LINUX.ORG.RU
ФорумGeneral

sudo без пароля - какие подводные камни?

 , ,


1

3

Переставлять тут ляликс (уже жалею, что пошел на это) и подумал, а почему бы мне не сделать судоерсом %wheel ALL=(ALL) NOPASSWD: ALL. Какие подводные камни? Речь про линукс на десктопе, поэтому более одного урожденца племени «wheel» иметь не планирую.

Да, любая программа, запущенная из-под моего пользователя сразу сможет попробовать в sudo и смочь. А вот если на судо стоит пароль, то она сможет просто смочь только если я в этой же терминальной сессии в течение примерно 10 минут уже успешно делал судо. Ну или программа может попросить меня дать ей суперюзера, и если программа похожа на такую, которой реально нужны особые права, то я скорее всего соглашусь.

А еще даже без безпарольного судо любая программа может мне любые alias'ы и path'ы в .bashrc поменять, и в следующий раз я незаметно введу судо-пароль прямо в ловушку. Но до такого не каждый школьник вася догадается.

Если ты не сидишь со включенным SSH или тебя просто не видно из интернета, то особо никакой опасности нет. Разве что захреначить систему по собственной рукожопости. Но с дуру можно и [censored] сломать. Да и кому ты особо нужен, хакать тебя.) Я думаю, даже если какие-то школьники-кулцхакеры сидят и прозванивают порты в диапазонах IP, то их интересуют вебкамеры, а не ssh и прозванивают они другой порт.

Deleted
()

до такого не каждый школьник вася догадается.

Ты, судя по лексикону, типичное школие, но догадался же. Другие тоже догадаются.

tailgunner ★★★★★
()

просто сделай для опасных вещей (wine и программы, выходящие в сеть) отдельного юзера

teod0r ★★★★★
()
Ответ на: комментарий от Deleted

Людям не стоит комментировать, какие порты для удаленного доступа у них открыты, на публичном форуме, где непонятно кто (модераторы) могут вычислить тебя по айпи.

hlebushek ★★
() автор топика

Подразумевая типичный локалхост с иксоргом, где любая программа может читать xinput глобально, все эти sudo и проч. изначально к курам на смех. Такой как бы есть подводный камень. Ну либо по отдельному иксоргу на каждый xterm (кто сказал Qubes?), либо выкидывать иксорг.

d_a ★★★★★
()
Ответ на: комментарий от d_a

Сначала лучше баш выкинуть, ведь любая программа может сделать алиас на судо. На павершелл заменить, например. А может шаттлворт над этим уже работает?

hlebushek ★★
() автор топика
Ответ на: комментарий от hlebushek

Если боишься алиасов или одноимённых функций (sudo() { ... }), то используй полные пути (/usr/bin/sudo). Кроме того, у шелла есть много опций, управляющих тем, какие файлы и откуда он будет или не будет читать на старте, можешь настроить свой эмулятор терминала на их использование.

d_a ★★★★★
()
Ответ на: комментарий от hlebushek

Ну, увидишь грязную рабочию копию в git-репе с твоими дотфайлами. Или git тоже переписать? И на ремоуте тоже?

d_a ★★★★★
()

Я неуловимый Джо и пользую sudo без пароля. Брат жив, камней никаких, зависимость есть.

Lavos ★★★★★
()

никаких

J ★★★★
()

сидел так год, потом меня убедили, что это неправильно, сделал таймаут для ввода пароля больше.

Deleted
()

Никаких, вообще, никогда.

##
## User privilege specification
##

root ALL=(ALL) ALL
user ALL=(ALL) NOPASSWD:ALL

7 лет так.

l-_-l
()

Ты сам их описал. Сделай, только для нужных тебе программ.

anonymous_sama ★★★★★
()
Ответ на: комментарий от hlebushek

и в чём проблема? создаёшь одного нового пользователя. меняешь владельца нужных бинарей и ставишь на них suid-bit

teod0r ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General