Názory k článku
Práva: je lepší root nebo sudo?

Slashdot | Sudo vs. Root
http://it.slashdot.org/article.pl?sid=06/03/21/1427241
Aneb, pokud byste chteli ponekud obsirnejsi pohled na problematiku, staci se prokousat diskusi. Dokonce to vypada, ze zdejsi clanek je lehce "inspirovan" podle TFA. *hnip*

zajimave, kam podle nekterych lidi jeste saha originalita a kde zacina plagiatorstvi. A editor opet spi :)

jeee, on si ten clanek napsal pan sefredaktor sam. tak to se nedivim, ze je s nim spokojen a ze mu plagiatorstvi nevadi :) skoda, ze sem neco nenapise, treba: "ja jsem to jen nahodou napsal tak, jako ten clovek na linuxboxadmin.com

Opravdu čistá kopie.... :o) Ale kde taky brát stále něco nového, že?...

velmi kvalitni clanek, a ta argumentace k "sudo -s", opravdu excelentni! :)
jenom by me zajimalo zda si autor nekdy uz "sudo" vyzkousel ...

Kdyz jsem si pred par dny na zkousku nainstaloval Ubuntu, zjistil jsem ze se nemuzu prihlasit jako root. Chvili jsem se snazil jit s dobou a poustet vsechno pres sudo, ale zadavat porad dokola svoje heslo byla fakt pruda maximalni. Takze "sudo /bin/bash" - to mi na chvili vydrzelo. Ale jelikoz jsem zvykly pouzivat "su" a porad se mi to pletlo, vyresil jsem dilema jednou pro vzdy: "sudo passwd root"

Shrnuto - zkusenost se sudo-for-everything to byla zajimava, ale dekuju nechci.

Všechno jsem slyšel.. a podepisuji v plném rozsahu....
používat sudo je sudomasochizmus.... ;-)

No, takove "sudo su" nebo zminene "sudo bash" neni az tak neprekonatelny opruz ... ale taky to neni zadny bezpecnostni bonus ktery by stal za to, s vyjimkou toho ze nemusite znat heslo roota coz se hodi kdyz je vas takovych vic.

No kdyby si někteří z vás, kterým vadí, že musí pořád psát své heslo při použití sudo přečetli manuál, tak by zjistili, že to není potřeba. Pokud používáte ten počítač doma, nebo je to třeba notebook, tak si můžete přidat do /etc/sudoers například takovýto řádek (ale nepoužívat na serverech :-D):
mojeusername ALL=(ALL) NOPASSWD:ALL

BTW: Na editaci sudoers je příkaz "visudo", tak to needitujte jinak!

...dal jsem poslusne visudo, kdyz jsem si s tim zrovna vcera hral, no a baf na mne mcedit...no to mi hnulo zluci a nasledovalo vim /etc/sudoers...

hmm a co to máte za distro a co na to echo $EDITOR ?

A co zkusit místo ":w" třeba ":w!"? ;-) Potom už vim poslušena zapíše kamkoliv (tedy pokud jste root).

No, to záleží k čemu ten systém máte. Já mám doma Ubuntu a mám ho na psaní textů, Internet... rootí práva potřebuju akorát když se objeví opravy. V práci (mimo jiné programuju serverové aplikace, takže ji mám i jako lokální server) mám Fedoru a že bych tam nějak často rootil... to rozhodně ne, stačí si to správně rozmyslet a nastavit práva.

To je snad jedna z bezpečnostních výhod linuxových systémů že uživatel může pracovat aniž by měl administrátorská práva k celému systému.

Koneckonců sudo se sná nastavit i tak aby nevyžadovalo heslo a když ho člověk píše, alespoň si uvědomí, že by si měl dávat bacha co dělá.

Používám sudo i su, a sudo přístup mi nevadí.

... pracovat bez admina jde i na win (teda, na tech, ktere to umoznuji, tj. NT) :-)

Taky jsem měl takovou ideu. Po pár dnech jsem si přihodil práva Administrator. Dost mě otravovalo to, že se člověk hodně nakliká, než může v běžném účtu udělat něco pod Adminem. V linuxu mi stačí napsat 'su' a je to.

Pokud toho pod Administratorem chci dělat víc, tak si pod ním spustím Total Commander (kliknout pravým tlačítkem a vybrat Spustit jako) - vše z něj spuštěné má následně práva Administratora.

ze by se ve windows misto "su" psalo "runas"? - a udelal si skript runas-admin.bat neni problem.

Ve widlich muzes napsat "runas" a je to take :-)

Tak mi prosímtě prozraď jak mam pod WIN2000 zprovoznit tiskárnu HP1320n (síťová) aby tiskla pod poweruserem. bez admina ani ťuk...
na HPpodpoře mi řekli že by to fachat mělo...

nechci zde rozjet poradnu na widle. ale tohle je příklad za všechny... musel sem jim tam zatim nechat administrátorský práva... dokud na to nepřijdu...
a neni to jenom tohle... mam i jiný stanice kde se bez admina nehnu.. (spešl SW kterej bez admina nechodí..)
možná to nějak de.. ale jak?

Pozri si vo vlastnostiach tlaciarne zalozku Security, a tam ake prava ma skupina Power Users. Fachat by to naozaj malo :-)

b.

No jo.. ale to sem dělal a stále nic... v tom je ten problém...

Sice windows vubec neumim, ale instaloval bych to stejne jako kdyz to zprovoznuju proti CUPS serveru. Akorat bez toho CUPS serveru. Do systemu vrazit novy TCPIP tiskovy port nastaveny na tiskarnu, PS ovladac a jedeme.

co se tyce softu ne vzdy je to vina windows. ve velkem mnozstvi muze za vinu autor softwaru ktery ho proste odladil na stanici kde byl admin a vubec nepocital s tim ze by to mohlo bezet na neadmin uctu.

To nechápu, to musíte rozvést. Nějak mě v Linux/*BSD/AIX/Solaris ještě nikdy nenapadlo ladit jakýkoliv soft pod rootem (administrátorským účtem) a to bez ohledu na to jestli jsem tam byl adminem nebo nebyl. No mě to spíš přijde jako, že tady asi bude někde chyba přímo v tom OS. Prostě v některých OS se pod administrátorským účtem pouze administruje a pod jiným OS s administrátorským účtem pracuje, programuje, ladí a administruje a koho je to vina? Mě nenapadá nikdo jiný než ten OS. Možná, že by mohl někdo namítnout, že za to můžou ti uživatelé a vývojáři, ale já tomu prostě nevěřím. Prostě je ten OS k tomu chování vychoval a proto se tak chovají a to je chyba jen a pouze toho OS.

pak jste patrně nikdy neprogramoval widlí aplikace. záleží jedině na programátorech, jestli jako debil naprosto zbytečně vyžadují v aplikaci admin práva nebo ne. z drtivý většiny aplikací je to naprosto zbytečný (jenže programátoři jsou často idioti a bez důvodu chtějí zapisovat do registrů do HTLM nebo do adr SYSTEM32...). nejlepší jsou aplikace typu prohlížení obrázků nebo IM klienti, naprosto nesmyslně vyžadující admin práva - sám programuju WIN32 aplikace a vím, že je to nutný jenom u specifických systémových aplikací, u ostatních je to jenom lenost a blbost programátora...

Jaky system, takovy programatori! Nebo je to naopak? :-)

Ne všichni programátoři jsou idioti. Mám Visual Foxpro na Win XP. Jsem User. Výsledek? Některé naprosto standardní operace nejdou udělat. Hláška? Žádná. Prostě to nedělá nic. Bádej pitomče! Řešení? Runas vfp.exe... Hádejte na koho!

...co dělali ve Visual FoxPro. Maník co kóduje VFP z cca 40-50% si je těchto věcí vědom. Bastlující trotlové se nacházejí všude.

nesmí tisknout přes LPT1, pokud se používá "captured" tisk, je potřeba nastavit LPT2 a výše. Aspoň u nás to pomáhá.

Pokud vím, tak docela často je to u HP způsobeno tím, že se musí na adresář s ovladači a podpůrnými programy nastavit právo pro přístup pro čtení/zápis i dalším uživatelům.

Občas je to potřeba nastavit i na registry, protože instalační procedura to nenastaví a programátoři jsou holt padlí na hlavu a programují způsobem, kterým byli zvyklí programovat v dobách Win98.

Občas mi přijde, že největšími softwarovými balíky na Windows začínají být ovladače k tiskárnám a různým jiným periferiím.

Jasne ze to jde, tisknem takhle na tuto tiskarnu i pod userem. Takze problem neni ve Win ani HP:-) Staci ji nainstalovat pod adminem

Co je "nejdrazsi" na vasem stroji?

Obsah tech textu, co vytvarite pod svym uzivatelem? Ten vam smaze libovolny utocnik, co se prihlasi jako vy (nebo vyuzije diry v necem, co bezi jako vy).

Sitova konektivita? Tu vyuzije libovolny program pod (skoro) libovolne nizkym opravnenim.

Binarky v /bin? Ano, tak to mate pravdu, ze pracovat jako ne-root v tomhle pomuze. Ale jenom v tomhle.

Vzhledem k tomu, ze typicky uzivatel (domaci - ale i normalni clovek, co ma PC v praci) ma nejvetsi problem s prvnimi dvema problemy, tak cele povidani "ne-root, ne-administrator" je falesna stopa.

Co je "nejdrazsi" na vasem stroji?

Obsah tech textu, co vytvarite pod svym uzivatelem? Ten vam smaze libovolny utocnik, co se prihlasi jako vy (nebo vyuzije diry v necem, co bezi jako vy).

Sitova konektivita? Tu vyuzije libovolny program pod (skoro) libovolne nizkym opravnenim.

Binarky v /bin? Ano, tak to mate pravdu, ze pracovat jako ne-root v tomhle pomuze. Ale jenom v tomhle.

Vzhledem k tomu, ze typicky uzivatel (domaci - ale i normalni clovek, co ma PC v praci) ma nejvetsi problem s prvnimi dvema problemy, tak cele povidani "ne-root, ne-administrator" je falesna stopa.

Uzivatelska data maji byt zalohovana i z mnoha jinych duvodu nez jen ze by je utocnik smazal.

Co je problem:

1) Data ostatnich uzivatelu (pokud jsou)

2) Kdyz utocnik neziska roota, tak se da jednoduse zjistit co udelal a system se da vycistit docela v pohode. Pokud ma roota, tak je to o dost vetsi problem.

A je tu jeste jeden bonus, spousta systemu na *nix systemech nema zadne uzivatele v pravem slova smyslu, bezi na nich nejake aplikace, ktere poskytuji sluzby. Kazda si bezi pod svym uctem a tudiz muze pripadny skoditel sestrelit jen tu deravou aplikaci, ale ne ty ostatni.

Jo presne takhle hloupe uvazoval Microsoft a proto ma ty problemy co ma. Ale aspon si to uz na rozdil od tebe uvedomuje.

staci v /etc/passwd ostranit hvezdicku u roota v hesle.

Hmmm ... "sudo passwd root" bylo po instalaci ubuntu prvni a zaroven i posledni co jsem v sudo spustil :)
Ono treba kdyz chce clovek jeste vetsi bezpecnost, tak vytvori skupinu wheel a nastavi ze "su" muzou spoustet jen ti co jsou ve skupine wheel
(chgrp wheel /bin/su;chmod 4750 /bin/su)

sudo by melo predevsim slouzit k moznosti spoustet omezenou a presne definovanou skupinu prikazu jako jiny (kterykoliv) uzivatel, coz samozrejme lze vymezit. Pokud budete nekomu davat plna sudo prava, to uz mu muzete rovsdelit heslo roota pokud si ho predtim sam nezmeni, ze.

Zdravim,
ja osobne jsem sudo jeste nikdy nepouzil a rad bych se Vas zeptal, zda jej treba nevyuzit pro zalohovani, abych nemusel pouzivat root-a.
Zalohy spoustim z jednoho stroje, z ktereho se na zalohovane masiny pripojuji jako root via ssh. Pokud bych mohl na vzdalenem serveru delegovat nizsiho uzivatele, kteremu bych povolil prikaz 'dump' nebo 'backup', tak by to bylo super...
Diky.

Nepochopil som celkom ako robis tie backupy. Pripojis sa cez ssh na vzdialenu masinu a potom....? Ten dump posielas cez siet na tvoju masinu (dump 0, alebo volajake inkrementy.... asi to predtym balis... ale aj tak je to asi velke a nema to historiu)? Alebo sa to dumpuje do suboru tam (potom naco pripojenie cez ssh, ved to moze robit cron)?
Doporucujem ti rdiff backup (http://www.nongnu.org/rdiff-backup/). Je to rychle, multiplatformne (lin+*bsd+*nix+win) a efektívne.
Je tam aj pekny priklad (http://arctic.org/~dean/rdiff-backup/unattended.html) ako riesit bezpecnost pri tom prenose.
BYE
TomBA

Pouzivate vlastne metodu "pop". Ale ta je v tomhle pripade dost nevhodna, jakmile vam nekdo naboura server, kde jsou zalohy, ma moznost ziskat roota na vsech ostatnich strojich. Pouzijte push, tedy udelej te zalohu primo na serveru a pote ji pres scp (doporucuji scponly s klicem a prazdnym heslem) nahrajte na zalohovaci server. a nebo pouzijte rdiff, jak uz nekdo radil, ktery to resi za vas

Krome moznosti omezeni rozsahu pusobeni napuladminisratora je tu jeste jedna vlastnost. Pokud na stroji existuje vice uzivatelskych uctu, propujcovani roota pres sudo je pohodlnejsi z hlediska spravy. Kdybych kazdemu, kdo musi mit, prozrazoval heslo roota a pozdeji se rozhodl, ze jeden z nich jiz roota mit nema, tak mu musim zakazat su a dalsi potencialni moznosti pruniku anebo zmenit heslo roota. Prvni reseni je pracnejsi, druhe je neefektivni, nebot pak musim kazdemu sdelit/vnutit heslo nove. Naopak pres sudo muzu volne urcovat kdo, kdy (byt i docasne), co presne muze pachat a kdykoliv mu tato privilegia muzu sebrat bez jakehokoliv dopadu na ostatni uzivatele. A nakonec root a sudo prece mohou a casto i existuji soucasne ;)

tady mi na linuxu vadi to ze nelze podobne jako na windows mit skupinu uzivatelu jako jsou Administrators :( - kdyz uz proste nekoho adminem nechci tak ho z Administrators vyhodim a mam klid.

ovsem pak taky dojde na to ze firma symantec Administrators ignoruje a prava na smazani svych aplikaci dava jen uzivateli Administrator :)

Jaktože to nejde? Vždyť právě na to je sudo! Do sudoers si zapíšeš řádek

User_Alias      ADMINISTRATOR = uzivatel1, uzivatel2, uzivatel3

No a potom přiřazuješ skupině přesně ty akce, které uznáš za vhodné. Sudo je naopak mnohem flexibilnější, můžeš mít moře skupin, které mají různá práva, musí/nemusí zadávat heslo, můžeš je omezovat podle počítače, z něhož jsou přihlášeny, ... Ve spojitosti s aliasy si můžeš snadno upravit systém tak, že ani to sudo není nutné zadávat a uživatel nemusí vůbec nic poznat.

to jde resit dvema zpusoby: a) zavedenim vice uzivatelu s uid=gid=0 (systemu je to celkem fuk, jak se jmenujete, ale kazdy ucet muze mit sve heslo a v logu bude videt KDO se prihlasil) nebo b) rootovi dat do shadow hvezdicku a pouzivat prihlasovani pomoci ssh a verejneho/privatniho klice (opet kazdy muze mit svuj)
argument, ze po prihlaseni na roota muze stejne zmenit logy? ne, pokud se forwarduji na jiny server, kam dotycny nemuze.

sudo je luxus, ale melo by se vyuzivat k tomu, cemu je urceno, tedy rozdeleni a delegovani prav, imho roota se to vubec tykat nemusi, a resit pres sudo uplne vsechno je dle meho nesmysl ... pekne how to je napr zde http://www.security-portal.cz/clanky/pouzivame-sudoers.html ... nebo na linuxsoftu v serialech

Na mojom domovskom kompe používam sudo i konto root-a. Som jediný užívateľ a administrator zároveň, tak mám v /etc/sudoers riadok

me ALL=(ALL) NOPASSWD: ALL

ale z kvazibezpečnosti používam root ako samostatné konto, keď potrebujem nejakú drobnosť (mountnuť mimo fstabu etc.) použijem sudo, lebo nemusím stále dookola zadávať rootovské heslo. Na celkovú administráciu sa prihlasim ako root.

Je vobec realne, ze by niekto cez SSH prelomil "kvalitne" heslo, ktore ma 10 pismen? Na jednom servery mam roota povoleneho aj cez SSH kvoli pohodlnosti :).

Problémem při přihlašování jako root přes ssh není ani tak absolvování dvou hesel, jako fakt, že útočník při pomyslném útoku neví, na jaký název účtu má vlastně útočit. Musí tedy nejdříve uhádnout přihlašovací jméno a pak heslo. Pěkný článek jinak.

Ja osobne preferujem root.cz, lebo sudo.cz ani www.sudo.cz nefunguje.

cool

On by si autor článku totiž měl přestat hrát na bezpečnostního poradce a znalce Linuxu. Nebo si alespoň problematiku předem nastudovat. Takhle sice získá hity do statistiky, ale kvalita je v čudu.

Sudo slouží k separaci administrátorů resp. jejich oprávnění. Tj. možnost spustit omezenou množinu příkazů nejlépe s přesně definovanými parametry (jinak to postrádá smysl) a delegovat to na jinak neprivilegovaného uživatele.

Pokud někomu vadí, že síť je zahlcena slovníkovými útoky na SSH a přihlášení na roota, měl by přijmout takové opatření, aby byly vyloučeny a ne zakazovat přihlášení administrátora (viz níže), tj. např. po X pokusech automaticky IP zablokovat (možností je několik, ale vždy je to obezlička s použitím dalšího nástroje).

Login na neprivilegovaného uživatele a následné su či sudo mají totiž zásadní vadu na kráse - zatímco SSH z principu může mlžit při přihlašování a heslo "zarušit" nahodilým provozem, po přihlášení se tak již neděje a proto lze minimálně odhadnout odposlechnutím (šifrovaného) provozu délku zadávaného hesla, což otevírá do systému dost podstatnou díru a "zabezpečení" je tím spíše snížení bezpečnosti jako celku.

Bohužel v tomto OpenSSH pokulhává a zdaleka nedosahuje potřebných kvalit (předchozí používaná implementace uměla např. separovat uživatel podle IP).

Pozn: Výše předpokládám, že je nevhodné používat k přihlašování výhradně klíče. To je sice systémové řešení, ale ne vždy realizovatelné (např. riziko ukradnutí privátního klíče a heslové fráze je při přihlašování z MS Windows dost vysoké).

Riziko ukradnutia kluca sa da minimalizovat, takze si ho ulozime na patricny hw k tomu urceny ako napr. nejaky crypto token (smartcard, usb token). Zatial to este nieje tak rozsirene ale myslim si ze pridu casy, ked sa clovek bude do systemov hlasit cez kombinaciu nejakeho crypto tokenu, bio identifikatoru a OTP...

Muzete pouzivat klice/hesla na jedno pouziti - proste mate u sebe USB/kus papiru, kde si skrtnete uz pouzite heslo/klic a stejne si ho skrtne system. Existuje spousta ruznych variant.

Tak toto jsem opravdu netušil...

> a proto lze minimálně odhadnout odposlechnutím (šifrovaného) provozu délku zadávaného > hesla, což otevírá do systému dost podstatnou díru a "zabezpečení" je tím spíše
> snížení bezpečnosti jako celku.

a opravdu myslíme tu stejnou implementaci openssh? To z té komunikace jde zjistit jak je dlouhé heslo?! Díky za info...

Když píšete heslo, je to arytmický projev a z principu datagramové služby se leccos dá !přibližně! dovodit. Existuje na to seriózní text, na který jsem byl kdysi upozorněn. V zásadě jde o to, že se přihlásíte a pak děláte su nebo sudo a následuje další heslo. Ze šifrovaného síťového provozu nezjistíte co, ale zjistíte jak mnoho a v jakém rytmu, což sníží složitost útoku. Zatímco při přihlašování může být komunikace "zamlžena", aby se arytmický projev zaslaného hesla důkladně zastřel, v další komunikaci už tak tomu z principu být nemůže.

> V zásadě jde o to, že se přihlásíte a pak děláte su nebo sudo a následuje další
> heslo. Ze šifrovaného síťového provozu nezjistíte co, ale zjistíte jak mnoho a v >jakém rytmu, což sníží složitost útoku.

nerozumím tomu rytmu... to asi neznamená rychlost psaní, že? Neměl byste odkaz na ten text, kde jste o tom četl, moc tomu bohužel nerozumím:(

neodesila se heslo, a veskera terminalova komunikace, az po stisknuti "enter" ? jestli ano, tak o jake arytmice psani hesla tu mluvime ?

Ne.

(tim padem je druha cast otazky bezpredmetna)

mea culpa

mas pravdu. nahodil jsem ti si etherreal a opravdu co znak to komunikace. no ted jeste zalovim v pameti, proc jsem si myslel, ze to tak neni.

mel jsem za to, ze se to drzi z dob kdy se prenosove kapacity setrily a byly v radech desitek baudu. posilat s jednim znakem cely tcp paket bylo placanim mista na lince. a tak se cekalo na konec radku.

TCP má tuším zpoždění odeslání 200ms, takže se do 1 datagramu teoreticky vejde více úhozů. Větším seskupováním by utrpěla interaktivita. Pokud nejste rychlopísař, je vkládání hesla do sudo (nebo su) pak přibližně analyzovatelné. Zmínka a odkaz na práci, která se tím blíže zabývala, prošly konferencí linux@linux.cz.

Mohl bych se optat na ty "obezličky" k blokaci IP? Díky.

denyhosts

Pomocí iptables můžete použít modul "-m recent". Další podobné nástroje: http://denyhosts.sourceforge.net/faq.html#1_19

Neradte tu prosim takove veci, jeste to nejake wokeni BFU nedejboze pouzije. Ja kdyz videl linux poprve, tak mi ten dobrak po instalaci automaticky namontoval vsechny disky (i pro zapis) a ja tohle napsal, kdyz jsem to chtel "odinstalovat"... Dneska uz se tomu smeju :-))

... tak si himlhergot aspon prectu man. sudo je na par prikazu, ktere chci povolit spoustet s pravy roota, ne na rootovani jakehokoliv prikazu (jo, jde to, ale k tomu to neni). navic je v tom prekladu par logickych nesmyslu.

Hmm. Tak to prosím zkuste vysvětlit tvůrcům Ubuntu.

Ubuntu je zamerene na laicke uzivatele, pro ktere je myslenka ruznych uzivatelu na ruzne ukoly ponekud slozita a tezkopadna. Museli by si na papirek zapsat dve hesla, prehlasovat se a podobne. Sudo tohle pomerne efektivne resi, i kdyz vzniklo pro jine ucely.

"
Cmnd_Alias RESTART=/sbin/reboot
restart ALL=(ALL) RESTART

Tímto jsme určili, že uživatelé, kteří patří do skupiny restart mají právo zavolat se sudo příkaz /sbin/reboot .."


Doporučuju to vyzkoušet nebo si aspoň přečíst návod !

Programy reboot, shutdown, poweroff a podobné obvykle používají PAM. Čili je dnes systémovější použít PAM, než sudo.

Kromě toho většina systémů používá automatické přidělování práv v závislosti na tom, jestli je uživatel přihlášen z konzole nebo ne (floppy, zvuk, CDROM apod). V případě požadavku na jiný efekt je potřeba přenastavit tento systém (/etc/security/*, případně /etc/udev/*).

Obecně se dá říci, že sudo je přežitek nebo nástroj na velmi specifické užití.

konecne trochu svetla do sudo ;) ja pouzivam roota aj cez ssh, jednak mi lezie na nervy zadavat heslo cez su, a jednak ked je poriadne heslo na roota tak to bude tazsie.
- zabranenie skenovania ssh na pristup - presun si to na iny port, skenuju vecsinou roboty, ak je cielene vedeny utok tak by som hlavne skontroloval ostatne co bezi, lebo to je viac zranitelne, BTW - ked mam daku sluzbu na dakom porte ktory je znamy , napr. aj to ssh, tak si ho mozem dat na iny port kt. je znamy ale nic na nom nepouzivam, napr 3128 co pouziva squid, nie je to univerzalne ale vecsinu lamerov to aspon zmetie (ano, viem ze to ide zistit)
- stale sa tu niektory jedinci zavzdusnuju aka je to nebezpecnost/blbost pracovat pod rootom, hmm, ak som admin a idem nieco skusat co moze poskodit system tak ci tak sa dam pod root a skusim to, je to moj problem ze si to neodskusam najskor na inom stroji, lenze ruku na srdce, ktory admin co maka ma cas kazdy prikaz si testovat inde, ja teda nie