LINUX.ORG.RU
ФорумAdmin

Зачем нужен sudo?

 , ,


0

5

Во многих конфигуруциях/убунту, отключен рут доступ через ssh - заходишь под юзером и потом либо su без пароля, либо sudo с тем же паролем что и у юзера. В чем смысл защиты? Защита от дыр в самом ssh? Сам всегда включаю рут на серверах(дебиан). Все nginx etc под другими пользователями.

★★★★

Ответ на: комментарий от targitaj

в ldap можно хранить публичные ключи пользователя, по идее на машины включеные к ldap ключи не нужно закидывать сами закинутся. Я об этом недавно узнал пока не тестил, свой велосипед юзаю по обмену ключами.

s-warus ★★★
()
Ответ на: комментарий от anc

Программа, это то, что я запускаю в терминале, за вычетом скриптов. Скомпилированные файлы. То, что обычно валяется в /usr/bin и тд. То, на что можно повешать suid бит и он будет работать. Вероятно это ELF файл, который запускается через ld-linux.so, но это не точно, я никогда досконально не исследовал механизм запуска бинарников в линуксе, чтобы давать железобетонные определения. В контексте suid битов это то, что ядро запускает под привилегиями, отличными от привилегий родительского процесса, в частности под привилегиями рута.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 1)
Ответ на: комментарий от s-warus

Вот у вас уже начали появляться сомнения. Хотя конечно странно, что сомнения.

anc ★★★★★
()
Ответ на: комментарий от router

Думается мне те кто против sudo просто никогда не имели больше одного пользователю с правами админа в системе, где отношения все равно приходится строить на доверии, но лучше иметь хоть какое-то логирование через sudo, чем никакое.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anc

мы много чего можем считать :) это наше личное мнение.
главное как на это обрабатывает операционка.

pfg ★★★★★
()
Ответ на: комментарий от anonymous_sama

но лучше иметь хоть какое-то логирование через sudo, чем никакое.

А ещё лучше иметь возможность ограничения для более других админов.

anc ★★★★★
()
Ответ на: комментарий от anc

да, абcолютно прав!! к примеру, админа, безраздельно правящего на бекап-серверах, на «боевых» серверах допустят только до пользователя:группы backup:backup :)

pfg ★★★★★
()
Ответ на: удаленный комментарий

com файл устроен просто он не упаковывается тупо скачивается с 100 адреса сегменты ds cs ss (название сегмента стека не помню может не ss а sp) на 0 ничего не трогается исполнение начинается с 100 адреса программа болше одного сегмента занимать не может тоесть 64кб, почти аналог в linux a.out который сейчас не поддерживается,

s-warus ★★★
()
Ответ на: удаленный комментарий

с suid битом дело не имел, а вот устройство испольняемых файлов знаю досконально, посмотри в текстовым редакторе что exe что dll с mz начинаются можешь даже exe как dll подключить иконку посмотреть или ещё какие функции, ресурсы в данном exe есть, аналогично с исполняемым и so, майки создавали exe вдохновившись эльфом

s-warus ★★★
()
Ответ на: удаленный комментарий

Спасибо КО.

ну так как: «sudo это экзешник с suid», расшифровать могёшь, и понимаешь что «Тоесть например libz.so.1.2.8 это «экзешник» ?» да екзешник, эльфешник

s-warus ★★★
()
Последнее исправление: s-warus (всего исправлений: 1)
Ответ на: удаленный комментарий

хых, пошло копание в грязном белье :) anc ну зачем опускатца до такого ??
dll и exe являются исполняемыми файлами.
оба, полноценными исполняемыми файлами. отличие лишь в том что внутрь dll в качестве «main-функции», с которой и начинается исполнение программы, впихнута заглушка, выводящая в stdout «This program cannot be run in DOS mode.» и завершающая работу исполняемого файла.
удобно и практично.

в библиотечные файлы линухи такое не впихнуто, но тож наверн доступно :)

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от firkax

Что это за ужасный костыль? Ещё и дырявый скорее всего (скрипт могут подменить хоть в середине его работы), но даже если с этим что-то сделали - оно всё равно ужасный костыль с непонятным целевым применением.

Если ты так уверенно заявляешь что это костыль, вначале предложи альтернативу. И так, чтобы не давать каждому левому васяну (особенно таким, которые считают что sudo не нужно, но не предлагают лучших решений ☺) пароль от рута.

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

так то он частично прав, пытался от sudo и его дырок уйти на даос, вернулся как миленький, ибо даоса не хватает, кровь из носа нужен весь функционал sudo.
Везёт firkax, ему это не нужно, в одиночку все задачи решает + бессменный, безконтролный админ.

s-warus ★★★
()
Ответ на: комментарий от anc
Cmnd_Alias SCRIPTS = sha224:6ccddcb3281eac9b81fb521f2c15d49073d283a182164b2a0cba9f62 /usr/home/mord0d/.local/share/bin/change_nice ^[0-9]+ [0-9]+$

Полный путь до скрипта обязателен в sudoers, но если дира прописана в пользовательском $PATH, то sudo change_nice PID niceness будет работать.

Почему просто не дать пользователю возможность запускать renice(8)? Потому что в скрипте проверка что PID принадлежит пользователю, который этот скрипт запускает, и что niceness не является отрицательным. Пользователь, конечно, не видит процессов которые ему не принадлежат, но очепятки никто не отменял.

mord0d ★★★★★
()
Ответ на: комментарий от ptah_alexs

Т.е. кроме ненужно тебе предложить нечего?

Знакомься, местный кукаретик. Мнение имеет, аргументов не имеет. ☺

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

Мда, и эта порнография в конфиге и подозреваю её продолжение в скрипте - вместо того чтобы реализовать этот change_nice на Си и положить /usr/local/bin с suid-root и всеми нужными проверками.

Впрочем ещё менее понятно зачем это всё нужно, учитывая что пользователь и так может запускать renice от своего имени, и все нужные проверки делает ядро.

но очепятки никто не отменял

Опять мда. Не об опечатках надо думать в таких случаях, а о том что злоумышленник вдруг сможет угадать невидимые ему pid-ы.

Вобщем, сразу видно «опытного пользователя sudo» - решает бессмысленные задачи извращёнными способами, про аспект безопасности даже не вспоминает.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

задача админа и скриптов - программ выполнять рабочие задачи, импотенты и макеты компютеров людям обычно не нужны

s-warus ★★★
()
Ответ на: комментарий от firkax

реализуй, отладь и с гарантиями безглючности предоставь мордоду взамен его костыля :) ждем.

pfg ★★★★★
()
Ответ на: комментарий от pfg

Ты читать разучился? Повторю ещё раз: всё что он описал делает штатная утилита renice без всяких смен uid. Юзерам она доступна.

firkax ★★★★★
()
Ответ на: комментарий от pfg

отличие лишь в том что внутрь dll в качестве «main-функции», с которой и начинается исполнение программы, впихнута заглушка, выводящая в stdout «This program cannot be run in DOS mode.» и завершающая работу исполняемого файла.

Попробовал, у меня на экран ничего не выводит. Но даже если бы и выводила, то такая dll никому не нужна, только место на харде занимает.

anc ★★★★★
()
Ответ на: комментарий от s-warus

майки создавали exe вдохновившись эльфом

И у вас конечно есть пруфы. Хотя бы на даты создания одного и второго.

anc ★★★★★
()
Ответ на: комментарий от s-warus

Ещё раз - ограничение «проверить что pid свой» из коробки присутствует в штатной утилите (и даже не только в ней а в соответствующем сисколле), и никакие рут-права для этого не нужны. Он сначала выдал утилите доп. права на все процессы, а потом своим скриптом сделал проверку чтоб она ими не пыталась воспользоваться. Хватит тупить уже, то один, то другой, прям собрание тормозов.

firkax ★★★★★
()
Ответ на: комментарий от pfg

Сколько чуши ты смог вместить в короткое сообщение. Не знаешь - лучше молчи и не позорься. Писать сообщения по мотивам материалов из поисковых систем тоже не надо, тоже ведёт к опозориванию.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Мда, и эта порнография в конфиге и подозреваю её продолжение в скрипте - вместо того чтобы реализовать этот change_nice на Си и положить /usr/local/bin с suid-root и всеми нужными проверками.

Ну а на С у вас будет идеальный безбажный код не содержащий ни строчки порнухи. Типичный NiH.

Вобщем, сразу видно «опытного пользователя sudo» - решает бессмысленные задачи извращёнными способами

И эти люди будут запрещать ковыряться в носу говорить про извращения.

anc ★★★★★
()
Ответ на: комментарий от anc

Ну а на С у вас будет идеальный безбажный код не содержащий ни строчки порнухи. Типичный NiH.

Безбажно не получится - там race между проверкой uid и renice-ом. И я уверен на 100% что этот самый race и в его скрипте присутствует. Наверно его можно устранить если сначала подключиться к процессу отладчиком (чтоб он не умер в середине), затем проверить uid, затем сделать renice, отключиться. Но это всё будет ужасно, с возможными побочными эффектами, и незачем, ведь можно просто сделать renice без sudo и прочих аналогов.

firkax ★★★★★
()
Ответ на: комментарий от firkax

:) ну океюшки сударыня, я гнал фихню.
тогдась расскажи про потаенные различия в формате файла Portable Executable, кои я пропустил.
я там кучу всяких тонкостей пропустил… но в общем жду твоих рассказа - потешь публику…
кстати пример качественного С-кода на замену ублюдочному скрипту тож чегойто не видать…

pfg ★★★★★
()
Ответ на: комментарий от s-warus

от sudo и его дырок

Не малая часть дыр от кривой конфигурации. И ssh может быть дырявым, только от этого его не объявляют дырявым и не отказываются от него.

mord0d ★★★★★
()
Ответ на: комментарий от pfg

Ты прав в том, что EXE и DLL - исполняемые файлы, но ошибаешься в деталях. Например, вот эта цитата - это ересь полная:

отличие лишь в том что внутрь dll в качестве «main-функции», с которой и начинается исполнение программы, впихнута заглушка, выводящая в stdout «This program cannot be run in DOS mode.» и завершающая работу исполняемого файла.

Точка входа у PE-файла DLL-ки - это функция DllMain, которая в качестве параметра получает причину вызова (напрмиер, DLL_PROCESS_ATTACH, DLL_PROCESS_DETACH) по которому можно понять, загружается ли DLL-ка в процесс или выгружается. Ничего в stdout она не выводит, ее автор DLL пишет сам, если нужно выполнить инициализацию/очистку при загрузке/выгрузке DLL.

А «This program cannot be run in DOS mode.» - это немного из другой оперы.

bigbit ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.