Автоматические обновления, запускающие тихую перезагрузку
Несколько раз за последние несколько недель я работал, и внезапно мой рабочий стол исчезал, и моя машина полностью перезагружалась.
это случилось снова этим утром, я проследил через системный журнал, и самое близкое событие, которое я могу найти, которое может быть связано, является unattended-upgradedes.service: Succeeded :
Jul 14 10:02:42 pc charon: 05[NET] sending packet: from 192.168.1.214[4500] to 123.321.123.321[4500] (92 bytes)
Jul 14 10:03:02 pc charon: 08[IKE] sending keep alive to 123.321.123.321[4500]
Jul 14 10:03:03 pc systemd[1]: unattended-upgrades.service: Succeeded.
Jul 14 10:03:03 pc systemd[1]: Stopping Session 2 of user philip.
Jul 14 10:03:03 pc systemd[1]: Removed slice system-clean\x2dmount\x2dpoint.slice.
Jul 14 10:03:03 pc systemd[1]: Removed slice system-getty.slice.
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Wayland Session (session: gnome).
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Session.
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Wayland Session.
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Session (session: gnome).
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Accessibility settings.
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Color management.
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Date & Time handling.
Jul 14 10:03:03 pc systemd[2039]: Stopped target GNOME Maintenance of expirable data.
Я не против автоматических обновлений обычно, но тихая перезагрузка без предупреждения действительно плохо. Этим утром у меня было открыто 15 окон, и я занимался отладкой сложного кода. Мне потребовалось 30 минут, чтобы вернуться туда, где я был.
Является ли обычная / настраиваемая перезагрузка без вывода сообщений с автоматическими обновлениями?
Что? My Ubuntu VM is connected through SSSD to my Active Directory Server. I want an SFTP Server that jails incomming Users that have a specific AD Group (USR-SFTP@domain) ...
What it should look like: My Ubuntu VM is connected through SSSD to my Active Directory Server. I want an SFTP Server that jails incomming Users that have a specific AD Group (USR-SFTP@domain) assigned and only SFTP and not SSH. My Admin Users with the their Group assigned (Domain-Admins@domain) should still be able to log in through SSH but not SFTP.
How it is now: I got SSSD working fine. SFTP is making me issues.
sssd.conf:
[sssd]
domains = domain
config_file_version = 2
services = nss, pam
default_domain_suffix = domain
[domain/domain]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = domain
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = domain
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_groups = Domain-Admins@domain
sshd.conf:
Subsystem sftp internal-sftp
Match Group usr-sftp
ChrootDirectory /appdata/SFTPdata/%u
ForceCommand internal-sftp -d /upload
AllowTcpForwarding no
GatewayPorts no
X11Forwarding no
Folder /appdata/SFTPdata/%u is owned by root. Folder /appdata/SFTPdata/%u/upload is owned by the user.
When I add the AD Group "usr-sftp" in the allowed Groups in the sssd.conf Im able to connect through ssh and sftp but get directed to /home.
I dont know what im doing wrong at this point.
1 ответ
Кажется невозможным иметь одну конфигурацию домена в SSSD и иметь возможность разделять разрешения группы, или, по крайней мере, я ее не нашел. Поэтому мое решение выглядит следующим образом:
sssd.conf
[sssd]
domains = domain1.lan, domain2.lan
config_file_version = 2
services = nss, pam
default_domain_suffix = domain.lan
[domain/domain1.lan]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = domain.LAN
realmd_tags = manages-system joined-with-adcli
id_provider = ad
overwrite_homedir = /appdata/SFTPdata/%u@%d
ad_domain = domain.lan
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_groups = USR-SFTP@domain1.lan
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities
ldap_user_ssh_public_key = altSecurityIdentities
ldap_schema = ad
[domain/domain2.lan]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = domain.LAN
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = domain.lan
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_groups = Domänen-Admins@domain2.lan
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities
ldap_user_ssh_public_key = altSecurityIdentities
ldap_schema = ad
:
укажите доменные пространства, которые вы создали в [sssd] ( domains = domain1.lan, domain2.lan )
Установите правильное имя домена в конфигурации, как показано, но для simple_allow_groups используйте указанный суффикс домена ( USR-SFTP@domain1.lan )
Эта конфигурация также включает аутентификацию с открытым ключом SSH.
Я знаю, что мне не нужно использовать Полные имена, но в этом случае я хочу использовать его, так как это упрощает вход в систему через ssh или sftp. Чтобы иметь возможность войти в систему с правами администратора, вы должны использовать ssh user@domain2.lan @server . Пока это единственный недостаток, но я могу с этим смириться.
sshd_config :
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
UseDNS no
PasswordAuthentication yes
AcceptEnv LANG LC_*
Subsystem sftp internal-sftp
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser root
Match Group usr-sftp@domain.lan
ChrootDirectory /appdata/SFTPdata/%u
AuthorizedKeysFile /appdata/SFTPdata/%u/.ssh/authorized_keys
ForceCommand internal-sftp -d /upload
AllowTcpForwarding no
GatewayPorts no
X11Forwarding no
С помощью конфигурации SSSD я наконец-то смог полностью применить конфигурацию sshd, так как теперь я могу разрешать группы объявлений и все работает. На данный момент единственными важными вещами являются правильные права доступа к папке.
/appdata <- root:root 755
/appdata/SFTPdata <- root:root 700
/appdata/SFTPdata/%u <- root:root 755
/appdata/SFTPdata/%u/upload <- user:usr-sftp@domain.lan 700
Вероятно, есть более эффективное решение, и я был бы рад узнать об этом, но до сих пор это заставляло все работать.