su vs. sudo (Отрезано от http://unixforum.org/index.php?showtopic=127277)

Сообщение **sash-kan** » 24.08.2011 02:22

eddy писал(а): ↑
23.08.2011 22:57
shau-kote писал(а): ↑
23.08.2011 22:54
Есть же sudo

Неудобная штука, хотя, конечно, на монтирование можно настроить с NOPASSWD.
Ну, а sudo с TARGETPW от su -c отличается лишь логгированием (которое мне все равно не нужно) и отсутствием необходимости писать кавычки вокруг команды с параметрами.

неудобная штука этот ваш микроскоп, хоть и смотрится прикольно·
ну а если им гвозди забивать, то от молотка отличается лишь наличием предметного стёклышка (которое мне всё равно не нужно)…

p.s. не знаю, для чего разработчики sudo добавили этот targetpw· это же диаметрально противоречит самой идее sudo· возможно, лишь для того, чтобы продемонстрировать: да, микроскопом можно и гвоздь забить, если очень хочется·

eddy · Сообщение **eddy** » 24.08.2011 08:54

sash-kan писал(а): ↑
24.08.2011 02:22
p.s. не знаю, для чего разработчики sudo добавили этот targetpw· это же диаметрально противоречит самой идее sudo· возможно, лишь для того, чтобы продемонстрировать: да, микроскопом можно и гвоздь забить, если очень хочется·

Для безопасности. Какой смысл команде sudo давать пароль пользователя, а не рута? Тогда уж проще сразу NOPASSWD писать...

Сообщение **sash-kan** » 24.08.2011 11:27

eddy писал(а): ↑
24.08.2011 08:54
sash-kan писал(а): ↑
24.08.2011 02:22
p.s. не знаю, для чего разработчики sudo добавили этот targetpw· это же диаметрально противоречит самой идее sudo· возможно, лишь для того, чтобы продемонстрировать: да, микроскопом можно и гвоздь забить, если очень хочется·

Для безопасности. Какой смысл команде sudo давать пароль пользователя, а не рута?

для безопасности·
root, кстати, — это частность·
укажите, какие программы конкретный пользователь имеет право выполнять от имени другого конкретного пользователя· и не просто «программы», а вплоть до разрешённого списка аргументов·
ну и, как приятное дополнение, укажите и конкретные машины, на которых это можно делать· т.е., sudo отлично интегрируется в построенную для сети систему единой аутентификации/авторизации/конфигурации·

QUOTE писал(а):Тогда уж проще сразу NOPASSWD писать...

для конкретных команд (или специальных случаев типа тестовых машин) — почему нет?

доп. чтение: man sudo, man visudo, man sudoedit, man sudoers

eddy · Сообщение **eddy** » 24.08.2011 11:42

sash-kan, знаю я, чем sudo от su отличается.
Просто я не работаю на машинах, которыми пользуется 100500 человек. И уж тем более не являюсь админом таких машин.
А для своих машинок sudo не нужен. Это только лишняя дыра в безопасности.

Сообщение **sash-kan** » 24.08.2011 20:59

eddy писал(а): ↑
24.08.2011 11:42
Это только лишняя дыра в безопасности.

вы второй раз подряд повторили эту фразу· первое употребление, пожалуй, можно было принять за завуалированную шутку·
раз вы повторили фразу, шуткой она уже не воспринимается·
т.е., получается, вы всерьёз несёте чушь·
которая несведущими может быть принята за адекватную точку зрения, за _совет_, как следует поступать·

это, конечно, ваше личное дело, что именно нести и где·
но пункт 3,3 правил этого форума в том числе упоминает как неразрешённое участнику действие: создавать «сообщения, призванные намеренно ввести пользователей в заблуждение или нанести им ущерб»·

прошу вас, перестаньте нести вредную чушь про якобы «дыру в безопасности в виде sudo»·

eddy · Сообщение **eddy** » 25.08.2011 00:41

sash-kan писал(а): ↑
24.08.2011 20:59
прошу вас, перестаньте нести вредную чушь про якобы «дыру в безопасности в виде sudo»

Если /etc/sudoers неправильно настроен, то это - дыра. Если настроен грамотно - удобный сервис.
Вредной чуши я не несу. Говорю только отсебятину. Лично мне больше su нравится.

SinClaus · Сообщение **SinClaus** » 25.08.2011 10:59

Если Линукс (и рутеры через которые он подключен к сети) неправильно настроены, это сплошная дыра безопасности. Все остальные ОС - аналогично. Только счёты не подвержены вирусно-хакерским атакам. Да, ещё железный феликс.

drBatty · Сообщение **drBatty** » 25.08.2011 15:30

sash-kan писал(а): ↑
24.08.2011 20:59
вы второй раз подряд повторили эту фразу· первое употребление, пожалуй, можно было принять за завуалированную шутку·
раз вы повторили фразу, шуткой она уже не воспринимается·
т.е., получается, вы всерьёз несёте чушь·

+1.

ИМХО, для достижения безопасности, следует разнести все потенциально опасные сервисы (клиентские, как то браузеры, и т.п.) по различным аккаунтам. Тогда в случае взлома одного из сервисов (например того-же браузера с уязвимым по определению флешем) будет атакован только этот браузер, и общедоступные данные, если они есть (закаченные браузером картинки и прочее). Т.е. ущерб будет минимальным. Другие аккаунты можно вообще отрезать от Сети, тогда они не только не смогут быть взломанными удалённо, но и не смогут нанести вред сливая важную инфу наружу. Т.к. Сети у них нет.

С другой стороны, каким-же образом пользователю запускать различные приложения? ИМХО самый удобный способ - через sudo.

eddy писал(а): ↑
24.08.2011 08:54
Какой смысл команде sudo давать пароль пользователя, а не рута?

что-бы пользователь, которому например по работе требуется доступ скажем к HDD (прямой), доказывал, что он, это действительно он. А вдруг он на пять минут отошёл, и его компьютером воспользовался злоумышленник? Ведь злоумышленник сможет использовать прямой доступ к диску, и тем полностью изничтожить всякую "безопасность".

25.08.2011 15:45

SinClaus писал(а): ↑
25.08.2011 10:59
Только счёты не подвержены вирусно-хакерским атакам.

Вирусным атакам подвержены. Руки желательно мыть :)

drBatty · Сообщение **drBatty** » 25.08.2011 15:48

SinClaus писал(а): ↑
25.08.2011 10:59
Если Линукс (и рутеры через которые он подключен к сети) неправильно настроены, это сплошная дыра безопасности.

мы кагбэ и обсуждаем правильные способы настройки линуксов. Не?

SinClaus · Сообщение **SinClaus** » 25.08.2011 18:22

drBatty писал(а): ↑
25.08.2011 15:48
SinClaus писал(а): ↑
25.08.2011 10:59
Если Линукс (и рутеры через которые он подключен к сети) неправильно настроены, это сплошная дыра безопасности.

мы кагбэ и обсуждаем правильные способы настройки линуксов. Не?

Не, мы обсуждаем высказывание "Если /etc/sudoers неправильно настроен, то это - дыра." В данном конкретном случае.

drBatty · Сообщение **drBatty** » 25.08.2011 18:26

SinClaus писал(а): ↑
25.08.2011 18:22
Не, мы обсуждаем высказывание "Если /etc/sudoers неправильно настроен, то это - дыра." В данном конкретном случае.

зачем обсуждать очевидное?

Сообщение **sash-kan** » 25.08.2011 22:21

SinClaus
начиналось всё с «sudo — дыра в безопасности»·

SinClaus · Сообщение **SinClaus** » 26.08.2011 06:01

Ну я и ответил в меру своего понимания вопроса.

taaroa · Сообщение **taaroa** » 26.08.2011 07:43

sash-kan писал(а): ↑
25.08.2011 22:21
начиналось всё с «sudo — дыра в безопасности»·

…ага, а наличие suid-программ — нет. да, переход на capabilities, но остаётся suid на passwd… нет в жизни счастья, рождаясь — рискуем умереть.
полагаю, что eddy уже перешёл на tcb[1] и заполировал свой десктоп selinux-ом, и, на всякий случай, отключил его от сети.

[1] http://www.opennet.ru/man.shtml?topic=tcb&...5&russian=0

27.08.2011 15:44

sash-kan писал(а): ↑
24.08.2011 02:22
p.s. не знаю, для чего разработчики sudo добавили этот targetpw· это же диаметрально противоречит самой идее sudo· возможно, лишь для того, чтобы продемонстрировать: да, микроскопом можно и гвоздь забить, если очень хочется·

меня больше убивает, зачем это в SLES по дефолту стоит.
мы с коллегой чуть рассудка не лишились, пытаясь понять, почему судо пароль "не принимает".

NickLion · Сообщение **NickLion** » 27.08.2011 17:03

Ленивая Бестолочь писал(а): ↑
27.08.2011 15:44
меня больше убивает, зачем это в SLES по дефолту стоит.
мы с коллегой чуть рассудка не лишились, пытаясь понять, почему судо пароль "не принимает".

Та же фигня и в openSuSE. Я из-за этого как-то и не привык пользоваться sudo. Хотя вообще-то sudo честно предупреждает, что надо ввести пароль рута.

allez · Сообщение **allez** » 28.08.2011 10:17

SinClaus писал(а): ↑
25.08.2011 10:59
Только счёты не подвержены вирусно-хакерским атакам. Да, ещё железный феликс.

Про вирусные атаки на счеты уже было сказано выше. Еще навскидку на ум приходят два типа DoS-атак: атака вида "опустошение", когда со спиц снимаются все костяшки, а также атака вида "переполнение", основанная на обратном принципе - заполнении спиц костяшками до исчерпания на них свободного места. :)

Что же до арифмометров, то тут у хакера с отверткой, пассатижами и молотком возможностей будет, пожалуй, побольше и кроме проведения DoS-атак он сможет влиять на точность вычислений. Ну и вирусы тоже никуда не деваются. :)

drBatty · Сообщение **drBatty** » 28.08.2011 11:38

sash-kan писал(а): ↑
25.08.2011 22:21
начиналось всё с «sudo — дыра в безопасности»·

sudo == забор.
а заборы бывают разные. В убунте sudo это тоже забор. Таким у нас в Питере ограничивают газоны. Его трёхлетний ребёнок перешагивает свободно. Конечно, ни о какой безопасности и речи тут быть не может. Но это вовсе не говорит о том, что _все_ заборы - такие.

allez писал(а): ↑
28.08.2011 10:17
"опустошение", когда со спиц снимаются все костяшки, а также атака вида "переполнение", основанная на обратном принципе - заполнении спиц костяшками до исчерпания на них свободного места. :)

что с вами сделает хозяин счёт за порчу казённого имущества? ;)

eddy · Сообщение **eddy** » 28.08.2011 12:48

taaroa писал(а): ↑
26.08.2011 07:43
полагаю, что eddy уже перешёл на tcb[1] и заполировал свой десктоп selinux-ом, и, на всякий случай, отключил его от сети.

Просто лично мне sudo не нужен. Кому нужен - те его и используют. Вот и все.

Ленивая Бестолоч... писал(а): ↑
27.08.2011 15:44
меня больше убивает, зачем это в SLES по дефолту стоит.
мы с коллегой чуть рассудка не лишились, пытаясь понять, почему судо пароль "не принимает".

По умолчанию так и должно быть. А вот когда вы настраиваете пользователю sudo, скажем, на ntfs-3g, тогда можно и NOPASSWD написать. Ну, по крайней мере пароль рута для такой мелочи использовать не нужно.

28.08.2011 13:34

eddy писал(а): ↑
28.08.2011 12:48
По умолчанию так и должно быть. А вот когда вы настраиваете пользователю sudo, скажем, на ntfs-3g, тогда можно и NOPASSWD написать. Ну, по крайней мере пароль рута для такой мелочи использовать не нужно.

я не о том, спрашивает или не спрашивает судо пароль.
я о том, что сусе по дефолту судо спрашивает пароль конечного пользователя.
т.е. команда
sudo mount ......
спросит пароль _рута_.
не понимаю в таком случае смысла в судо вообще. в моих представлениях судо должна спрашивать пароль того, кто её запустил.

Сообщение **alv** » 28.08.2011 13:56

SinClaus писал(а): ↑
25.08.2011 10:59
Да, ещё железный феликс.

Если железного феликса уронить на ногу - будет больно.
И это тоже дыра в безопасности собственной ноги

BURF · Сообщение **BURF** » 28.08.2011 14:07

Ленивая Бестолочь писал(а): ↑
28.08.2011 13:34
я о том, что сусе по дефолту судо спрашивает пароль конечного пользователя.
т.е. команда
sudo mount ......
спросит пароль _рута_.
не понимаю в таком случае смысла в судо вообще. в моих представлениях судо должна спрашивать пароль того, кто её запустил.

а если они совпадают? в том же сусе так ненавязчиво предлагают использовать один пароль на все

drBatty · Сообщение **drBatty** » 28.08.2011 14:20

BURF писал(а): ↑
28.08.2011 14:07
а если они совпадают?

ССЗБ

BURF писал(а): ↑
28.08.2011 14:07
в том же сусе

а вот в Windows ZVERCD Warezz Edition ваще без пароля (:

Сообщение **alv** » 28.08.2011 14:21

BURF писал(а): ↑
28.08.2011 14:07
а если они совпадают?

Этого не может быть, потому что этого не может быть никогда

Фантом · Сообщение **Фантом** » 28.08.2011 14:21

Ленивая Бестолочь писал(а): ↑
28.08.2011 13:34
я не о том, спрашивает или не спрашивает судо пароль.
я о том, что сусе по дефолту судо спрашивает пароль конечного пользователя.

Так а в чем проблема? Это же переделывается за две секунды правкой sudoers.

drBatty · Сообщение **drBatty** » 28.08.2011 14:27

Ленивая Бестолоч... писал(а): ↑
28.08.2011 13:34
не понимаю в таком случае смысла в судо вообще.

этот вопрос к разработчикам. Или к их драгдиллеру (:

Да, в слаке вообще пусто в sudores. Одни комменты. Ну и

Код: Выделить всё

root ALL=(ALL) ALL

(очень удобно например запускать демоны юзерспейса из например rc.local)

taaroa · Сообщение **taaroa** » 28.08.2011 14:34

Фантом писал(а): ↑
28.08.2011 14:21
Ленивая Бестолочь писал(а): ↑
28.08.2011 13:34
я не о том, спрашивает или не спрашивает судо пароль.
я о том, что сусе по дефолту судо спрашивает пароль конечного пользователя.

Так а в чем проблема? Это же переделывается за две секунды правкой sudoers.

…и это решение неправильное. это «переделывается» только открытием бага в багзилле дистрибутива.

BURF · Сообщение **BURF** » 28.08.2011 15:53

drBatty писал(а): ↑
28.08.2011 14:20
BURF писал(а): ↑
28.08.2011 14:07
а если они совпадают?

ССЗБ

В чем беда?

drBatty · Сообщение **drBatty** » 28.08.2011 16:03

taaroa писал(а): ↑
28.08.2011 14:34
…и это решение неправильное. это «переделывается» только открытием бага в багзилле дистрибутива.

дык это не баг, а фича. Только какая-то странная...

BURF писал(а): ↑
28.08.2011 15:53
В чем беда?

глупо ставить один и тот-же пароль. ИМХО.

unixforum.org

su vs. sudo (Отрезано от http://unixforum.org/index.php?showtopic=127277)

su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo

Re: su vs. sudo