Автор Тема: sudo и Athlon XP Barton  (Прочитано 931 раз)

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
sudo и Athlon XP Barton
« : 18.11.2021 20:25:21 »
Приветствую!
У меня вопрос лично к Александру Ерещенко. Из вашего последнего поста я понял, что у вас из трех наличных компьютеров на двух стоит Альт Рабочая станция К и на одном кдешный стартеркит. Значит  у вас стабильные сформировавшиеся навыки работы под этим DE. Я хочу узнать, если вам надо посмотреть или отредактировать конфигурационный файл, к которому есть допуск только у root, то каким образом (в каком редакторе вы это делаете)?
В консоли (Konsole): su - , а потом mc и  соответственно как редактор mcedit
Это уже старая привычка, да и к DE и вообще графическому режиму не привязана.

Оффлайн Aleksey Shimanov

  • Давно тут
  • **
  • Сообщений: 62
    • Email
Re: sudo и Athlon XP Barton
« Ответ #1 : 19.11.2021 08:29:51 »
В консоли (Konsole): su - , а потом mc и  соответственно как редактор mcedit
sudo mc кашернее, а эффект такой же. :)

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #2 : 19.11.2021 12:21:23 »
В консоли (Konsole): su - , а потом mc и  соответственно как редактор mcedit
sudo mc кашернее, а эффект такой же. :)

Отлично! Именно этого я и добивался. Дело в том, что у меня sudo mc не работает. Сначала просто копипаста, а в приложении скриншот.

[admin@host-11 ~]$ sudo mc
[sudo] password for admin:
Попробуйте ещё раз.
[sudo] password for admin:
admin is not in the sudoers file.  This incident will be reported.
[admin@host-11 ~]$

После того, как я набрал sudo mc, и у меня попросили ввести пароль, я ввел пароль root. Система попросила ввести пароль еще раз. Раз я знаю, что у меня стоит правильная раскладка клавиатуры (английская), и пароль я ввожу медленно, чтобы исключить ошибку, я уверен, что ввел пароль правильно.
Поскольку я знаю, что в этом вопросе у Альта есть нюансы, я ввожу пароль пользователя admin. Система его тоже не принимает.
Напоминаю, что я специально сохраняю систему в первозданном виде после инсталла, чтобы исключить эффект "кривых рук".
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #3 : 19.11.2021 12:51:52 »
В консоли (Konsole): su - , а потом mc и  соответственно как редактор mcedit
sudo mc кашернее, а эффект такой же. :)

:-) Угу.
В sudo у альтов, timestamp - 5 минут. В debian и ubuntu - 15 минут.
Это означает, что любой пользователь, получивший доступ к аккаунту после первого ввода пароля на sudo-команде, беспарольно может получить права root и неограниченный контроль над системой.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #4 : 19.11.2021 12:55:26 »
После того, как я набрал sudo mc, и у меня попросили ввести пароль, я ввел пароль root.

sudo-команда запрашивает пароль не root, а текущего wheel-пользователя.

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #5 : 19.11.2021 13:13:38 »
У меня ясно написано, что первый раз я ввел пароль root, второй раз я ввел пароль текущего пользователя.
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #6 : 19.11.2021 13:18:36 »
У меня ясно написано, что первый раз я ввел пароль root, второй раз я ввел пароль текущего пользователя.

:-) пофигу.
Там ясно написано:
[sudo] password for admin:
admin is not in the sudoers file.  This incident will be reported.

/etc/sudoers не настроен.

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #7 : 19.11.2021 13:19:37 »
sudo-команда запрашивает пароль не root, а текущего wheel-пользователя.
А с какого бодуна? В openSUSE в этом случае запрашивается именно пароль root. Запрашивать пароль текущего пользователя - это очень большой маразм!
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Арбичев

  • Завсегдатай
  • *
  • Сообщений: 502
    • Email
Re: sudo и Athlon XP Barton
« Ответ #8 : 19.11.2021 13:22:32 »
У меня ясно написано, что первый раз я ввел пароль root, второй раз я ввел пароль текущего пользователя.

:-) пофигу.
Там ясно написано:
[sudo] password for admin:
admin is not in the sudoers file.  This incident will be reported.

/etc/sudoers не настроен.
Почему при инсталляции системы созданный рядовой пользователь не помещается автоматически в sudoers? Это же и есть маразм.
Lenovo Z 50-70 openSUSE Tumbleewed

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #9 : 19.11.2021 13:45:55 »
У меня ясно написано, что первый раз я ввел пароль root, второй раз я ввел пароль текущего пользователя.

:-) пофигу.
Там ясно написано:
[sudo] password for admin:
admin is not in the sudoers file.  This incident will be reported.

/etc/sudoers не настроен.
Почему при инсталляции системы созданный рядовой пользователь не помещается автоматически в sudoers?

Чтобы любой дебил у которого есть хотя бы одна извилина, мог получить неограниченный контроль над системой?

Это же и есть маразм.

Держать дефолтом настроенный sudo (всё для всех на любом хосте), это и есть маразм.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #10 : 19.11.2021 14:09:43 »
Почему при инсталляции системы созданный рядовой пользователь не помещается автоматически в sudoers?

Чтобы любой дебил у которого есть хотя бы одна извилина, мог получить неограниченный контроль над системой?

Засада sudo кроется здесь:
- timesyamp 5 и 15 минут в альтах и убунту соответственно.
- на первой sudo-команде запрашивается пароль текущего wheel.
- на следующей sudo-команде которая вводится в пределах не превышающих timestamp, пароль wheel не запрашивается.
- если после первой sudo-команды, в пределах не превышающих timestamp кто-то получит доступ к консоли, в отсутствии владельца, то по команде `sudo -i` он беспарольно получит окружение root и полный контроль над системой.

Держать это умолчанием сразу после инсталляции, это превратить систему в Титаник.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #11 : 19.11.2021 14:34:21 »
Здесь
https://forum.altlinux.org/index.php?topic=34393.msg250715#msg250715

в первом коде снизу, приведён конфиг, в котором используется частный случай принудительной установки timestamp в ноль. При которой на каждой sudo-команде, пароль будет запрашиваться всегда и без исключений. Предотвращая беспарольный `sudo -i`. Потому шо предоставлять малейшую возможность беспарольного `sudo -i`, - безумно плохая идея.
« Последнее редактирование: 19.11.2021 14:51:07 от Speccyfighter »

Оффлайн Aleksey Shimanov

  • Давно тут
  • **
  • Сообщений: 62
    • Email
Re: sudo и Athlon XP Barton
« Ответ #12 : 19.11.2021 15:10:03 »
Отлично! Именно этого я и добивался. Дело в том, что у меня sudo mc не работает. Сначала просто копипаста, а в приложении скриншот.
Странно это...
Для эксперемента создал тестового пользователя и назначил ему права:
# useradd usrtest
# passwd usrtest
passwd: updating all authentication tokens for user usrtest.

You can now choose the new password or passphrase.

A valid password should be a mix of upper and lower case letters,
digits, and other characters.  You can use a password
that consists of 8 characters from at least 3 of these 4 classes, or

a password containing 7 characters from all the classes.
An upper case letter that begins the password and a
digit that ends it do not count towards the number of character
classes used.

A passphrase should be of at least 3 words, 11 to 40 characters
long, and contain enough different characters.

Alternatively, if no one else can see your terminal now, you can
pick this as your password: "Bounce2until9Heap".

Enter new password:
Re-type new password:
passwd: all authentication tokens updated successfully.

# usermod -a -G remote,tsusers usrtest
# usermod -a -G localadmins usrtest

Потом зашел под ним:

login as: usrtest
usrtest password:

$ sudo mc

Мы полагаем, что ваш системный администратор изложил вам основы
безопасности. Как правило, всё сводится к трём следующим правилам:

    №1) Уважайте частную жизнь других.
    №2) Думайте, прежде что-то вводить.
    №3) С большой властью приходит большая ответственность.

[sudo] password for usrtest: [b][i]/// Здесь вводил пароль root'a[/i][/b]
Попробуйте ещё раз.
[sudo] password for usrtest: [b][i]/// Здесь вводил пароль от usrtest[/i][/b]

!!! mc стартовал !!!

Может Ваш admin не совсем админ?  :-P

Вот группы для моего тестового пользователя:
# groups
root bin daemon sys adm disk wheel proc

В моей не богатой практике я с таким не сталкивался, чтобы судо не работало.
Кстати судо не работает только на mc или на всех остальных командах тоже?

P.S. Speccyfighter Вы куда-то в дебри полезли... Насколько я понял Арбичев хочет понять это ошибка или что-то другое.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 10 259
Re: sudo и Athlon XP Barton
« Ответ #13 : 19.11.2021 15:29:36 »
sudo-команда запрашивает пароль не root, а текущего wheel-пользователя.
А с какого бодуна? В openSUSE в этом случае запрашивается именно пароль root. Запрашивать пароль текущего пользователя - это очень большой маразм!

Потому что
# control | grep 'sudo '
sudo            wheelonly       (public wheelonly restricted)

в документации про это написано
$ man sudoers | grep rootpw -A3
       "rootpw"
              Если   этот  флаг  установлен,  sudo  будет  запрашивать  пароль
              супер-пользователя   (root),    вместо    пароля    пользователя
              инициировавшего вызов команды. По умолчанию этот флаг выключен.

Оффлайн Александр Ерещенко

  • Завсегдатай
  • *
  • Сообщений: 1 153
Re: sudo и Athlon XP Barton
« Ответ #14 : 19.11.2021 15:31:18 »
sudo придуман, чтобы один пользователь мог выполнить какую-либо команду от имени другого пользователя, не зная его пароля. Поэтому логично, что sudo запрашивает пароль пользователя, который sudo запускает.

Все разрешения, кому, что и как можно запускать через sudo, описаны в конфиге sudo - /etc/sudoers (/etc/sudoers.d/*)

По умолчанию в дистрибутивах Alt в целях безопасности sudo не настроен. Только в Simply специально "по просьбам трудящихся" и учитывая "домашность" дистрибутива было сделано послабление и в конфигах sudo прописано %wheel ALL = ALL , т.е. пользователи из группы wheel могут запускать через sudo любые команды.