su vs. sudo (Отрезано от http://unixforum.org/index.php?showtopic=127277)

[allez]

что с вами сделает хозяин счёт за порчу казённого имущества? ;)

Во-первых, почему со мной? У меня никаких ушкуйных намерений не было. :)
Во-вторых, почему сделает? Чтобы сделать что-то с кем-то, нужно как минимум определиться с кем именно, а ведь не факт, что хозяин счетов сможет установить личность злоумышленника.
Ну, а в-третьих, почему казенного? Счеты и раньше могли, и сейчас могут быть вполне себе личным имуществом. Но это уже чистой воды буквоедская вредность и вредное буквоедство с моей стороны. :)

[SinClaus]

Да, ещё железный феликс.

Если железного феликса уронить на ногу - будет больно.
И это тоже дыра в безопасности собственной ноги

Да, конечно. К железному феликсу можно безопасно подходить только в кирзовых сапогах с портянкой на крайний случай в берцах .

Или как говорят моряки "КомпАсу без опаски можно подойти только обладая медным лбом"

[Ленивая Бестолочь]

Так а в чем проблема? Это же переделывается за две секунды правкой sudoers.

да нет проблемы, переделаем. просто мне не ясна логина мейнтейнеров SLES. а в таких ситуациях я привык думать, что в первую очередь я дурак, а во вторую уже мейнтейнеры. а тут как-то ну не выходит у меня понять, зачем это сделано. и так и так крутил - нипанятна.

[eddy]

да нет проблемы, переделаем. просто мне не ясна логина мейнтейнеров SLES. а в таких ситуациях я привык думать, что в первую очередь я дурак, а во вторую уже мейнтейнеры. а тут как-то ну не выходит у меня понять, зачем это сделано. и так и так крутил - нипанятна.

Все правильно сделали. Просто в других дистрибутивах по умолчанию sudo работает только для рута. А здесь решили - пусть уж для всех работает, но точно так же, как su. Вполне разумно с точки зрения безопасности.

[sash-kan]

Так а в чем проблема? Это же переделывается за две секунды правкой sudoers.

да нет проблемы, переделаем. просто мне не ясна логина мейнтейнеров SLES. а в таких ситуациях я привык думать, что в первую очередь я дурак, а во вторую уже мейнтейнеры. а тут как-то ну не выходит у меня понять, зачем это сделано. и так и так крутил - нипанятна.

мэйнтэйнеры — обыкновенные люди из плоти и крови·
среди них тоже можно встретить альтернативно одарённых·
хотя бы в таком узкоспецифическом вопросе, как что такое sudo и для чего он нужен·

вот уважаемый eddy, например, их логику прекрасно понял…

[drBatty]

Просто в других дистрибутивах по умолчанию sudo работает только для рута.

основное правило безопасности: запрещено всё, что не разрешено явно. По умолчанию - всё. Ну а root и так всё может.

А здесь решили - пусть уж для всех работает, но точно так же, как su. Вполне разумно с точки зрения безопасности.

зачем нужно второе su?

[taaroa]

Вполне разумно с точки зрения безопасности.

…уменьшать поверхность атаки и её возможные векторы. а дублирования смысл — это есть тайна за семью печатями. особенно в том, что касается суицидальных программ.

[eddy]

зачем нужно второе su?

Откуда же я знаю? Может, чтобы лог велся? Это уж у разработчиков спрашивайте, зачем они в "умолчальных" настройках так сделали.

[kholeg]

По умолчанию так и должно быть. А вот когда вы настраиваете пользователю sudo, скажем, на ntfs-3g, тогда можно и NOPASSWD написать. Ну, по крайней мере пароль рута для такой мелочи использовать не нужно.

я не о том, спрашивает или не спрашивает судо пароль.
я о том, что сусе по дефолту судо спрашивает пароль конечного пользователя.
т.е. команда
sudo mount ......
спросит пароль _рута_.
не понимаю в таком случае смысла в судо вообще. в моих представлениях судо должна спрашивать пароль того, кто её запустил.

При установке Сусе пароль рута, по умолчанию, не задается - и при вызве sudo запрашивается пароль пользователя. Если пароль рута задать при установке Сусе или позже по sudo passwd root - то запрашивается только рутовский пароль. (Или я не понял суть поста?)

[drBatty]

При установке Сусе пароль рута, по умолчанию, не задается - и при вызве sudo запрашивается пароль пользователя. Если пароль рута задать при установке Сусе или позже по sudo passwd root - то запрашивается только рутовский пароль.

уж не знаю как в suse, но вообще само по себе sudo запрашивает пароль именно юзера который запустил sudo, а вовсе не того, от имени кого происходит выполнение (часто root'а, но не всегда).

[MrClon]

уж не знаю как в suse, но вообще само по себе sudo запрашивает пароль именно юзера который запустил sudo, а вовсе не того, от имени кого происходит выполнение (часто root'а, но не всегда).

По умолчанию да, но это настраивается. Обсуждали выше

[Bizdelnick]

При установке Сусе пароль рута, по умолчанию, не задается

Он по умолчанию задаётся таким же, как у первого пользователя.

[drBatty]

По умолчанию да, но это настраивается. Обсуждали выше

я читал. Моё мнение: должна-же быть в каждом дистре своя кривизна? Иначе кроме Slackware ничего и не останется ;)
Вот это - одна из баго-фичь SuSe. А то скучно...

При установке Сусе пароль рута, по умолчанию, не задается

Он по умолчанию задаётся таким же, как у первого пользователя.

а это - вторая баго-фича SuSe ;)

[SLEDopit]

Просто удивительно, что никто так до сих пор не вспомнил про sudo -i vs sudo su - (:

[NickLion]

При установке Сусе пароль рута, по умолчанию, не задается

Он по умолчанию задаётся таким же, как у первого пользователя.

Ради справедливости стоит упомянуть, что при инсталле достаточно снять галочку и ввести пароль рута отдельно, а не искать, где это делает уже после инсталляции.

[sash-kan]

Просто удивительно, что никто так до сих пор не вспомнил про sudo -i vs sudo su -

да как-то глупо обсуждать вопрос, какую из ног (правую или левую) лучше отстреливать…

[kholeg]

При установке Сусе пароль рута, по умолчанию, не задается

Он по умолчанию задаётся таким же, как у первого пользователя.

Нет! Попробуйте залогиниться рутом (если рутовый пароль не ставили) и ввести пароль пользователя - будет отлуп - я не специалист - может так должно быть, что разные пользователи при одинаковых паролях имеют различные хеши в /etc/shadow, но при дефолтной установке хеши пользователя и рута разные. Сменить пароль рута можно "легально" только по "sudo passwd root".

[SinClaus]

А по соображениям безопасности sudo должно быть запрещено всем кроме группы wheel и тех, кто записан в соответствующих правилах sudoers

[eddy]

А по соображениям безопасности sudo должно быть запрещено всем кроме группы wheel и тех, кто записан в соответствующих правилах sudoers

А еще, по-хорошему, в sudoers нельзя писать
user ALL = (ALL) ALL

И уж тем паче нельзя писать
ALL=(ALL) NOPASSWD: ALL

[drBatty]

может так должно быть, что разные пользователи при одинаковых паролях имеют различные хеши в /etc/shadow

дык соль-то разная...

А по соображениям безопасности sudo должно быть запрещено всем кроме группы wheel

а ещё желательно, что-бы такой группы не было (:

[drBatty]

А еще, по-хорошему, в sudoers нельзя писать

ИМХО там вообще ничего нельзя писать кроме
root ALL=(ALL) ALL
ну и каких-нибудь специальных правил типа
user1 host=(user2) command

[sash-kan]

ИМХО там вообще ничего нельзя писать кроме
root ALL=(ALL) ALL

в таком случае sudo в воображаемой вами системе вообще не нужен·

[shevan]

Господа, я так понимаю, если не будет пользователя в группе sudo,
то для удаленного администрирования придется разрешать вход root-а

Я кстати, настроил sudo на пароль root. Мне это кажется более безопасным.
Если взломают мой аккаунт, совершать админ действия еще не смогут.
а удаленный вход рута я по-любому заблокировал

[drBatty]

в таком случае sudo в воображаемой вами системе вообще не нужен·

эти системы вполне реальны, и sudo в них активно используется.

Господа, я так понимаю, если не будет пользователя в группе sudo,
то для удаленного администрирования придется разрешать вход root-а

нет.
входите как простой юзер (я вхожу без пароля, так проще. По ключу), а затем (если надо) su.

Я кстати, настроил sudo на пароль root. Мне это кажется более безопасным.

ну если su сломалось - то да.

Если взломают мой аккаунт, совершать админ действия еще не смогут.

да, но.
было-бы лучше, если-бы вы работали с такого аккаунта (особенно удалённо), с которого вообще невозможны административные действия через sudo. Ну возможно кроме некоторых...

а удаленный вход рута я по-любому заблокировал

а это правильно. Злоумышленник ведь знает ваш логин - только пароль остаётся подобрать. Если закрыть root'а, врагу нужно будет подобрать логин/пароль что значительно сложнее и в принципе не ляжет в ботнет.

[eddy]

в таком случае sudo в воображаемой вами системе вообще не нужен

Правильно, ведь su есть. (опять вернулись к началу )

Господа, я так понимаю, если не будет пользователя в группе sudo,
то для удаленного администрирования придется разрешать вход root-а

Неправильно понимаете. Вы про su забыли. У меня, например, ssh открыт только по ключам и только не-руту. Если нужны права рута - захожу и делаю su -l. Все.

было-бы лучше, если-бы вы работали с такого аккаунта (особенно удалённо), с которого вообще невозможны административные действия через sudo

Поддерживаю.

Злоумышленник ведь знает ваш логин - только пароль остаётся подобрать.

Можно пользователю с логином root дать ненулевой UID (или /sbin/nologin поставить). А для нулевого UID'а назначить пользователя с другим логином

[shevan]

Ага. Значит судо нужен для более тонкой настройки прав пользователей и выполняемых ими команд.

В принципе мне su - хватит за глаза.
//ушел ремувить судо

[drBatty]

Можно пользователю с логином root дать ненулевой UID. А для нулевого UID'а назначить пользователя с другим логином

а вот этого не надо!
рухнут те скрипты, которые проверяют привилегии по имени (root я или нет?). У вас таких нет? Уверенны?
можно ведь просто запретить логин root - например в том же sshd злоумышленник увидит "неправильный пароль", даже если пароль правильный. Зачем лишние грабли?

Ага. Значит судо нужен для более тонкой настройки прав пользователей и выполняемых ими команд.

да. sudo == забор с КПП. Причём вы задаёте:
1. кто может зайти
2. откуда можно
3. куда можно
4. что можно сделать
Можете конечно что-то не использовать, но это дыра.

И журнал конечно. И ещё стучит на мыло админу. (:

А su - просто дверь. Есть ключ(ака пароль) == заходи кто угодно, делай что угодно, системе плевать.

ушел ремувить судо

не надо.
просто закомментируйте все строки в sudores, кроме root ALL=(ALL) ALL

[watashiwa_daredeska]

sudo == забор с КПП. Причём вы задаёте:

закомментируйте все строки в sudores, кроме

Так «задаёте» или «закоментируйте»? ;)

[drBatty]

Так «задаёте» или «закоментируйте»? ;)

так если закоментировать, всё будет запрещено. потом надо задавать

Код: Выделить всё

кто_может откуда = (от_чьего_имени) что_делать

А если ставить ALL ALL=(ALL) ALL, то будет дыра.

[eddy]

А если ставить ALL ALL=(ALL) ALL, то будет дыра.

Можно написать

Код: Выделить всё

Defaults targetpw
ALL ALL=(ALL) ALL

Тогда получим безопасное поведение sudo.