Автор Тема: sudo и Athlon XP Barton  (Прочитано 925 раз)

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #30 : 21.11.2021 23:29:26 »
Смягчение так себе. Такого пользователя может создать не только тот, кто и так знает пароль рута или кому разрешено судой получать привилегии. Это можно сделать, например, скриптом подложенным в какой нибудь пакет. Установка-то от рута делается.

Тоже так подумалось когда прочитал про смягчение. Это лишь иллюзия безопасности с самоуспокоением. Но сама возможность атаки, никуда не делась и не исчезла.

Народ, заинтересованные в безопасности, выскажите свои мысли
Вообще, если совсем правильно — там где есть ограничение (в данном случае для UID), там же должна быть и проверка, с отказом выполнения при выходе переменной за пределы.

Чёрт... До меня никак не доходит, почему Поттеринг игнорирует такую очевидную вещь. С таким сдвигом парадигмы, совсем перестал понимать Поттеринга. У которого код, совсем не соответствует базовым основам безопасности.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: sudo и Athlon XP Barton
« Ответ #31 : 22.11.2021 02:45:33 »
Смягчение так себе. Такого пользователя может создать не только тот, кто и так знает пароль рута или кому разрешено судой получать привилегии. Это можно сделать, например, скриптом подложенным в какой нибудь пакет. Установка-то от рута делается.

Тоже так подумалось когда прочитал про смягчение. Это лишь иллюзия безопасности с самоуспокоением. Но сама возможность атаки, никуда не делась и не исчезла.

Народ, заинтересованные в безопасности, выскажите свои мысли
Вообще, если совсем правильно — там где есть ограничение (в данном случае для UID), там же должна быть и проверка, с отказом выполнения при выходе переменной за пределы.

Чёрт... До меня никак не доходит, почему Поттеринг игнорирует такую очевидную вещь. С таким сдвигом парадигмы, совсем перестал понимать Поттеринга. У которого код, совсем не соответствует базовым основам безопасности.
Тут даже не только поттеринг. В первую голову проверку ввода всех данных должны делать утилиты создающие пользователя. Если UID должен быть положительным целым, то там и надо проверять, что оно именно положительное целое и в границах диапазона. Там ведь можно наколотить всё что угодно и дробное и текст... Такие значения просто не должны приниматься к обработке.

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #32 : 22.11.2021 15:37:26 »
Я удивляюсь этому бурлению волн в стакане воды в том вопросе, который для меня абсолютно ясен.
Повторяю. Так, как сделано в Альте: если непривилегированный пользователь не включен в группу wheel, то командой sudo не может пользоваться ни один пользователь (скрин я показывал). Если непривилегированный пользователь включен в группу wheel, то командой sudo может пользоваться тот, кому это не положено по соображениям безопасности. Извините за грубое слово, но в народе это называется - назло маме в штаны накакать.
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #33 : 22.11.2021 16:44:02 »
Если непривилегированный пользователь включен в группу wheel, то командой sudo может пользоваться тот, кому это не положено по соображениям безопасности. Извините за грубое слово, но в народе это называется - назло маме в штаны накакать.

Проблема возникнет и с флагом rootpw. Для запроса пароля root на sudo-команде. И возникнет она в больших организациях и больших корпоративах, где требуется админ больше одного:
Первый wheel-пользователь в системе, это тоже root-овый аккаунт. Остальные wheel-соадминистраторы, это не root. И знать его пароль не должны. Но без флага rootpw, wheel будут разрешать сами себе выполнять и root-команды и команды от другого пользователя (скрипты в его home и прочее).

Иначе ведёт себя su:

В первом случае, su запросит пароль root
[user1@comp ~]$ su -c '/sbin/fdisk -l' root
Password:

Но при выполнении команды от другого пользователя, su запросит пароль этого пользователя от которого выполняется команда (не пароль выполняющего команду!):
[user1@comp ~]$ su -c '/home/tester/base.sh 10' tester
Password:
bash: /home/user1/.bashrc: Отказано в доступе
bash: /home/user1/.bashrc: Отказано в доступе
hex=A    dec=10    oct=12    bin=1010

Т.е. чтобы выполнить через su команду от другого пользователя, нужно ещё получить его разрешение (знать его пароль).
В отличие от sudo, в котором без rootpw, выполняющий разрешает сам себе. А с rootpw, только через root. При двух и больше wheel в системе, из которых один root, а другой не root.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #34 : 22.11.2021 16:58:44 »
Можно сказать что su на выполнении root-команд, это sudo с rootpw и timestamp_timeout=0.
Т.е. когда на выполнении root-команд, пароль root запрашивается всегда и без исключений.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #35 : 22.11.2021 18:44:20 »
Тут даже не только поттеринг. В первую голову проверку ввода всех данных должны делать утилиты создающие пользователя. Если UID должен быть положительным целым, то там и надо проверять, что оно именно положительное целое и в границах диапазона. Там ведь можно наколотить всё что угодно и дробное и текст... Такие значения просто не должны приниматься к обработке.

Description

systemd-run may be used to create and start a transient .service or .scope unit and run the specified COMMAND in it. It may also be used to create and start a transient .path, .socket, or .timer unit, that activates a .service unit when elapsing.

-pty, -t

    When invoking the command, the transient service connects its standard input, output and error to the terminal systemd-run is invoked on, via a pseudo TTY device. This allows running programs that expect interactive user input/output as services, such as interactive command shells.


Запуск как сервиса непривилегированным? С потенциальной возможностью получения root-шелл окружения, как минимум если пароль одного из wheel скомпроментирован? Честно говоря мне это выносит мозг. Поттеринг мог бы делать проверку на наличие в wheel, с access denied при отсутствии. Это сузило бы возможности атаки.
su за такие "фокусы", сразу выдаст Отказано в доступе.
« Последнее редактирование: 22.11.2021 19:13:12 от Speccyfighter »

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Re: sudo и Athlon XP Barton
« Ответ #36 : 22.11.2021 20:44:33 »
Я удивляюсь этому бурлению волн в стакане воды в том вопросе, который для меня абсолютно ясен.
А вот у меня сложилось мнение, что вы так и не поняли назначение команд su и sudo. И видимо наискосок прочитали то, что я про них написал. Я специально старался объяснять максимально обобщенно и понятно. Когда понятна общая суть, тогда уже можно и углубиться в подробности, которыми так богат Speccyfighter. :)

Повторяю. Так, как сделано в Альте: если непривилегированный пользователь не включен в группу wheel, то командой sudo не может пользоваться ни один пользователь (скрин я показывал). Если непривилегированный пользователь включен в группу wheel, то командой sudo может пользоваться тот, кому это не положено по соображениям безопасности.
Привилегированность пользователя определяется его принадлежностью к группе wheel. Поэтому, если "непривилегированный пользователь включен в группу wheel", то он автоматически становится привилегированным.
И по соображениям безопасности в альтовских дистрибутивах по умолчанию sudo не настроен, т.е. даже типа "привелигированный" пользователь (тот, кто входит в группу wheel) тоже не может воспользоваться sudo. Вот тот, кто знает пароль root, тот и должен настроить sudo, чтобы определить, кому и как можно пользоваться sudo.

Как я ранее написал, "домашнее" использование линукса, когда один и тот же физический человек одновременно выступает в нескольких ипостасях - он и админ, который устанавливает дистрибутив, и пользователь root, и "привелигированный" (в вашей терминологии) пользователь из группы wheel - это использование является очень частным случаем использования линукс.
Вот для такого использования и сделан альтовский дистрибутив Simply - вот там "из коробки" настроено, чтобы делегировать "привелигированному" пользователю возможность выполнять через sudo любые команды от имени пользователя root.

В остальных альтовских дистрибутивах, а также стартеркитах, если хочется/надо пользоваться sudo, то сначала root (а это может быть совсем другой человек, который на данном компьютере и не работает) должен это настроить.

« Последнее редактирование: 22.11.2021 20:47:43 от Александр Ерещенко »

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #37 : 23.11.2021 13:15:40 »
Привилегированность пользователя определяется его принадлежностью к группе wheel. Поэтому, если "непривилегированный пользователь включен в группу wheel", то он автоматически становится привилегированным.
Зачем так сделано? В чем, так сказать, сермяжная правда? Вспоминая наш армейский юмор: "В армии очень больно лечить зубы, потому что в армии все делается через одно место."
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #38 : 23.11.2021 15:00:27 »
Зачем так сделано?
Кстати, у меня тоже тот-же вопрос. Возможно я ещё мало разбираюсь в структуре Linux, но как по мне должно быть только два статуса: "user", который не может ничего изменить в системе, в том числе её сломать своими действиями и "root" - фактически - повышение привелегий пользователя до суперпользователя, который уже может делать с системой всё что пожелает. sudo имеет право на существование только в одном случае - если не будет никаких таймаутов в виде 5, 10, 15 и т.д. минут. Запрос пароля при использовании sudo должен быть обязательным и на каждую команду, даже в течение одной сессии в терминале.
« Последнее редактирование: 23.11.2021 15:17:28 от gosts 87 »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #39 : 23.11.2021 15:30:46 »
Привилегированность пользователя определяется его принадлежностью к группе wheel. Поэтому, если "непривилегированный пользователь включен в группу wheel", то он автоматически становится привилегированным.
Зачем так сделано? В чем, так сказать, сермяжная правда? ...
Зачем так сделано?
Кстати, у меня тоже тот-же вопрос. ...

:-) Потому что:
См. комментарий Дмитрия Левина к моему багрепорту на предмет уязвимости `pkexec /bin/bash` в системах на systemd. (См. также #35763).

Которая с отказом в авторизации не срабатывает в альтовых системах на sysv и работать в них не должна.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #40 : 23.11.2021 15:40:46 »
Возможно я ещё мало разбираюсь в структуре Linux, но как по мне должно быть только два статуса: "user", который не может ничего изменить в системе, в том числе её сломать своими действиями и "root"

Сразу после инсталляции альтов, таких пользователей в системе ещё нет. Две учётных записи которые создаются в альтах на инсталляции (root и пользователь группы wheel), принадлежат одному физическому лицу (человеку): root. (Не сиди под root-ом!).

Пару-тройку лет назад, я уже это объяснял на двух-трёх html-страницах одному из школьных админов. Но сейчас уже этого не найду. А провернуть этот фарш ещё раз на голом альтруизме, желание очень так себе.

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #41 : 23.11.2021 15:53:45 »
Так это в Alt ах. Я же говорю обо всех Линукс дистрибутивах.
 :-)

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Re: sudo и Athlon XP Barton
« Ответ #42 : 23.11.2021 16:54:27 »
Привилегированность пользователя определяется его принадлежностью к группе wheel. Поэтому, если "непривилегированный пользователь включен в группу wheel", то он автоматически становится привилегированным.
Зачем так сделано? В чем, так сказать, сермяжная правда? Вспоминая наш армейский юмор: "В армии очень больно лечить зубы, потому что в армии все делается через одно место."
Тогда давайте договоримся о дефинициях. :)

Привилегированный пользователь
Что под этим понимаю я, описал выше.
А что под этой фразой понимаете вы? По какому признаку вы определяете, что такой-то пользователь линукс является привилегированным?

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #43 : 23.11.2021 18:20:55 »
Так это в Alt ах. Я же говорю обо всех Линукс дистрибутивах.
 :-)

:-) Ни в одном линукс, sudo, в своей каждой дефолтной конфигурации, не пригоден для использования в больших организациях и больших корпоративах. Не пригоден от слова совсем. Максимум на что тянут эти конфигурации, это домашнее использование. И с большим натягом, в малых организациях и корпоративах. Для последних, зависит от степени адекватности того root-а.
Секрет sudo прост:
- Установить пакеты man-pages-ru man-pages-ru-extra
- Открыть man sudoers
- Читать до полного просветления

Но реальность такова, что большинство пользователей и админов линукс новой волны, этого не делают. И полагаю делать не будут.

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #44 : 23.11.2021 18:34:37 »
Когда я слышу про всякие тайм-ауты между требованием ввода пароля sudo, то на ум приходит другая всем известная ОС (название лишний раз повторять не будем), в которой большинство пользователей одновременно являются и администраторами и, в терминологии Linux - Root (Суперпользователями)...
И после такого эти пользователи (они же - Администраторы, они же - суперпользователи) удивляются, почему у них в системе всякая зараза сидит.
« Последнее редактирование: 23.11.2021 19:57:07 от gosts 87 »