Автор Тема: доступны осенние стартеркиты (20170912)  (Прочитано 16662 раз)

Оффлайн ABC

  • Завсегдатай
  • *
  • Сообщений: 369
Очередной вопрос по LXDE.
Sudo там не работает? Или заработает, если добавиться в файл sudoers?

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
Sudo там не работает? Или заработает, если добавиться в файл sudoers?

Не работает, но если добавиться в файл sudoers заработает. Главное это сделать правильно.

Оффлайн ABC

  • Завсегдатай
  • *
  • Сообщений: 369
Не работает, но если добавиться в файл sudoers заработает. Главное это сделать правильно.
А что вообще безопаснее sudo или su -?
Лично мне кажется, что для тех, у кого маразм еще не наступил - su -. Сделал дело и по-быстрому смылся из этого режима. Но, как неопытный пользователь, допускаю, что не прав.

Оффлайн Антон Мидюков

  • alt linux team
  • ***
  • Сообщений: 5 183
  • antohami@
А что вообще безопаснее sudo или su -?

sudo может быть полезен, когда админов у сервера несколько. Так проще в случае чего будет найти виновника, чем если бы все они авторизовались через su - Хотя это тоже спорно.

Также sudo позволяет разрешать пользователю лишь определённые действия, например, только получать сведения о пакетах.

Оффлайн Paver

  • Давно тут
  • **
  • Сообщений: 188
А что вообще безопаснее sudo или su -?
Последнее время перешел на sudo -i
Про плюсы решения можно погуглить.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
А что вообще безопаснее sudo или su -?
Последнее время перешел на sudo -i
Про плюсы решения можно погуглить.

Честно говоря не понял плюсов, кроме запроса пароля пользователя после sudo -i
# cat sudo-i--vs--su-.txt
$ sudo -i

# env|sort >1-sudo-i-sort.txt

# Ctrl+d

$ su -

# env|sort >2-su--sort.txt

# diff 1-sudo-i-sort.txt 2-su--sort.txt
24,27d23
< SUDO_COMMAND=/bin/bash
< SUDO_GID=500
< SUDO_UID=500
< SUDO_USER=user

А при дефолтных таймстэмп в 15 минут в Убунту/Дебьян, даже наоборот.
« Последнее редактирование: 06.04.2018 17:23:07 от Speccyfighter »

Оффлайн Paver

  • Давно тут
  • **
  • Сообщений: 188
Честно говоря не понял плюсов, кроме запроса пароля пользователя после sudo -i
Ну, для кого-то это может быть значимым аргументом в пользу...
Тут, например, еще
https://habrahabr.ru/post/44783/
но вообще-то уже офтоп голимый.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Честно говоря не понял плюсов, кроме запроса пароля пользователя после sudo -i
Ну, для кого-то это может быть значимым аргументом в пользу...
Тут, например, еще
https://habrahabr.ru/post/44783/
но вообще-то уже офтоп голимый.

А ещё в том же man того же дебьян написано:
# 7z x ./sudo-ldap_1.8.19p1-2.1_i386.deb
# 7z x ./data.tar
# man ./usr/share/man/man5/sudoers.5.gz | sed -n '956,958p'
     timestamp_timeout
                       Number of minutes that can elapse before sudo will ask for a passwd again.  The timeout may include a fractional compo‐
                       nent if minute granularity is insufficient, for example 2.5.  The default is 15.  Set this to 0 to always prompt for a

и при таком timestamp, только клинический дебил не сбросит его отходя от компьютера.

В альтах это немного по-другому
# man sudoers | sed -n '301,302p'
       "timestamp_timeout"
              Количество  минут, которое должно пройти перед тем, как sudo запросит пароль снова. По умолчанию это 5. Установка этого значения в

но сброс timestamp и здесь никто не отменял.

К тому же тот "спец" наверняка не знает, что Ubuntu, это ещё не все Линукс.
В альтах by default:
# sed -n '75,78p' /etc/login.defs
#
# Enable "syslog" logging of newgrp and sg activity.
#
SYSLOG_SG_ENAB      yes
# grep -r '12\:09' /var/log/auth/|wc -l
4
# grep -r 'Authentication passed for root from' /var/log/auth/|wc -l
4

При su -, отходя от компьютера, вы рефлекторно нажмёте Ctrl+d.
Но с sudo есть такое понятие как социальный хак:
- Вас обязательно когда-нибудь подловят на этом timestamp в 15 минут.
« Последнее редактирование: 09.04.2018 13:33:15 от Speccyfighter »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Что ещё не так тут:
Цитировать
https://habrahabr.ru/post/44783/
При запуске sudo спрашивает у пользователя его собственный пароль, а не пароль root. Полноценный шелл можно получить с помощью "sudo -i"
...
    если пользователь должен быть лишен права администрирования, в случае с su после удаления его из группы wheel он должен забыть пароль root'а; если используется sudo, достаточно вынести его из соответствующей группы (например, wheel или admin) и/или файла sudoers, если он был дополнительно настроен.

Q: я единственный пользователь своей системы и привык к su, зачем мне sudo?
A: отвечу вопросом на вопрос: если есть правильный sudo, зачем использовать устаревший su?

Для предельно бестолкового специалиста:
su, это не Super User, su, это Switch User. И предназначен он не для получения прав root.

su запрашивает пароль пользователя в аккаунт которого происходит вход.
Т.е. спрашивает разрешения у того пользователя, войти в его аккаунт.
При незнании пароля этого пользователя, последует отказ в авторизации:
[user1@comp user1]$ su - user2
Password:
su: Authentication failure

Но с sudo, политика приватности и разграничения личного пространства пользователей теряет всякий смысл:
[user1@comp user1]$ sudo -i -u user2
[sudo] password for user1:
open /dev/fb0: Permission denied
Поскольку запрашивается не пароль пользователя в аккаунт которого происходит вход, а пользователя который входит в чужой аккаунт. Это всё равно что входя в чужую квартиру спрашивать разрешения у самого себя.

Slackware при повышении прав предупреждает:
- Уважайте частную жизнь пользователей;
- С большой властью приходит большая ответственность.

И это не зря:
Входя в чужой аккаунт, вы вторгаетесь в чужое личное пространство. И запрос разрешения на это у самого себя, в самом лучшем случае может вызвать недоумение.


Для просмотра домашнего каталога /home/builder:

спросит пароль пользователя builder
$ su - builder -c "ls -l /home/builder"

спросит пароль пользователя root
$ su - root -c "ls -l /home/builder"

Просмотр возможен только если эти пользователи "дали ключи от своей квартиры и разрешили в неё заглядывать".

Но эта команда, взлом чужой квартиры своими ключами (запросит пароль того пользователя от которого выполняется команда):
$ sudo -u builder ls /home/builder
« Последнее редактирование: 10.04.2018 18:34:56 от Speccyfighter »

Оффлайн Paver

  • Давно тут
  • **
  • Сообщений: 188
Имеет смысл с поста
https://forum.altlinux.org/index.php?topic=39957.msg326788#msg326788
выделить тему типа sudo vs su