Автор Тема: sudo и Athlon XP Barton  (Прочитано 158 раз)

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 953
Re: sudo и Athlon XP Barton
« Ответ #75 : 29.11.2021 23:18:34 »
Но не при каких условиях, в системах на UNIX System V init, sudo не должен быть активен по-умолчанию.
Это ваше мнение. Имеете право. А вот другое мнение:
https://web.archive.org/web/20090105205116/http://bappoy.pp.ru/2008/11/10/su-vs-sudo.html
В этом материале мне очень понравилась фраза "Затем появилась команда sudo, и это был прорыв".
Они хотят сказать, что в дистрибутивах линукс команда sudo имеет большое значение для обеспечения безопасности.

:-) Да, афигенная безопасность, при формате
User_Alias Host_Alias=(Runas_Alias) Cmd_Alias

раздавать root-шел направо и налево, всем на любом хосте:
$ grep -v '^#\|^$' hlam-sudo-debian/etc/sudoers
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
root ALL=(ALL:ALL) ALL
%sudo ALL=(ALL:ALL) ALL
@includedir /etc/sudoers.d
$ grep -v '^#\|^$' hlam-sudo-opensuse/etc/sudoers
Defaults always_set_home
Defaults secure_path="/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/bin:/usr/local/sbin"
Defaults env_reset
Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS XDG_SESSION_COOKIE"
Defaults !insults
Defaults targetpw   # ask for the password of the target user i.e. root
ALL   ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
root ALL=(ALL) ALL
@includedir /etc/sudoers.d

А в opensuse, всех соадминов послали лесом по-определению. Или раздали им root-овый пароль.И эта "безопасность", прёт из всех щелей.
С такой "безопасностью", я не вижу разницы между современным линукс и современным виндоус. И с моей точки зрения, сегодня это доводить до ума, всё равно что ссать против ветра.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 953
Re: sudo и Athlon XP Barton
« Ответ #76 : 29.11.2021 23:47:53 »
Они хотят сказать, что в дистрибутивах линукс команда sudo имеет большое значение для обеспечения безопасности.

Безопасность в sudo, это когда соадминистраторам делегируются строго ограниченные права, например выполнения на любом хосте:
$ sudo rpm -ql htop
[sudo] password for user1:
Sorry, user user1 is not allowed to execute '/bin/rpm -ql htop' as root on comp-host1.
$ sudo apt-get update
[sudo] password for user1:
...
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
$ sudo fdisk /dev/sda
[sudo] password for user1:
Sorry, user user1 is not allowed to execute '/sbin/fdisk /dev/sda' as root on comp-host1.
# grep -v '^#\|^$' /etc/sudoers
User_Alias WHEEL_USERS = %wheel
User_Alias XGRP_USERS = %xgrp
Cmd_Alias APTGET = /usr/bin/apt-get
Defaults:XGRP_USERS env_keep += "DISPLAY XAUTHORITY"
Defaults timestamp_timeout=0
Runas_Alias COADMINS = root, user1
WHEEL_USERS ALL=(COADMINS) APTGET

Это то, ради чего создавался sudo изначально:
SUDO - Use and Abuse.
https://www.pclosmag.com/html/Issues/201205/page11.html
http://www.pclinuxos.com/forum/index.php/topic,90479.0.html
When implementing sudo, care should be taken to limit a users entry in /etc/sudoers to the absolute minimum of specific commands needed to perform the task at hand.
При реализации sudo следует позаботиться о том, чтобы ограничить ввод пользователя в /etc/sudoers абсолютным минимумом конкретных команд, необходимых для выполнения поставленной задачи.

И вся эта хрень подробно описана и в анголоязычном man sudoers, и в русскоязычном man sudoers  (у альтов в частности, в пакете manpages-ru-extra). Который судя по выбросам выше, хрен хто из линуксовых разработчиков прочитал.

Но рукожопые линуксовые "программисты", перевернули всё с ног на голову.

У меня вообще последние годы создалось устойчивое мнение, что кто-то умышленно хочет превратить линукс во вторую Windows 10. В какую-то невероятную кучу говна. И чтобы переубедить меня в этом, нужно о-очень постараться.
« Последнее редактирование: 30.11.2021 06:55:10 от Speccyfighter »

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 1 401
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #77 : 30.11.2021 00:01:08 »
У меня вообще последние годы создалось устойчивое мнение, что кто-то умышленно хочет превратить линукс во вторую Windows 10.
:-) Скорее в Windows времён файловой системы FAT.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 953
Re: sudo и Athlon XP Barton
« Ответ #78 : 30.11.2021 08:07:08 »
Нет универсальной безопасной настройки sudo на все случаи жизни, которую можно прописать по умолчанию.

Саша, так и есть. Для безопасного sudo, это невозможно по определению.

Поэтому безопасней по умолчанию будет как раз или не настраивать или вообще отключить sudo.

И не провоцировать пользователя на неверное использование и злоупотребления, граничащее с нарушением протоколов безопасности.

Оффлайн Арбичев

  • Давно тут
  • **
  • Сообщений: 384
    • Email
Re: sudo и Athlon XP Barton
« Ответ #79 : 30.11.2021 18:59:07 »
А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 1 401
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #80 : 30.11.2021 19:10:30 »
А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml
Под статьёй первй же комментарий, с которым полностью согласен:
Цитировать
От кривых рук и тупых мозгов sudo не поможет. Риск использования sudo ровно такой же, как и использования su.
;-)

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 953
Re: sudo и Athlon XP Barton
« Ответ #81 : 30.11.2021 21:58:56 »
А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml

Существует мнение специалиста в области безопасности Александра Песляка (Solar Designer), не использовать sudo. Первая же ссылка в примечании на
https://www.altlinux.org/Sudo

приведёт к
http://www.opennet.ru/openforum/vsluhforumID3/73378.html#18
sudo: why not?  https://www.openwall.com/lists/owl-users/2004/10/20/6

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 953
Re: sudo и Athlon XP Barton
« Ответ #82 : 30.11.2021 22:22:47 »
А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml

:-) Заборы выстраивают,
$ sudo sh -c 'passwd -l root'
$ sudo sh -c "grep -v '^#\|^$' /etc/sudoers"
[sudo] password for user1:
User_Alias WHEEL_USERS = %wheel
User_Alias XGRP_USERS = %xgrp
Defaults env_keep += "DISPLAY XAUTHORITY"
Defaults timestamp_timeout=0
WHEEL_USERS ALL=(ALL) ALL

чтобы в них находить лазейки.
Вам удобнее через какую пролезть? (особенно при ненулевом timestamp_timeout)
$ sudo -i
[sudo] password for user1:
# whoami
root
# exit
выход

$ sudo sh -c /bin/bash
[sudo] password for user1:
# whoami
root
# exit
exit

^^^ Когда учётные записи пользователей группы wheel, становятся равноценными учётной записи root.

:-) Можете ещё попробовать
$ systemd-run -t /bin/bash
$ pkexec /bin/bash

которые используют уязвимость polkit. Который считает всех wheel, root-ом.
И все четыре варианта, дают один и тот же результат.
Но вся эта хрень, в xfce-sysv не работает. По крайней мере по-умолчанию. И такие "номера" там не проходят.

Но можно ещё поиграться и с out of range.
« Последнее редактирование: 30.11.2021 22:30:52 от Speccyfighter »

Оффлайн Арбичев

  • Давно тут
  • **
  • Сообщений: 384
    • Email
Re: sudo и Athlon XP Barton
« Ответ #83 : 03.12.2021 18:24:41 »
Я несколько устал от нашей дискуссии по поводу sudo. Поэтому предлагаю другую тему для обсуждения. Я сегодня совершенно случайно обнаружил, что в KDE от Альта 30 начертаний шрифтов. А знаете сколько начертаний шрифтов в KDE от Tumbleweed? Я бы тоже никогда не догадался - 157! И в том, и в другом случае - это значение по умолчанию, я своими ручками шрифты в систему не доставлял. Не понимаю, откуда такая разница. Я представлял себе так, что если какая-то конкретная версия KDE, например 5.21, то в ней содержатся конкретные шрифты. В любом дистрибутиве, который возьмет KDE 5.21, будет одинаковый набор шрифтов. Или я чего-то недопонимаю?
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Арбичев

  • Давно тут
  • **
  • Сообщений: 384
    • Email
Re: sudo и Athlon XP Barton
« Ответ #84 : 03.12.2021 18:26:51 »
В правом нижнем углу написано - 157 шрифтов.
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 30 936
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: sudo и Athlon XP Barton
« Ответ #85 : 14.05.2022 18:27:34 »