или ненулевой в случае ошибки). Также код завершения может быть явно задан с помощью команды return. Например, чтобы в зависимости от некоторых условий функция завершалась с кодом 4.

Аналогичная команда exit служит для задания кода завершения скрипта. Для просмотра кода возврата функции или переменной используется переменная $?. Воспользуемся полученными знаниями для модификации скрипта test.sh, используя знания из предыдущих абзацев: #!/bin/bash test () { echo $# echo $* echo $1 $4 return $# } test $* exit $? $ ./test.sh 1 2 3 4 4 1 2 3 4 1 4 $ echo $? 4
Как видно, мы стали прокидывать аргументы скрипта в функцию и завершать его с кодом завершения функции.
Давайте теперь поговорим про видимость переменных. Помимо команды export, с которой вы уже знакомы, есть команда local. По умолчанию, все переменные, определенные в теле скрипта, являются глобальными в рамках всего скрипта. Команда local объявляет переменную, доступную только в рамках функции: #!/bin/bash test () { local var2=2 echo $var2 } test var1=1 var3=3 echo $var1 $var2 $var3 ./test.sh 2 1 3
В данном разделе мы познакомились с функциями и аргументами. Команды и функции в оболочке bash имеют тесную связь. Вы можете определить полезные функции в файле ~/.bash_profile и затем использовать их из любого места командной строки, как и команды. Например, вам часто приходится создавать новый каталог и производить в нем некоторые действия. Для этого можно в ~/.bash_profile добавить следующую функцию: take() { mkdir -p $1 cd $1 }
Аргумент -p позволяет рекурсивно создавать директории.

• Bash-скрипты, часть 6: функции и разработка библиотек
• Bash Scripting Tutorial - 7. Functions

1. Напишите скрипт, который завершается с кодом, равным количеству аргументов, переданных в него.
2. Напишите скрипт 016.sh, который содержит:
• Функцию c именем get_changelog, которая скачивает с помощью утилиты curl данные из второго аргумента скрипта в файл /var/tmp/016.
• Печать первой строки из файла /var/tmp/016 и выход из скрипта с кодом возврата равным первому аргументу, если вызов функции из предыдущего пункта завершился успешно.
• На проверку отправьте:
   1. Сам скрипт.
   2. Результат работы этого скрипта с аргументами (4 https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.44) и печатью кода возврата.
   3. Результат работы этого скрипта с аргументами (4 https://badremote.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.44) и печатью кода возврата.
   3. Представим, что у вас есть набор серверов, на которые вы ходите по ssh не под своим логином, а под логином production. Также, чтобы не использовать стандартный порт, вы используете 1388 порт (так называемая «безопасность через неясность»). В ~/bash_profile определите функцию sshp, которая будет запускать команду ssh c портом 1388 и пользователем production.

Как правило, в дистрибутивы Linux по умолчанию входит много пакетов (в особенности для Desktop версий), которые покрывают основные требования пользователя. Но, как правило, в зависимости от целей, вашей конкретной системе может потребоваться инструмент и для вашей конкретной задачи, может потребоваться программа, которой нет и которую нужно установить. В операционных системах семейства Microsoft Windows по умолчанию есть возможность установки приложений из интернета и из магазина приложений. Аналогично - в операционной системе MacOS X (да, есть еще brew). Однако у Linux подход к установке пакетов отличается этих систем - да, есть возможность устанавливать пакеты из интернета (причем в разных форматах - об этом далее), но основной метод - использование пакетного менеджера для установки приложений

Пакетный менеджер - это утилита, которая позволяет получать, устанавливать пакеты с приложениями и отслеживать их зависимости друг от друга, на случай, если для корректной работы одного приложения требуется другое приложение.
У каждого семейства дистрибутивов пакетный менеджер свой, равно как и свой формат хранения пакетов:
• ArchLinux - пакетный менеджер называется pacman, формат пакетов - архивы с собранным под архитектуру бинарными файлами (есть еще неофициальные пакеты, но это отдельный мир).
• Gentoo - пакетный менеджер называется portage (команда вызова - emerge), формат пакетов - архивы с исходным кодом, которые собираются.
• RHEL - пакетный менеджер называется yum и dnf, формат пакетов – rpm.
• Debian - пакетный менеджер называется apt, формат пакетов – dpkg.

Поскольку наш практикум проходит на Ubuntu, который принадлежит семейству Debian, разбираться мы будем с apt и dpkg

apt - это пакетный менеджер, от акронима (advanced packaging tool), который включает в себя несколько команд для работы с пакетами:
• apt-get - команда для установки, удаления пакетов и обновления реестра пакетов;
• apt-cache - позволяет найти пакеты по имени и узнать детали о нем;
• apt - объединенная команда, которая на данный момент объединяет наиболее частые команды из первых двух для удобства (на момент выхода Ubuntu 18.04 команда доступна повсеместно).



Для каждой из команд есть обширные man-страницы, но кратную информацию можно получить из help к командам.

Заранее скажем - использование пакетного менеджера - это изменение состояния системы, а потому требует прав суперпользователя, так что для использования команды потребуется запускать все эти команды при помощи sudo или от имени суперпользователя.

Все пакеты хранятся в репозиториях рядом с файлом, содержащим текущую ревизию всех пакетов, которой и оперирует кэш локальной машины.

При установке apt проверяет свой кэш на наличие необходимой команды и, если таковая находится, определяет зависимости пакета, составляет список требуемых пакетов, запрашивает их по ссылке из кэша и устанавливает в систему

Однако бывает так, что при запросе пакетов возвращается 404 ошибка (HTTP код, означающий, что запрашиваемый файл не существует). Это может быть связано с тем, что на вашей машине устаревший кэш, который указывает на файлы старых версий пакетов, которые уже отсутствуют в репозитории.

Для обновления кэша используется команда apt update, которая проходит по всем репозиториям, на которые настроен конфигурационный файл пакетного менеджера, и забирает текущие списки пакетов, после чего ошибки с установкой пакетов, как правило, решаются.

Таким образом, мы подошли к вопросу конфигурации apt - все конфигурационные файлы хранятся в директории /etc/apt и доступны для изменения только суперпользователю.

Рассмотрим некоторые файлы и директории:
• sources.list - данный файл содержит репозитории, из которых устанавливаются пакеты в определенном формате (разберем его далее);
• sources.list.d - директория может содержать файлы с разрешением .list, в которых прописаны дополнительные репозитории - это сделано для логического разделения репозиториев по их источникам, когда подключаются внешние репозитории;
• trusted.gpg - список OpenPGP ключей, которые используются для подписания списка пакетов в репозитории и подтверждения, что мы скачиваем из доверенного источника;
• trusted.gpg.d - логика аналогична с sources.list.d - директория для логического разделения ключей от разных репозиториев.


В данных файлах важно их разрешение - .list - для список пакетов, .gpg - для ключей. В случае, если разрешение отличается, то при обновлении кэша apt будет игнорировать репозиторий/ключ.
Разберем, из чего состоит типичная запись в sources файле:
deb http://archive.ubuntu.com/ubuntu bionic main universe • deb - тип архива. Может быть либо deb, либо deb-src, что означает что указанный репозиторий содержит либо бинарные файлы, либо исходные файлы, соответственно. • http://archive.ubuntu.com/ubuntu - адрес репозитория. Корневой адрес репозитория. • bionic main universe - компоненты. Благодаря компонентам, есть возможность держать коревой адрес репозитория неизменным, а apt дополнит ссылку для получения списка пакетов (он заархивирован и называется Packages.gz). К примеру, приведенный репозиторий будет получать Releases.gz по адресу http://archive.ubuntu.com/ubuntu/dists/bionic/main/binary-amd64/Packages.gz.

Для того чтобы понять, зачем нужен OpenGPG ключ репозитория из trusted.gpg, нужно зайти в apt репозиторий и там вы обязательно найдете файл Release.gpg, который содержит подпись к файлу Releases при помощи соответствующего приватного ключа OpenGPG, публичная часть которого хранится в trusted.gpg - подпись позволяет подтвердить, что файл подписан реальным владельцем репозитория.

Отсюда должно стать ясно, что происходит при обновлении кэша - apt обращается к Releases.gpg, получает Releases, проверяет, что подпись в Releases.gpg верна при помощи ключа из trusted.gpg и, если все хорошо, скачивает требуемый Packages.gz, который содержит все актуальные на данный момент пакеты.

Отлично, разобравшись, как работает под капотом apt, разберем его основные команды:
• list - вывести список всех пакетов, доступных в системе (в том числе установленных);
• install - устанавливает конкретный пакет в систему;
• remove - удаляет указанный пакет из системы;
• purge - удаляет пакет и все файлы, связанные с пакетом (к примеру, конфиги и созданные в ходе работы файлы);
• autoremove - удаляет пакеты, которые не используются в системе и не числятся зависимостями ни у одного пакета;
• update - обновляет список пакетов из репозиториев;
• upgrade - обновляет все пакеты, которые есть в системе (как правило, перед этой командой стоит обновлять и список пакетов);
• search - позволяет найти пакет по имени.

Кроме того, часть полезных команд осталась в остальных командах, как, к примеру, apt-cache madison, который выводит все доступные версии пакета из всех репозиториев, если у вас из нескольких репозиториев имеется какой-то пакет с таким же именем.

В рамках последней задачи стоит разобрать, как мы можем установить пакет конкретной версии - для этого используется синтаксис apt install $PACKAGE_NAME=$VERSION. Разберем на примере:

# apt-cache madison bash
bash | 4.4.18-2ubuntu1.2 | http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages bash | 4.4.18-2ubuntu1 | http://archive.ubuntu.com/ubuntu bionic/main amd64 Packages # apt install bash=4.4.18-2ubuntu1.2

В случае, если нам необходимо зафиксировать конкретную версию пакета на хосте, можно воспользоваться командой apt-mark hold $PACKAGE, который не будет обновлять пакет в ходе upgrade, что можно впоследствии отменить через apt-mark unhold $PACKAGE.

Теперь опустимся чуть ниже - в утилиту для работы с deb пакетами напрямую - dpkg. Она позволяет устанавливать, удалять, настраивать пакеты, скачанные вручную. Разберем основные команды, которые представлены флагами:
• -l - выводит все пакеты, имеющиеся в системе. Первый параметр может иметь значение ii и rc, что означает, что пакет установлен или готов к установке, соответственно;
• -i - устанавливает пакет из указанного файла. В ходе установки может потребовать установить зависимость для пакета, что можно решить через apt;
• -r - удаляет пакет из системы;
• --configure - позволяет настроить пакет, если он требовал конфигурации при установке (к примеру, ввод данных о системе).

Напоследок лишь хотелось бы разобрать, что такое виртуальные пакеты - такие пакеты могут содержать либо несколько утилит, связанных одной целью, либо пакет, который реализован разными группами разработки и, хоть команда для их вызова одинаковая, но в реальности они устанавливаются из разных пакетов. В таких случаях либо система сообщит вам, какой пакет нужно установить при попытке вызвать или установить команду, либо придется искать необходимый пакет средствами пакетного менеджера или обратившись за помощью к Google.

• pacman (archlinux wiki)
• AUR (Arch User Repository) (archlinux wiki)
• Portage (gentoo wiki)
• Package management system (fedora wiki)
• DNF (fedora wiki)
• Пакетный менеджер APT (ubuntu wiki rus)
• SecureAPt (debian wiki)
• SourcesList (debian wiki)
• Работа с пакетами при помощи dpkg

1. Напишите команду для установки пакета jq без ручного подтверждения установки.
2. Напишите команду для поиска всех пакетов, имена которых начинаются на postgresql.
3. Напишите имя пакета, который содержит последнюю версию PostgreSQL сервера в вашей системе.
4. Напишите команды, требуемые для добавления официального репозитория APT для PostgreSQL согласно Wiki (с обновлением списка пакетов) от имени непривилегированного пользователя.
5. Пришлите команду и вывод команды для нахождения возможных версий пакета из 3 пункта (предварительно обновив список пакетов для получения пакетов из репозитория PostgreSQL).
6. Напишите команду для установки пакета с самой старой версией PostgreSQL из пункта 5.
7. Напишите команды для скачивания последней версии пакета с https://github.com/gopasspw/gopass/releases при помощи wget и его дальнейшей установки от имени непривелегированного пользователя с установкой всех необходимых зависимостей в автоматическом режиме (без ручных действий)
8. Напишите команды для удаления пакета из пункта 7 при помощи apt и dpkg от непривелигерованного пользователя в автоматическом режиме (без ручных действий)
9. Пришлите название виртуального пакета, содержащего утилиту ss
10. Пришлите название пакетов, связанных с виртуальным пакетом ping по одному на строку