sudo или не sudo

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

Аватара пользователя
Tema
Сообщения: 143

sudo или не sudo

Сообщение Tema »

sudo - это уже в некотром смысле антипатерн

отрезано от Re: Kali Linux Отказано в доступе
Последний раз редактировалось Tema 13.05.2021 15:12, всего редактировалось 1 раз.
Спасибо сказали:

Аватара пользователя
UnixNoob
Сообщения: 679
ОС: Slackware

Re: Kali Linux Отказано в доступе

Сообщение UnixNoob »

Bizdelnick писал:
12.05.2021 23:16
Это не инструкция, а сборник советов от бестолковых до вредных. Причём вредных больше.
Хорошо, удалил.
Tema писал:
12.05.2021 23:21
sudo - это уже в некотром смысле антипатерн
Что предлагаете? Только su пользоваться? Или doas?
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: Kali Linux Отказано в доступе

Сообщение Tema »

я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
я не говорю, что так - лучше всего, но для себя я пока на этом остановился.
Спасибо сказали:

Аватара пользователя
UnixNoob
Сообщения: 679
ОС: Slackware

Re: Kali Linux Отказано в доступе

Сообщение UnixNoob »

Tema писал:
12.05.2021 23:31
я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
А, ну вы наверное больше о корпоративных задачах, а не пользователя.
Я просто уже не первый раз вижу о том, что sudo плохо, но у неё же еще логирование действий есть, в отличии от su. Ну и можно задавать конкретный доступ для каких-то операций и т.д, а не на всё.
Встречаю временами что для редактирования файлов рекомендуют sudoedit использовать, а не sudo vim.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18816
Статус: ✡ иностранный агент
ОС: Debian GNU/Linux

Re: Kali Linux Отказано в доступе

Сообщение Bizdelnick »

Tema писал:
12.05.2021 23:31
в мейнстрим дистрибутивах: для юзера с паролем в пару цифр
Не припоминаю мейнстримного дистрибутива, который позволял бы задать пароль из пары цифр.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: Kali Linux Отказано в доступе

Сообщение Tema »

Недавно ставил ребёнку на ноут федору 34, пароль - 4 цифры как пин на вин10. Федора достаточно мейнстримна? :)
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18816
Статус: ✡ иностранный агент
ОС: Debian GNU/Linux

Re: Kali Linux Отказано в доступе

Сообщение Bizdelnick »

Tema писал:
13.05.2021 00:20
Недавно ставил ребёнку на ноут федору 34, пароль - 4 цифры как пин на вин10. Федора достаточно мейнстримна?
Не ждал от неё такого. Но полагаю всё же, что это проблема только инсталлятора.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: Kali Linux Отказано в доступе

Сообщение Tema »

Я за последние пару месяцев много разных дистрибутивов переставил, но только 1 не дал создать юзера с паролем в 6 цифр, жаль не помню какой :D
Спасибо сказали:

Аватара пользователя
yoricI
Сообщения: 1494
ОС: gentoo fluxbox

Re: Kali Linux Отказано в доступе

Сообщение yoricI »

Tema писал:
12.05.2021 23:31
настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..)
Я тоже, но проблемы с изменяющимися параметрами. Например, надо отдельно прописывать mount /tra, mount /bla, mount * не проходит. Как решали такую проблему?
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Kali Linux Отказано в доступе

Сообщение Hephaestus »

Tema писал:
12.05.2021 23:31
я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
Интересно. Кто-то где-то может задать юзеру пароль в пару цифр, поэтому я здесь у себя не буду использовать sudo.
Ну, в этой логике, кто-то где-то может для рута задать пароль в пару цифр и поэтому Вам не стоит использовать su. Как-то так.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: Kali Linux Отказано в доступе

Сообщение Tema »

yoricI писал:
13.05.2021 06:58
Tema писал:
12.05.2021 23:31
настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..)
Я тоже, но проблемы с изменяющимися параметрами. Например, надо отдельно прописывать mount /tra, mount /bla, mount * не проходит. Как решали такую проблему?
не знаю о такой проблеме, у меня прописано

Код: Выделить всё

/bin/mount

и я могу маунтить как юсб стики так и nfs шару.
так же прописано

Код: Выделить всё

/usr/bin/eix*
и я могу запустить eix-sync, к примеру, через судо
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: Kali Linux Отказано в доступе

Сообщение Tema »

Hephaestus писал:
13.05.2021 07:06
Tema писал:
12.05.2021 23:31
я не то, чтобы против sudo, разве только в том виде, в котором оно в мейнстрим дистрибутивах: для юзера с паролем в пару цифр гарантированы все права рута.
я себе настроил судо для нескольких программ(шатдаун, маунт, опенвпн ..). все остальные административные задачи я делаю из под рута с длинным сложным паролем. даже если никто меня и не взломает, мне так спокойнее.
Интересно. Кто-то где-то может задать юзеру пароль в пару цифр, поэтому я здесь у себя не буду использовать sudo.
Ну, в этой логике, кто-то где-то может для рута задать пароль в пару цифр и поэтому Вам не стоит использовать su. Как-то так.
во-первых, я не говорил, что не буду использовать судо, более того я написал, что я его использую :laugh:
во-вторых, выводить из игры рута, оставляя все административные права на обычного юзeра через судо аля

Код: Выделить всё

ALL=(ALL) ALL
и при этом не валидируя пароль юзера(как я написал про федору 34 и 4ох циферный пароль) - это не вяжется в моей голове с безопасностью, о которой принято говорить при упоминаниях судо. я еще дывным-давно, может даже на этом форуме читал, что су - плохо, судо - безопасно. и я могу с этим согласиться, но только не в случае, описанном выше. бездумное гарантирование рутовских привелегий стандартному юзеру та еще и не валидируя пароль - это плохо, как я думаю. prove me wrong, как говорится
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Kali Linux Отказано в доступе

Сообщение Hephaestus »

Tema писал:
13.05.2021 10:59
это не вяжется в моей голове с безопасностью
Отлично. Ибо безопасность начинается именно в голове.
Отсюда два вопроса:
1. Кто и где говорил, что надо все права делегировать юзеру со слабым паролем? Сложность пароля -- это проблема исключительно хозяина машины и больше ничья. Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит. Ибо хозяин может всё.
Даже если система не предупреждает о слабом пароле, это мало что значит, поскольку всё равно последнее слово за пользователем. И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.

2. Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
Система может пропустить, да. И кто-то где-то поставит слабый пароль. Что мешает Вам установить сильный пароль?
Последний раз редактировалось Hephaestus 13.05.2021 17:22, всего редактировалось 1 раз.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: sudo или не sudo

Сообщение Tema »

у меня сложилось впечатление, что вы почерпнули гораздо больше информации между строк нежели в самих строках моего меседжа.
ну штош, давайте тезисно.

>Кто и где говорил, что надо все права делегировать юзеру со слабым паролем?
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.

>Система может предупредить о слабом пароле, но если юзер настаивает, система пропустит.
важны установки по умолчанию. если ситема позволяет создавать юзеров со слабым паролем, которые по завершению установки станут обладать всеми привелегиями рута - и это все происходит по умолчанию - то это проблема, с моей точки зрения. словосочетание "по умолчанию" очень много значит.

>Как факт того, что кто-то где-то когда-то установил слабый пароль, влияет на безопасность ВАШЕЙ машины, которая здесь и сейчас?
то как работает установщик федоры никак не влияет на безопасность моей машины, т.к. у меня не стоит федора, на МОЕЙ машине.
То, о чем мы тут разговариваем - это поведение установщиков популярных дистрибутивов, помоему это начала убунту когда-то давно.

>И вообще, эти настройки выполняет админ, который, как предполагается по умолчанию, не идиот.
я так полагаю, что мы не будем спорить, что популярные дистрибутивы аля федора, убунту, минт и другие позиционируются как, в том числе, десктопные. и не надо быть особо умным не дебилом и вообще администратором, чтобы произвести установку любого из перечисленных дистрибутивов к себе на компьютер. И для людей, которые не сильно разбираются в том как устроен линукс, и что есть что в полной мере - ориентиром являются настройки по умолчанию. Очевидно, что администратор не-дебил сможет настроить допустимую сложность пароля и права раздаваемые судо и все что угодно.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18816
Статус: ✡ иностранный агент
ОС: Debian GNU/Linux

Re: sudo или не sudo

Сообщение Bizdelnick »

Tema писал:
13.05.2021 15:06
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.
А что, там есть пароль по умолчанию?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: sudo или не sudo

Сообщение Tema »

Bizdelnick писал:
13.05.2021 16:02
Tema писал:
13.05.2021 15:06
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.
А что, там есть пароль по умолчанию?
филиал камедиклаба открыли на форуме?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18816
Статус: ✡ иностранный агент
ОС: Debian GNU/Linux

Re: sudo или не sudo

Сообщение Bizdelnick »

Tema, ну объясните, почему, по Вашему разумению, сферический хомячок в вакууме обязательно задаст для юзера пароль из пары цифр, но для рута — надёжный.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Tema
Сообщения: 143

Re: sudo или не sudo

Сообщение Tema »

Bizdelnick писал:
13.05.2021 16:31
Tema, ну объясните, почему, по Вашему разумению, сферический хомячок в вакууме обязательно задаст для юзера пароль из пары цифр, но для рута — надёжный.
потому, что для юзера можно расслабить требования к паролю. если пользователь хочет иметь простой пароль, хоть в 4 цифры - это его право, ведь ему вводить его каждый раз при вызове судо :)
для рута можно и необходимо сделать более строгие требования к паролю. если судо настроить на опеределенный список допустимых програм, а не на все сразу, то это выглядит более подходящим решением, с моей точки зрения для установок по умолчанию в широко распространенных дистрибутивах, которые нацелены, в том числе, на аудиторию не-админов.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 18816
Статус: ✡ иностранный агент
ОС: Debian GNU/Linux

Re: sudo или не sudo

Сообщение Bizdelnick »

Tema писал:
13.05.2021 16:36
для юзера можно расслабить требования к паролю
Нельзя. Если Вы так делаете, проблема в Вас, а не в sudo.
На персональной машине нет ничего ценнее пользовательских данных.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: sudo или не sudo

Сообщение Hephaestus »

Tema писал:
13.05.2021 15:06
после установки допустим fedora с настройками по умолчанию вы получаете именно такой сетап.
Федору ни разу не ставил, не знаю. Но вообще-то никаких умолчаний такого рода нет.
Tema писал:
13.05.2021 15:06
если ситема позволяет создавать юзеров со слабым паролем, которые по завершению установки станут обладать всеми привелегиями рута - и это все происходит по умолчанию - то это проблема, с моей точки зрения.
Да, это проблема. Проблема пользователя. Если бы установщик генерировал слабый пароль, это была бы проблема установщика. А пока пароль вбивает пользователь -- это проблема пользователя.
Tema писал:
13.05.2021 15:06
То, о чем мы тут разговариваем - это поведение установщиков популярных дистрибутивов, помоему это начала убунту когда-то давно.
Я недавно разворачивал Ubuntu-20.04 на VBox. И сейчас не поленился и проверил ещё раз.
На этапе создания пользователя в зависимости от сложности пароля появляются пометки "short passoword", "fair passoword", "strong password" -- достаточно яркие, разных цветов.
Так что не надо наговаривать на дистры, что нет "валидации". Есть. Скажете, недостаточно? А что ещё нужно? Не пропускать совсем? Наверное, можно. Но система не считает себя умнее человека.
Поэтому, да, пропустит любой пароль, даже двухсимвольный. Да, этот пользователь будет в группе sudo, то есть будет админом. Но простите, на этапе установки кто на клавиши нажимал? Этот же самый админ и нажимал. Следовательно, знает, что делает.

Tema писал:
13.05.2021 15:06
популярные дистрибутивы аля федора, убунту, минт и другие позиционируются как, в том числе, десктопные. и не надо быть особо умным не дебилом и вообще администратором, чтобы произвести установку любого из перечисленных дистрибутивов к себе на компьютер.
Нет. Не так. Я уже много раз говорил и повторю ещё раз: есть четкая граница между админ/не админ -- это ввод пароля рута (ну или вызов sudo). Пересекая эту границу, пользователь попадает в зону повышенной отвественности.
У меня лично приглашение пользователя оформлено зеленым цветом, а приглашение рута -- красным. Чтобы сразу было ясно, кто где. Так вот, в зоне повышенной отвественности разрешено всё, в том числе и "выстрел себе в ногу" (или в голову). И система никак этому не препятствует. Поэтому аргумент "не надо быть администратором" не прокатывает. Профессиональным админом можно и не быть, но надо, как минимум, понимать, что ты делаешь. Зона повышенной отвественности, одним словом. Забывать об этом нельзя.
Если же речь идет о пользователе-домохозяйке, которая действительно может "выстрелить себе в ногу", то её не спасти никакими супердлинными паролями. Она просто не должна выполнять административные задачи (она, скорее всего, и не будет). И систему она ставить сама себе тоже не будет. Это будет делать кто-то другой. Как следствие, её основная учетка не будет входить в группу sudo. И дело тут совсем не в "валидации" пароля на этапе установки.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали: