В какой степени вы ограничиваете вашего пользователя в системе на десктопе?

Вопрос. Рут без пароля возможен? Автологин можно организовать?

Пишут, что рута можно разрешить без особых сложностей.
https://fedoraproject.org/wiki/Enabling_Root_User_For_GNOME_Display_Manager

Ты на каждую команду, требующую повышения привилегий, вводишь пароль? Или он-таки кешируется и твоя хваленая возможность избежать ошибки то есть, то нет?

Кинул в закладки, подумаю…

Только вот хомяка как-то перетаскивать, а у меня столько всего удобно уже настроено, мда…

Ты на каждую команду, требующую повышения привилегий, вводишь пароль?

Да, на каждую, если перерыв между ними больше 15 минут (или сколько по умолчанию timestamp_timeout?)

То есть твоя «мера безопасности» ненадежна.

Интересно, а кто так решил, что админ не успеет расхерачить систему за 15 минут?

То есть «твоя» мера безопасности ненадежна.

Я немного исправил, я ничего не предлагал.

Работаю под рутом, конечно. Ничтожный риск случайно снести кусок домашней системы не стоит многолетней дебильной возни по вставлению палок в колеса самому себе.

Десктоп и многие программы работают под разными ограниченными пользователями и нередко ограничены Firejail, но одна волшебная программа (konsole) запускается под рутом, чтобы не заработать от клавиатуры мозоли, которыми так пугают. Если что, то кругом обмазано ZFS со снэпшотами.

А в чём смысл не работать под рутом тогда?

Некоторый софт глючит под рутом.

Плохо исправил, получилось так, будто пароль на судо — мера безопасности.

Да всё возможно.

А где вариант root залочен и под ним нельзя войти?

В венде. Иди отсюда, вендузятник.

В каждой избушке свои погремушки, а также каждый сходит с ума по-своему.

в какой я категории, если я использую учетку юзера без пароля и соответственно sudo тоже?

Часть «погремушек» в виртуалках, контейнерах и даже на отдельных dedicated хостах в т.ч. с Alpine и OpenBSD на борту :)

Да на здоровье, лишь бы тебе это приносило душевное спокойствие. Пока никто ни за кем не бегает, вопя про опасные опасности уязвимых дыр, будем считать всех условно здоровыми.

Мы говорим не «штормы», а «шторма» –
Слова выходят коротки и смачны:
«Ветра» – не «ветры» – сводят нас с ума,
Из палуб выкорчевывая мачты.

Использую sudo без пароля. Кому дать IP, чтобы попытались взломать и утащили мои фоточки, скачанную музыку и фильмецы?

sudo с паролем.

Потому что всегда так было, и я просто не хочу ничего менять.

В какой степени вы ограничиваете вашего пользователя в системе на десктопе?

Я сижу под рутом, конечно же. А под ограниченным пользователем на своих собственных компах сидят только полные лохи.

А корабли заходят в по́рты —
Не в брюки, джинсы или шорты!

Вот я лично вообще не допираю, почему единственный способ контроля прав на Linux – это рут?.. Уже на всех ОС: Android, iOS, Universal Windows Platform, macOS есть разрешения: на камеру, на микрофон, на уведомления и т.д.

А на линуксе – только этот банальный рут. Разреши какому-нибудь проприетарному ПО рут-доступ, ожидая, что оно будет делать только нужные тебе вещи, а оно всю систему может разворотить…

UPD: ах да, одно из самых важных разрешений – это доступ к файловой системе. В идеале надо, чтобы приложение могло работать только с отдельно предоставленной папкой, а на /home и / должна получить согласие от пользователя

Откройте для себя флатпак и порталы

только этот банальный рут

Linux Capabilities больше 20 лет, как и SELinux, например.
Слазил в википедию про AppArmor - тоже 25 лет уже ему.

Флатпак – это флатпак, без зависимостей такие приложения места много едят. А порталы – это что?

Не хотите использовать флатпак? Ну тогда попробуйте использовать bubblewrap напрямую, будет то же самое в плане изоляции приложений. А про порталы можно почитать тут https://flatpak.github.io/xdg-desktop-portal/docs/introduction.html

Использую отдельно root, а также обычного пользователя (НЕ sudo). В моем случае привилегии пользователя снижены (убран sudo)? За какой пункт мне голосовать ?

Зачем вообще убирать там пароль я хз. Смысл тогда в sudo?

Чтобы случайно чего-нибудь не поломать. Защита от дурака.

Голосуй за отдельный аккаунт рута.

Сижу в Haiku из-под рута, потому что интерактивные сессии не от рута пока в полной мере не поддерживаются.

Под рутом многий софт или глючит или не запускается. Ну и sudo нужно написать явно, обычно я знаю зачем я это делаю. А каждый раз для редактирования конфига(sudo vim ...) или обновления системы(sudo emerge ...) вбивать пароль, ну объективно лень.

PS: Ага, пользователь sudo без пароля. Зачем он, если кроме меня либо доверенные лица, либо даже не знают что такое sudo?

Ну, убрал ты пароль, запустил случайно какой-нибудь sudo rm -rf /etc без пароля. Где защита от дурака?

sudo с паролем, но он уже стал такой автоматикой, что нет трепета над повышением прав, так что sudo ctrl+shift+v enter и крещусь, пока не подводило.

• Пользователь в группах wheel и operator;
• Пользователю запрещено читать dmesg, системные логи и логи безопасности;
• Пользователю не видно процессов других пользователей;
• Пользователю разрешено монтировать внешние носители без exec/suid;
• Пользователю разрешено создавать датасеты ("разделы") внутри своего пользовательского датасета и монтировать их в пределах своей домашней директории;
• Пользователю разрешено запускать некоторые (самописные) скрипты через sudo без пароля, но sudo сверяет хэш скрипта.

есть sudo -i

ну, для определённых команд (не как в твоём примере для всех) - смысл имеет, я так делал кое-где иногда. например, чобы группа админов могла невозбранно tcpdump запустить

ядерная косноль - это за чо ядрёные бонбы крепят в бонбандировщиках

Ну, группа админов и tcpdump еще куда ни шло. Но на десктопе обычному юзеру, да еще мало соображающему в линуксе, ну такое. Та даже сам иногда бывает набираешь что-то быстро от руки с sudo и допускаешь опечатку, а потом такой «епт! как хорошо, что оно сначала пароль спросило»…

Я один раз так набрал вместо cat rm -rf…

Жостко :)

Где вариант «Обычный юзер в группе wheel + su»?

Так пароль и был защитой :)

Какой смысл, если все твои данные всё равно находятся в /home и доступ к ним есть у почти вообще всех процессов, которые ты запускаешь?

Откройте для себя флатпак и порталы

А потом закройте. Порталы – глючное недоделанное говно.

только этот банальный рут

Linux Capabilities больше 20 лет, как и SELinux, например.

Слазил в википедию про AppArmor - тоже 25 лет уже ему.

И всё это – бесполезное говно, потому что это механизмы, а не инструменты их применения. SELinux в полной мере адекватно только в ведроеде используется вроде как.

Если из «бесполезного говна» где-то смогли сделать конфету, значит, оно не такое уж бесполезное.

Вдвойне жостко. Обычно успеваешь понять, что написал ерунду, когда выскакивает запрос на пароль. Такой себе даблчек «все ли правильно я написал» и только потом вводишь пароль и вперед.