sudo или не sudo
Модератор: Модераторы разделов
sudo или не sudo
Последний раз редактировалось Tema 13.05.2021 15:12, всего редактировалось 1 раз.
Re: Kali Linux Отказано в доступе
Хорошо, удалил.Bizdelnick писал: ↑12.05.2021 23:16Это не инструкция, а сборник советов от бестолковых до вредных. Причём вредных больше.
Что предлагаете? Только su пользоваться? Или doas?
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Re: Kali Linux Отказано в доступе
я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
я не говорю, что так - лучше всего, но для себя я пока на этом остановился.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
я не говорю, что так - лучше всего, но для себя я пока на этом остановился.
Re: Kali Linux Отказано в доступе
А, ну вы наверное больше о корпоративных задачах, а не пользователя.
Я просто уже не первый раз вижу о том, что sudo плохо, но у неё же еще логирование действий есть, в отличии от su. Ну и можно задавать конкретный доступ для каких-то операций и т.д, а не на всё.
Встречаю временами что для редактирования файлов рекомендуют sudoedit использовать, а не sudo vim.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Kali Linux Отказано в доступе
Не припоминаю мейнстримного дистрибутива, который позволял бы задать пароль из пары цифр.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Kali Linux Отказано в доступе
Недавно ставил ребёнку на ноут федору 34, пароль - 4 цифры как пин на вин10. Федора достаточно мейнстримна?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Kali Linux Отказано в доступе
Не ждал от неё такого. Но полагаю всё же, что это проблема только инсталлятора.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Kali Linux Отказано в доступе
Я за последние пару месяцев много разных дистрибутивов переставил, но только 1 не дал создать юзера с паролем в 6 цифр, жаль не помню какой
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Kali Linux Отказано в доступе
Интересно. Кто-то где-то может задать юзеру пароль в пару цифр, поэтому я здесь у себя не буду использовать sudo.Tema писал: ↑12.05.2021 23:31я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
Ну, в этой логике, кто-то где-то может для рута задать пароль в пару цифр и поэтому Вам не стоит использовать su. Как-то так.
Re: Kali Linux Отказано в доступе
не знаю о такой проблеме, у меня прописано
Код: Выделить всё
/bin/mount
и я могу маунтить как юсб стики так и nfs шару.
так же прописано
Код: Выделить всё
/usr/bin/eix*
Re: Kali Linux Отказано в доступе
во-первых, я не говорил, что не буду использовать судо, более того я написал, что я его используюHephaestus писал: ↑13.05.2021 07:06Интересно. Кто-то где-то может задать юзеру пароль в пару цифр, поэтому я здесь у себя не буду использовать sudo.Tema писал: ↑12.05.2021 23:31я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
Ну, в этой логике, кто-то где-то может для рута задать пароль в пару цифр и поэтому Вам не стоит использовать su. Как-то так.
во-вторых, выводить из игры рута, оставляя все административные права на обычного юзeра через судо аля
Код: Выделить всё
ALL=(ALL) ALL
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Kali Linux Отказано в доступе
Отлично. Ибо безопасность начинается именно в голове.
Отсюда два вопроса:
1. Кто и где говорил, что надо все права делегировать юзеру со слабым паролем? Сложность пароля -- это проблема исключительно хозяина машины и больше ничья. Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит. Ибо хозяин может всё.
Даже если система не предупреждает о слабом пароле, это мало что значит, поскольку всё равно последнее слово за пользователем. И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.
2. Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
Система может пропустить, да. И кто-то где-то поставит слабый пароль. Что мешает Вам установить сильный пароль?
Последний раз редактировалось Hephaestus 13.05.2021 17:22, всего редактировалось 1 раз.
Спасибо сказали:
Re: sudo или не sudo
у меня сложилось впечатление, что вы почерпнули гораздо больше информации между строк нежели в самих строках моего меседжа.
ну штош, давайте тезисно.
>Кто и где говорил, что надо все права делегировать юзеру со слабым паролем?
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.
>Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит.
важны установки по умолчанию. если ситема позволяет создавать юзеров со слабым паролем, которые по завершению установки станут обладать всеми привелегиями рута - и это все происходит по умолчанию - то это проблема, с моей точки зрения. словосочетание "по умолчанию" очень много значит.
>Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
то как работает установщик федоры никак не влияет на безопасность моей машины, т.к. у меня не стоит федора, на МОЕЙ машине.
То, о чем мы тут разговариваем - это поведение установщиков популярных дистрибутивов, помоему это начала убунту когда-то давно.
>И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.
я так полагаю, что мы не будем спорить, что популярные дистрибутивы аля федора, убунту, минт и другие позиционируются как, в том числе, десктопные. и не надо быть особо умным не дебилом и вообще администратором, чтобы произвести установку любого из перечисленных дистрибутивов к себе на компьютер. И для людей, которые не сильно разбираются в том как устроен линукс, и что есть что в полной мере - ориентиром являются настройки по умолчанию. Очевидно, что администратор не-дебил сможет настроить допустимую сложность пароля и права раздаваемые судо и все что угодно.
ну штош, давайте тезисно.
>Кто и где говорил, что надо все права делегировать юзеру со слабым паролем?
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.
>Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит.
важны установки по умолчанию. если ситема позволяет создавать юзеров со слабым паролем, которые по завершению установки станут обладать всеми привелегиями рута - и это все происходит по умолчанию - то это проблема, с моей точки зрения. словосочетание "по умолчанию" очень много значит.
>Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
то как работает установщик федоры никак не влияет на безопасность моей машины, т.к. у меня не стоит федора, на МОЕЙ машине.
То, о чем мы тут разговариваем - это поведение установщиков популярных дистрибутивов, помоему это начала убунту когда-то давно.
>И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.
я так полагаю, что мы не будем спорить, что популярные дистрибутивы аля федора, убунту, минт и другие позиционируются как, в том числе, десктопные. и не надо быть особо умным не дебилом и вообще администратором, чтобы произвести установку любого из перечисленных дистрибутивов к себе на компьютер. И для людей, которые не сильно разбираются в том как устроен линукс, и что есть что в полной мере - ориентиром являются настройки по умолчанию. Очевидно, что администратор не-дебил сможет настроить допустимую сложность пароля и права раздаваемые судо и все что угодно.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: sudo или не sudo
А что, там есть пароль по умолчанию?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: sudo или не sudo
филиал камедиклаба открыли на форуме?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: sudo или не sudo
Tema, ну объясните, почему, по Вашему разумению, сферический хомячок в вакууме обязательно задаст для юзера пароль из пары цифр, но для рута — надёжный.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: sudo или не sudo
потому, что для юзера можно расслабить требования к паролю. если пользователь хочет иметь простой пароль, хоть в 4 цифры - это его право, ведь ему вводить его каждый раз при вызове судоBizdelnick писал: ↑13.05.2021 16:31Tema, ну объясните, почему, по Вашему разумению, сферический хомячок в вакууме обязательно задаст для юзера пароль из пары цифр, но для рута — надёжный.
для рута можно и необходимо сделать более строгие требования к паролю. если судо настроить на опеределенный список допустимых програм, а не на все сразу, то это выглядит более подходящим решением, с моей точки зрения для установок по умолчанию в широко распространенных дистрибутивах, которые нацелены, в том числе, на аудиторию не-админов.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: sudo или не sudo
Нельзя. Если Вы так делаете, проблема в Вас, а не в sudo.
На персональной машине нет ничего ценнее пользовательских данных.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: sudo или не sudo
Федору ни разу не ставил, не знаю. Но вообще-то никаких умолчаний такого рода нет.
Да, это проблема. Проблема пользователя. Если бы установщик генерировал слабый пароль, это была бы проблема установщика. А пока пароль вбивает пользователь -- это проблема пользователя.
Я недавно разворачивал Ubuntu-20.04 на VBox. И сейчас не поленился и проверил ещё раз.
На этапе создания пользователя в зависимости от сложности пароля появляются пометки "short passoword", "fair passoword", "strong password" -- достаточно яркие, разных цветов.
Так что не надо наговаривать на дистры, что нет "валидации". Есть. Скажете, недостаточно? А что ещё нужно? Не пропускать совсем? Наверное, можно. Но система не считает себя умнее человека.
Поэтому, да, пропустит любой пароль, даже двухсимвольный. Да, этот пользователь будет в группе sudo, то есть будет админом. Но простите, на этапе установки кто на клавиши нажимал? Этот же самый админ и нажимал. Следовательно, знает, что делает.
Нет. Не так. Я уже много раз говорил и повторю ещё раз: есть четкая граница между админ/не админ -- это ввод пароля рута (ну или вызов sudo). Пересекая эту границу, пользователь попадает в зону повышенной отвественности.
У меня лично приглашение пользователя оформлено зеленым цветом, а приглашение рута -- красным. Чтобы сразу было ясно, кто где. Так вот, в зоне повышенной отвественности разрешено всё, в том числе и "выстрел себе в ногу" (или в голову). И система никак этому не препятствует. Поэтому аргумент "не надо быть администратором" не прокатывает. Профессиональным админом можно и не быть, но надо, как минимум, понимать, что ты делаешь. Зона повышенной отвественности, одним словом. Забывать об этом нельзя.
Если же речь идет о пользователе-домохозяйке, которая действительно может "выстрелить себе в ногу", то её не спасти никакими супердлинными паролями. Она просто не должна выполнять административные задачи (она, скорее всего, и не будет). И систему она ставить сама себе тоже не будет. Это будет делать кто-то другой. Как следствие, её основная учетка не будет входить в группу sudo. И дело тут совсем не в "валидации" пароля на этапе установки.