sudo или не sudo

[Tema]

sudo - это уже в некотром смысле антипатерн

отрезано от Re: Kali Linux Отказано в доступе

[UnixNoob]

Это не инструкция, а сборник советов от бестолковых до вредных. Причём вредных больше.

Хорошо, удалил.

sudo - это уже в некотром смысле антипатерн

Что предлагаете? Только su пользоваться? Или doas?

[Tema]

я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
я не говорю, что так - лучше всего, но для себя я пока на этом остановился.

[UnixNoob]

я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.

А, ну вы наверное больше о корпоративных задачах, а не пользователя.
Я просто уже не первый раз вижу о том, что sudo плохо, но у неё же еще логирование действий есть, в отличии от su. Ну и можно задавать конкретный доступ для каких-то операций и т.д, а не на всё.
Встречаю временами что для редактирования файлов рекомендуют sudoedit использовать, а не sudo vim.

[Bizdelnick]

в мейнстрим дистрибутивах: для юзера с паролем в пару цифр

Не припоминаю мейнстримного дистрибутива, который позволял бы задать пароль из пары цифр.

[Tema]

Недавно ставил ребёнку на ноут федору 34, пароль - 4 цифры как пин на вин10. Федора достаточно мейнстримна?

[Bizdelnick]

Недавно ставил ребёнку на ноут федору 34, пароль - 4 цифры как пин на вин10. Федора достаточно мейнстримна?

Не ждал от неё такого. Но полагаю всё же, что это проблема только инсталлятора.

[Tema]

Я за последние пару месяцев много разных дистрибутивов переставил, но только 1 не дал создать юзера с паролем в 6 цифр, жаль не помню какой

[yoricI]

настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..)

Я тоже, но проблемы с изменяющимися параметрами. Например, надо отдельно прописывать mount /tra, mount /bla, mount * не проходит. Как решали такую проблему?

[Hephaestus]

я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.

Интересно. Кто-то где-то может задать юзеру пароль в пару цифр, поэтому я здесь у себя не буду использовать sudo.
Ну, в этой логике, кто-то где-то может для рута задать пароль в пару цифр и поэтому Вам не стоит использовать su. Как-то так.

[Tema]

настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..)

Я тоже, но проблемы с изменяющимися параметрами. Например, надо отдельно прописывать mount /tra, mount /bla, mount * не проходит. Как решали такую проблему?

не знаю о такой проблеме, у меня прописано

Код: Выделить всё

/bin/mount

и я могу маунтить как юсб стики так и nfs шару.
так же прописано

Код: Выделить всё

/usr/bin/eix*

и я могу запустить eix-sync, к примеру, через судо

[Tema]

я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.

Интересно. Кто-то где-то может задать юзеру пароль в пару цифр, поэтому я здесь у себя не буду использовать sudo.
Ну, в этой логике, кто-то где-то может для рута задать пароль в пару цифр и поэтому Вам не стоит использовать su. Как-то так.

во-первых, я не говорил, что не буду использовать судо, более того я написал, что я его использую
во-вторых, выводить из игры рута, оставляя все административные права на обычного юзeра через судо аля

Код: Выделить всё

ALL=(ALL) ALL

и при этом не валидируя пароль юзера(как я написал про федору 34 и 4ох циферный пароль) - это не вяжется в моей голове с безопасностью, о которой принято говорить при упоминаниях судо. я еще дывным-давно, может даже на этом форуме читал, что су - плохо, судо - безопасно. и я могу с этим согласиться, но только не в случае, описанном выше. бездумное гарантирование рутовских привелегий стандартному юзеру та еще и не валидируя пароль - это плохо, как я думаю. prove me wrong, как говорится

[Hephaestus]

это не вяжется в моей голове с безопасностью

Отлично. Ибо безопасность начинается именно в голове.
Отсюда два вопроса:
1. Кто и где говорил, что надо все права делегировать юзеру со слабым паролем? Сложность пароля -- это проблема исключительно хозяина машины и больше ничья. Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит. Ибо хозяин может всё.
Даже если система не предупреждает о слабом пароле, это мало что значит, поскольку всё равно последнее слово за пользователем. И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.

2. Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
Система может пропустить, да. И кто-то где-то поставит слабый пароль. Что мешает Вам установить сильный пароль?

[Tema]

у меня сложилось впечатление, что вы почерпнули гораздо больше информации между строк нежели в самих строках моего меседжа.
ну штош, давайте тезисно.

>Кто и где говорил, что надо все права делегировать юзеру со слабым паролем?
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.

>Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит.
важны установки по умолчанию. если ситема позволяет создавать юзеров со слабым паролем, которые по завершению установки станут обладать всеми привелегиями рута - и это все происходит по умолчанию - то это проблема, с моей точки зрения. словосочетание "по умолчанию" очень много значит.

>Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
то как работает установщик федоры никак не влияет на безопасность моей машины, т.к. у меня не стоит федора, на МОЕЙ машине.
То, о чем мы тут разговариваем - это поведение установщиков популярных дистрибутивов, помоему это начала убунту когда-то давно.

>И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.
я так полагаю, что мы не будем спорить, что популярные дистрибутивы аля федора, убунту, минт и другие позиционируются как, в том числе, десктопные. и не надо быть особо умным не дебилом и вообще администратором, чтобы произвести установку любого из перечисленных дистрибутивов к себе на компьютер. И для людей, которые не сильно разбираются в том как устроен линукс, и что есть что в полной мере - ориентиром являются настройки по умолчанию. Очевидно, что администратор не-дебил сможет настроить допустимую сложность пароля и права раздаваемые судо и все что угодно.

[Bizdelnick]

после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.

А что, там есть пароль по умолчанию?

[Tema]

после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.

А что, там есть пароль по умолчанию?

филиал камедиклаба открыли на форуме?

[Bizdelnick]

Tema, ну объясните, почему, по Вашему разумению, сферический хомячок в вакууме обязательно задаст для юзера пароль из пары цифр, но для рута — надёжный.

[Tema]

Tema, ну объясните, почему, по Вашему разумению, сферический хомячок в вакууме обязательно задаст для юзера пароль из пары цифр, но для рута — надёжный.

потому, что для юзера можно расслабить требования к паролю. если пользователь хочет иметь простой пароль, хоть в 4 цифры - это его право, ведь ему вводить его каждый раз при вызове судо
для рута можно и необходимо сделать более строгие требования к паролю. если судо настроить на опеределенный список допустимых програм, а не на все сразу, то это выглядит более подходящим решением, с моей точки зрения для установок по умолчанию в широко распространенных дистрибутивах, которые нацелены, в том числе, на аудиторию не-админов.

[Bizdelnick]

для юзера можно расслабить требования к паролю

Нельзя. Если Вы так делаете, проблема в Вас, а не в sudo.
На персональной машине нет ничего ценнее пользовательских данных.

[Hephaestus]

после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.

Федору ни разу не ставил, не знаю. Но вообще-то никаких умолчаний такого рода нет.

если ситема позволяет создавать юзеров со слабым паролем, которые по завершению установки станут обладать всеми привелегиями рута - и это все происходит по умолчанию - то это проблема, с моей точки зрения.

Да, это проблема. Проблема пользователя. Если бы установщик генерировал слабый пароль, это была бы проблема установщика. А пока пароль вбивает пользователь -- это проблема пользователя.

То, о чем мы тут разговариваем - это поведение установщиков популярных дистрибутивов, помоему это начала убунту когда-то давно.

Я недавно разворачивал Ubuntu-20.04 на VBox. И сейчас не поленился и проверил ещё раз.
На этапе создания пользователя в зависимости от сложности пароля появляются пометки "short passoword", "fair passoword", "strong password" -- достаточно яркие, разных цветов.
Так что не надо наговаривать на дистры, что нет "валидации". Есть. Скажете, недостаточно? А что ещё нужно? Не пропускать совсем? Наверное, можно. Но система не считает себя умнее человека.
Поэтому, да, пропустит любой пароль, даже двухсимвольный. Да, этот пользователь будет в группе sudo, то есть будет админом. Но простите, на этапе установки кто на клавиши нажимал? Этот же самый админ и нажимал. Следовательно, знает, что делает.

популярные дистрибутивы аля федора, убунту, минт и другие позиционируются как, в том числе, десктопные. и не надо быть особо умным не дебилом и вообще администратором, чтобы произвести установку любого из перечисленных дистрибутивов к себе на компьютер.

Нет. Не так. Я уже много раз говорил и повторю ещё раз: есть четкая граница между админ/не админ -- это ввод пароля рута (ну или вызов sudo). Пересекая эту границу, пользователь попадает в зону повышенной отвественности.
У меня лично приглашение пользователя оформлено зеленым цветом, а приглашение рута -- красным. Чтобы сразу было ясно, кто где. Так вот, в зоне повышенной отвественности разрешено всё, в том числе и "выстрел себе в ногу" (или в голову). И система никак этому не препятствует. Поэтому аргумент "не надо быть администратором" не прокатывает. Профессиональным админом можно и не быть, но надо, как минимум, понимать, что ты делаешь. Зона повышенной отвественности, одним словом. Забывать об этом нельзя.
Если же речь идет о пользователе-домохозяйке, которая действительно может "выстрелить себе в ногу", то её не спасти никакими супердлинными паролями. Она просто не должна выполнять административные задачи (она, скорее всего, и не будет). И систему она ставить сама себе тоже не будет. Это будет делать кто-то другой. Как следствие, её основная учетка не будет входить в группу sudo. И дело тут совсем не в "валидации" пароля на этапе установки.