sudo и Athlon XP Barton

[Speccyfighter]

Но не при каких условиях, в системах на UNIX System V init, sudo не должен быть активен по-умолчанию.

Это ваше мнение. Имеете право. А вот другое мнение:
https://web.archive.org/web/20090105205116/http://bappoy.pp.ru/2008/11/10/su-vs-sudo.html
В этом материале мне очень понравилась фраза "Затем появилась команда sudo, и это был прорыв".
Они хотят сказать, что в дистрибутивах линукс команда sudo имеет большое значение для обеспечения безопасности.

Да, афигенная безопасность, при формате
User_Alias Host_Alias=(Runas_Alias) Cmd_Alias

раздавать root-шел направо и налево, всем на любом хосте:

Код: [Выделить]

$ grep -v '^#\|^$' hlam-sudo-debian/etc/sudoers
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
root ALL=(ALL:ALL) ALL
%sudo ALL=(ALL:ALL) ALL
@includedir /etc/sudoers.d


Код: [Выделить]

$ grep -v '^#\|^$' hlam-sudo-opensuse/etc/sudoers
Defaults always_set_home
Defaults secure_path="/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/bin:/usr/local/sbin"
Defaults env_reset
Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS XDG_SESSION_COOKIE"
Defaults !insults
Defaults targetpw   # ask for the password of the target user i.e. root
ALL   ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
root ALL=(ALL) ALL
@includedir /etc/sudoers.d

А в opensuse, всех соадминов послали лесом по-определению. Или раздали им root-овый пароль.И эта "безопасность", прёт из всех щелей.
С такой "безопасностью", я не вижу разницы между современным линукс и современным виндоус. И с моей точки зрения, сегодня это доводить до ума, всё равно что ссать против ветра.

[Speccyfighter]

Они хотят сказать, что в дистрибутивах линукс команда sudo имеет большое значение для обеспечения безопасности.

Безопасность в sudo, это когда соадминистраторам делегируются строго ограниченные права, например выполнения на любом хосте:

Код: [Выделить]

$ sudo rpm -ql htop
[sudo] password for user1:
Sorry, user user1 is not allowed to execute '/bin/rpm -ql htop' as root on comp-host1.


Код: [Выделить]

$ sudo apt-get update
[sudo] password for user1:
...
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено


Код: [Выделить]

$ sudo fdisk /dev/sda
[sudo] password for user1:
Sorry, user user1 is not allowed to execute '/sbin/fdisk /dev/sda' as root on comp-host1.


Код: [Выделить]

# grep -v '^#\|^$' /etc/sudoers
User_Alias WHEEL_USERS = %wheel
User_Alias XGRP_USERS = %xgrp
Cmd_Alias APTGET = /usr/bin/apt-get
Defaults:XGRP_USERS env_keep += "DISPLAY XAUTHORITY"
Defaults timestamp_timeout=0
Runas_Alias COADMINS = root, user1
WHEEL_USERS ALL=(COADMINS) APTGET

Это то, ради чего создавался sudo изначально:
SUDO - Use and Abuse.
https://www.pclosmag.com/html/Issues/201205/page11.html
http://www.pclinuxos.com/forum/index.php/topic,90479.0.html
When implementing sudo, care should be taken to limit a users entry in /etc/sudoers to the absolute minimum of specific commands needed to perform the task at hand.
При реализации sudo следует позаботиться о том, чтобы ограничить ввод пользователя в /etc/sudoers абсолютным минимумом конкретных команд, необходимых для выполнения поставленной задачи.

И вся эта хрень подробно описана и в анголоязычном man sudoers, и в русскоязычном man sudoers  (у альтов в частности, в пакете manpages-ru-extra). Который судя по выбросам выше, хрен хто из линуксовых разработчиков прочитал.

Но рукожопые линуксовые "программисты", перевернули всё с ног на голову.

У меня вообще последние годы создалось устойчивое мнение, что кто-то умышленно хочет превратить линукс во вторую Windows 10. В какую-то невероятную кучу говна. И чтобы переубедить меня в этом, нужно о-очень постараться.

[gosts 87]

У меня вообще последние годы создалось устойчивое мнение, что кто-то умышленно хочет превратить линукс во вторую Windows 10.

Скорее в Windows времён файловой системы FAT.

[Speccyfighter]

Нет универсальной безопасной настройки sudo на все случаи жизни, которую можно прописать по умолчанию.

Саша, так и есть. Для безопасного sudo, это невозможно по определению.

Поэтому безопасней по умолчанию будет как раз или не настраивать или вообще отключить sudo.

И не провоцировать пользователя на неверное использование и злоупотребления, граничащее с нарушением протоколов безопасности.

[Арбичев]

А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml

[gosts 87]

А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml

Под статьёй первй же комментарий, с которым полностью согласен:

От кривых рук и тупых мозгов sudo не поможет. Риск использования sudo ровно такой же, как и использования su.

[Speccyfighter]

А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml

Существует мнение специалиста в области безопасности Александра Песляка (Solar Designer), не использовать sudo. Первая же ссылка в примечании на
https://www.altlinux.org/Sudo

приведёт к
http://www.opennet.ru/openforum/vsluhforumID3/73378.html#18
sudo: why not?  https://www.openwall.com/lists/owl-users/2004/10/20/6

[Speccyfighter]

А можно еще отключить su и жить с одним sudo.
https://www.opennet.ru/tips/3179_root_suse_polkit.shtml

Заборы выстраивают,

Код: [Выделить]

$ sudo sh -c 'passwd -l root'


Код: [Выделить]

$ sudo sh -c "grep -v '^#\|^$' /etc/sudoers"
[sudo] password for user1:
User_Alias WHEEL_USERS = %wheel
User_Alias XGRP_USERS = %xgrp
Defaults env_keep += "DISPLAY XAUTHORITY"
Defaults timestamp_timeout=0
WHEEL_USERS ALL=(ALL) ALL

чтобы в них находить лазейки.
Вам удобнее через какую пролезть? (особенно при ненулевом timestamp_timeout)

Код: [Выделить]

$ sudo -i
[sudo] password for user1:


Код: [Выделить]

# whoami
root


Код: [Выделить]

# exit
выход


Код: [Выделить]

$ sudo sh -c /bin/bash
[sudo] password for user1:


Код: [Выделить]

# whoami
root


Код: [Выделить]

# exit
exit

^^^ Когда учётные записи пользователей группы wheel, становятся равноценными учётной записи root.

Можете ещё попробовать

Код: [Выделить]

$ systemd-run -t /bin/bash


Код: [Выделить]

$ pkexec /bin/bash

которые используют уязвимость polkit. Который считает всех wheel, root-ом.
И все четыре варианта, дают один и тот же результат.
Но вся эта хрень, в xfce-sysv не работает. По крайней мере по-умолчанию. И такие "номера" там не проходят.

Но можно ещё поиграться и с out of range.

[Арбичев]

Я несколько устал от нашей дискуссии по поводу sudo. Поэтому предлагаю другую тему для обсуждения. Я сегодня совершенно случайно обнаружил, что в KDE от Альта 30 начертаний шрифтов. А знаете сколько начертаний шрифтов в KDE от Tumbleweed? Я бы тоже никогда не догадался - 157! И в том, и в другом случае - это значение по умолчанию, я своими ручками шрифты в систему не доставлял. Не понимаю, откуда такая разница. Я представлял себе так, что если какая-то конкретная версия KDE, например 5.21, то в ней содержатся конкретные шрифты. В любом дистрибутиве, который возьмет KDE 5.21, будет одинаковый набор шрифтов. Или я чего-то недопонимаю?

[Арбичев]

В правом нижнем углу написано - 157 шрифтов.

[ruslandh]

Выделена тема:

https://forum.altlinux.org/index.php?topic=46095.0