Автор Тема: sudo и Athlon XP Barton  (Прочитано 924 раз)

Оффлайн Aleksey Shimanov

  • Давно тут
  • **
  • Сообщений: 62
    • Email
Re: sudo и Athlon XP Barton
« Ответ #15 : 19.11.2021 15:41:55 »
послабление и в конфигах sudo прописано %wheel ALL = ALL , т.е. пользователи из группы wheel могут запускать через sudo любые команды.
Насколько я понимаю в сервере этого нет, я при подключении сервера к виндовой AD в этом файлике делал правки...

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #16 : 19.11.2021 15:44:21 »
У меня ясно написано, что первый раз я ввел пароль root, второй раз я ввел пароль текущего пользователя.
В Linux Root не = Администратор.
:-) пофигу.
Там ясно написано:
[sudo] password for admin:
admin is not in the sudoers file.  This incident will be reported.

/etc/sudoers не настроен.
admin в данном случае - эквивалент статуса user.
« Последнее редактирование: 19.11.2021 15:50:36 от gosts 87 »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #17 : 19.11.2021 15:45:05 »
P.S. Speccyfighter Вы куда-то в дебри полезли... Насколько я понял Арбичев хочет понять это ошибка или что-то другое.

Да какие там нафик дебри...
Смотрите секцию User alias specification и строку конфига прав на sudo-команды в /etc/sudoers.

По-умолчанию в альтах строки закомментированы:
# tail -n23 ./hlam-sudo/etc/sudoers

##
## User privilege specification
##
# root ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
# WHEEL_USERS ALL=(ALL) ALL

## Same thing without a password
# WHEEL_USERS ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
# SUDO_USERS ALL=(ALL) ALL

## Uncomment to allow any user to run sudo if they know the password
## of the user they are running the command as (root by default).
# Defaults targetpw  # Ask for the password of the target user
# ALL ALL=(ALL) ALL  # WARNING: only use this together with 'Defaults targetpw'

## Read drop-in files from /etc/sudoers.d
## (the '#' here does not indicate a comment)
#includedir /etc/sudoers.d

И это ^^^^ вы могли бы и сами посмотреть.
А при закомментированных дефолтом строках, что вы ещё от sudo ожидали?

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #18 : 19.11.2021 16:26:55 »
P.S. Speccyfighter Вы куда-то в дебри полезли... Насколько я понял Арбичев хочет понять это ошибка или что-то другое.

Да какие там нафик дебри...
Смотрите секцию User alias specification и строку конфига прав на sudo-команды в /etc/sudoers.

По-умолчанию в альтах строки закомментированы:
# tail -n23 ./hlam-sudo/etc/sudoers

##
## User privilege specification
##
# root ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
# WHEEL_USERS ALL=(ALL) ALL

## Same thing without a password
# WHEEL_USERS ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
# SUDO_USERS ALL=(ALL) ALL

## Uncomment to allow any user to run sudo if they know the password
## of the user they are running the command as (root by default).
# Defaults targetpw  # Ask for the password of the target user
# ALL ALL=(ALL) ALL  # WARNING: only use this together with 'Defaults targetpw'

## Read drop-in files from /etc/sudoers.d
## (the '#' here does not indicate a comment)
#includedir /etc/sudoers.d

И это ^^^^ вы могли бы и сами посмотреть.
А при закомментированных дефолтом строках, что вы ещё от sudo ожидали?

Арбичев же хочет, чтобы sudo работал. И чтобы запрашивал пароль root.
Для этого надо, в /etc/sudoers, раскомментировать строку с WHEEL_USERS и в Defaults прописать флаг rootpw.
Но это безболезненно только на домашних компьютерах.
Но если бы кто-то такое сваял бы в корпоративе, я бы не стесняясь спросил бы у него:
"Ты чё, совсем дурак что ли?! На кой хрен ты раззвенел всем админам пароль root? Ты же rootpw для этого установил? Чтобы они все админы вводили пароль root?".
Поэтому образно говоря, rootpw, это палка о двух концах.

Как справедливо заметил gosts 87, root не админ, а админ почти всегда не root.
« Последнее редактирование: 19.11.2021 16:38:24 от Speccyfighter »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: sudo и Athlon XP Barton
« Ответ #19 : 19.11.2021 16:49:01 »

В моей не богатой практике я с таким не сталкивался, чтобы судо не работало.
Кстати судо не работает только на mc или на всех остальных командах тоже?

P.S. Speccyfighter Вы куда-то в дебри полезли... Насколько я понял Арбичев хочет понять это ошибка или что-то другое.
На всех командах. По умолчанию, даже с control sudo public Вы в Альте (если не Simply Linux для домохозяек) Вы без control sudowheel enabled запустить можете, но прав запуска произвольных программ не имеете.
Андрей Черепанов (cas@)

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #20 : 20.11.2021 17:37:01 »
:-) пофигу.
Там ясно написано:
[sudo] password for admin:
admin is not in the sudoers file.  This incident will be reported.

/etc/sudoers не настроен.
admin в данном случае - эквивалент статуса user.

:-) Здесь есть одна тонкость, критичная для больших организаций и корпоративов, с админом больше одного:
https://forum.altlinux.org/index.php?topic=41933.msg335647#msg335647
Несколько лет назад, описывал эту тонкость в развёрнутом виде на несколько html-страниц. Сейчас не найти, а повторить такой объём, желание близкое к нулю.

Но по большому счёту, всё это фигня.
Здесь привёл метод успешной атаки линукс системы на systemd, с беспарольным получением окружения root непривилегированным пользователем, uid которого в out of range (метод атаки обкатывался и тестировался в системе с systemd на p8):
https://forum.altlinux.org/index.php?topic=41933.msg335746#msg335746

Это ^^^ предельно опасный метод атаки системы на systemd. Базируется на баге #35763.
#35763 и #37516 просто меркнут перед этим.
Всё они не работают в альтовых системах на sysv.

Народ, заинтересованные в безопасности, выскажите свои мысли, может это комментарием-предупреждением в #35763 положить? Как возможность эксплуатации предельно опасной уязвимости systemd основанной на #35763. На мой взгляд, проблема-то очень серьёзная.

Исправления нет.
Есть метод смягчения:
https://access.redhat.com/security/cve/cve-2018-19788

Также метод атаки базируется на уязвимости:
unprivileged users with UID > INT_MAX can successfully execute any systemctl command
https://twitter.com/paragonsec/status/1071152249529884674
unprivileged users with UID > INT_MAX can successfully execute any systemctl command #11026
https://github.com/systemd/systemd/issues/11026

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #21 : 20.11.2021 17:58:28 »
Народ, заинтересованные в безопасности, выскажите свои мысли
Высказываю глупую и фантастическую мысль: ядро надо переписывать с нуля! :rolleyes: ;-D

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #22 : 21.11.2021 10:55:12 »
Народ, заинтересованные в безопасности, выскажите свои мысли
Высказываю глупую и фантастическую мысль: ядро надо переписывать с нуля! :rolleyes: ;-D

Может и до этого дойти :-)
А если без шуток:
На гитхабе Поттеринг перевёл стрелки на полкит, но тут такой дипломатичный вопрос:
"Ты чё блин делаешь? Ты шо, совсем больной на всю голову? На кой чёрт ты разрешаешь systemd-run запускаться от непривилегированного пользователя? Ты шо, совсем не видишь, что это порождает повод для атаки использующей сразу две уязвимости? А потом ты удивляешься почему находятся пользователи упорно не желающие использовать твоё говно?". Породить такую пробоину в системе, мог только дебил. Написать всё так, чтобы можно было провести атаку с использованием двух уязвимостей сразу и чтобы админ в who не обнаружил такую сессию, а только через журнал. Пипец блин... Ой не зря мы с Даном трахались с xfce-sysv.
« Последнее редактирование: 21.11.2021 10:58:59 от Speccyfighter »

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #23 : 21.11.2021 14:18:52 »
Разрешите начать несколько издалека. Зачем в линукс две разные команды: su и sudo? За более чем 15-летний срок пользователя openSUSE у меня сформировалась по этому вопросу совершенно четкая концепция.
Команда su переключает систему в режим работы под root, то есть под суперпользователем. Система будет находиться в этом состоянии бесконечно долго, до тех пор, пока ее не вернут в первоначальное состояние - работу под непривилегированным пользователем.
     Команда sudo предназначена для однократного выполнения некой команды от лица root. После завершения выполнения этой команды система автоматически вернется в состояние работы под непривилегированным пользователем.
Если привести бытовую аналогию, su это как обычный выключатель на стене. Нажал выключатель - лампочка загорелась и будет гореть до тех пор, пока человек в явном виде не переведет выключатель в нижнее положение.
     Команда sudo - аналогия выключателя с таймером. Жил я в таком доме. Поздно вечером заходишь в подъезд - темнота. Нащупываешь в темноте кнопку, нажимаешь на нее, свет загорается. Через 2 минуты таймер срабатывает и свет выключается. Этого времени мне хватало, чтобы подняться на 5 этаж.
     Наличие таких двух команд весьма удобно. Предположим, имеется некий офис, в котором за компьютером сидит менеджер по продажам Иванов (только у него на компьютере не Винда, а Линукс). И вот я, системный администратор, прихожу к нему, чтобы поправить какую-то настройку на ПК. Если я знаю, что мне надо только зайти в один файл и поправить одну настройку, я буду использовать sudo mc - мне так удобно (и у sudo должен быть пароль root). Если решение проблемы заранее мне не известно, и я могу просидеть и час и два - я буду использовать su.
И еще у меня есть совершенно четкое понимание, что timesyamp у sudo должен быть как можно меньше - в идеале равен нулю.
P.S.В моей системе пользователь с именем admin не имеет никакого отношения к администратору. Просто 15 лет работы в одной организации у меня было под Виндой имя admin. Когда я ушел на пенсию, я решил на домашнем компьютере сохранить имя admin для непривилегированного пользователя.
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #24 : 21.11.2021 14:26:25 »
Дополнение.
Если у sudo пароль обычного пользователя, но он не входит в группу wheel, то это внутренне противоречие. Это аналогично тому, как в армии старшина кричит бойцу: "Стой там, иди сюда!"
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Re: sudo и Athlon XP Barton
« Ответ #25 : 21.11.2021 15:54:57 »
Всё-таки вижу недопонимание назначения инструментов.

Команда su предназначена для того, чтобы запустить оболочку другого пользователя (по умолчанию - это root, но может быть и любой другой, что кстати используется во многих стартовых скриптах), а потом уже в этой оболочке запускать любые команды, т.е формально это так же, как если залогинился бы этот другой пользователь и запускал бы соответствующие команды.
При этом, если команду su - username запускает root, то пароль пользователя username не запрашивается (root - это же уровень бога :) ).
А вот когда эту же команду запускает другой пользователь, то требуется ввести пароль пользователя username (как указал выше, если имя пользователя не указано, то подразумевается root, соответственно и вводить надо пароль root)
Т.е. выполняя команду su, как бы говорится системе, что "а теперь я не тот, кто был раньше, а вот этот".

А теперь по команде sudo
Эта команда была создана, чтобы делегировать какому-либо пользователю (или группе пользователей) возможность выполнения отдельной команды (или списка команд) от имени другого пользователя (по умолчанию - от имени root). Что, кому и как делегируется, определяется в конфигурации sudo (/etc/sudoers). И запрашивается пароль пользователя, который выполняет команду sudo, т.е. пользователь подтверждает, что "да, это я, и мне разрешено выполнить эту команду от имени другого пользователя".
Чисто для удобства, чтобы не делать такое подтверждение для запускаемых нескольких команд sudo, было сделано "временное окно" (настраивается, можно и запретить) , когда пароль можно не вводить (типа система ещё помнит - "а, это всё ещё ты")
Но при этом каждый запуск sudo протоколируется в журнале.

Вот такая логика работы этих команд. Ваше (не только, а и многих обычных пользователей) применение этих команд в своей практике - это очень узкий частный случай, из-за чего и сформировалось это ошибочное представление о них.
« Последнее редактирование: 21.11.2021 21:41:42 от Александр Ерещенко »

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 599
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: sudo и Athlon XP Barton
« Ответ #26 : 21.11.2021 17:27:03 »
(настраивается, можно и запретить) , когда пароль можно не вводить
Лично я это считаю уязвимостью.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: sudo и Athlon XP Barton
« Ответ #27 : 21.11.2021 17:36:28 »
Народ, заинтересованные в безопасности, выскажите свои мысли
Вообще, если совсем правильно — там где есть ограничение (в данном случае для UID), там же должна быть и проверка, с отказом выполнения при выходе переменной за пределы.

Смягчение так себе. Такого пользователя может создать не только тот, кто и так знает пароль рута или кому разрешено судой получать привилегии. Это можно сделать, например, скриптом подложенным в какой нибудь пакет. Установка-то от рута делается.
« Последнее редактирование: 21.11.2021 18:02:19 от stranger573 »

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Re: sudo и Athlon XP Barton
« Ответ #28 : 21.11.2021 17:51:09 »
(настраивается, можно и запретить) , когда пароль можно не вводить
Лично я это считаю уязвимостью.
Да. Это то же самое, как если бы вам позвонил ваш друг и сказал "Я буду у тебя через 10 минут", и вы открыли бы свою дверь на эти 10 минут. Дальше всё зависит от окружающей обстановки.

Но это "окно беспарольного доступа" тоже настраивается и можно вообще отключить.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #29 : 21.11.2021 23:08:48 »
(настраивается, можно и запретить) , когда пароль можно не вводить
Лично я это считаю уязвимостью.

Конечно.
А также разрешать самому себе, выполнять команды от другого пользователя.
В отличие от su, который запрашивает пароль пользователя, от которого выполняется команда.
« Последнее редактирование: 21.11.2021 23:36:13 от Speccyfighter »