Использование учетной записи без прав sudo в качестве основной

Малвари не нужны привилегии, она отлично работает под простым пользователем.

Да уж, я смотрю в стане специалистов тоже холивар по этому вопросу))

хех, на виндовые runas и аналогичное гуишное виндовое средство аккурат su большее похож - в обоих требуется пароль от администратора, т.е. обывательский пользователь знает пароль администратора.

в sudo можно очень четко допустить пользователя к определенным функциям под определенными пользователями без знаний паролей онных пользователей и ни на шишку больше.
к su сколь помню такое уже не прикручивали.

в линуксе из-за полной свободы конфигурации системы и доступа к исходным кодам и прочим закоулкам, дается безмерная возможность корежить систему, вполне самому дорисовать необходимую функциональность и т.д.
потому существует огромное количество средств, дублирующих (или чуть улучшающих) функциональность друг друга.
что дает безмерное раздолье для холиваров :)

Нет, аналог рута в винде это SYSTEM и пароля у него нет (и кажется нельзя сделать). А вот «аккаунт с административными привилегиями» это как раз аналог аккаунта из списка sudoers. Причём обычно (если речь не про серверную винду) эти самые административные привилегии выдаются как раз обычному (единственному) рабочему аккаунту на компе, а запрос на права выглядит как «разрешаете ли вы этой программе внести изменения куда-то там?».

неа. system и администратор это просто разделение для виду - очередной имитатор защищенности.
администратор может поиметь приложения system пользователя и в хвост и в гриву и в любом положении. никакого разделения, кроме буковок, тут нет.
«аккаунт с административными привилегиями» в линуксе это как раз работать под аккаунтом рута. привычка от которой в большинстве дистров отказались.

в принципе «разрешение этой программе внести изменения» из-под администратора это аккурат костыль, специально и хитроумно придуманный микрософтом, чтобы работать под администратором и при этом не получать доступа к админским действиям.
зовется оно UAC :) ну шо делать привык пользователь жить под админом, десктоп вообще весь поголовно под админом живет.
а если гора не идет к магомету, то гора придумывает администратора без админских прав… все довольны, все «защищены»

костыль, специально и хитроумно придуманный микрософтом, чтобы работать под администратором и при этом не получать доступа к админским действиям.

Верно, это костыль. UAC это и есть sudo. Админский (sudoers) аккаунт но без доступа к админским действиям. Настоящий админский аккаунт, повторюсь, это SYSTEM, там разрешено сразу всё без доп. диалогов.

имитатор защищенности.

И то верно. Туда же опять аналогия про sudo. Аккаунт из sudoers это рут, который имитирует не рута.

путаешь,либо не пользовался и не знаешь работу sudo.
с помощью sudoers можно предоставить доступ определенным пользователям к четко указанным функциям и никуда больше не пустить.

UAC просто спрашивает, не вдумываясь ни в какие подробности и предоставляя доступ куда угодно, если сказали да.

:) только, что говорил что SYSTEM не доступен для логина, а тут разрешено все без диалогов….

мне кажется высказанная тобой «каша в голове» аккурат у тебя.

ага, говорю ж однобоко читаешь маны. либо не знаешь.
%sudo ALL=(ALL:ALL) ALL - это одна вездесссущая возможность, акромя которых есть огромный комплект возможностей четко и конкретно расписать кому чего доступно. но кто читает маны и настраивает систему. шлеп-шлеп и в продакшен…..

Прекращай демагогию. У тебя у самого sudo настроен на выполнение чего угодно, и дальше будет настроен так же. SYSTEM недоступен для логина, но доступен для выполнения из под него процессов, в т.ч. гуи.

конечно, мне так удобнее и эффективнее. на данный момент.
и полноценно уверен что такое состояние в пределах требуемой от железяки функциональности обеспечит и удобство пользования и защищенность системы.
изменятся условия - уберу доступ группе sudo и предоставлю доступ только к ограниченным админских правам определенными пользователями - просто переконфигурю sudoers.

обратного ты не доказал, только описывал, что «фсё ниправильно делаете».

как сделать правильно ??
логинится в рут ?? однозначно нахеръ.
использовать su ?? менее удобно, менее функционально при таком же уровне защиты. зачем ??

если попробовать вникнуть в твои разгласольствования, то описанное ближе всего к формированию образа системы на отдельной машине (с тестированием и оттачиванием работы) и после чего закидыванию образа в оркестрацию контейнеров или что подобное.
там да, абсолютно согласен, админ нахеръ в образе не нужен, да и не заглянет никогда. коль пойдут косяки - образ полностью пристрелят, пересоберут на новый лад и заменят полностью на всех инстансах.
но это отдельная «форма жизни» и там своя отдельная пестня…

Без SELinux/Flatpak/etc. — да.

С ними тоже отлично. SELinux ничего не знает о майнинге и не спасёт данные твоего пользователя. Flatpak и вовсе потешное решето.

не спасёт данные твоего пользователя

Почему?

Flatpak и вовсе потешное решето

Ещё один flatkill начитался?

Почему?

Потому что типовым политикам нет до этого дела? Любая запущенная под твоим пользователем дрянь может читать что угодно в твоём домашнем каталоге. Ты же не будешь использовать дома MLS. Когда я последний раз о нём слышал, там даже графику запустить было проблематично.

Ещё один flatkill начитался?

Есть конструктивные возражения по поводу раздела 2021? Ну серьёзно, решето в базовых рантаймах это дичь. В snap такого нет, жаль только, что он кроме Ubuntu нигде нормально не работает.

Ты же не будешь использовать дома MLS

Добавлю, что просто MLS сам по себе тоже не решает эти проблемы, но несколько проще должно быть с огораживанием важных данных, естественно, ценой удобства.

Потому что типовым политикам нет до этого дела? Любая запущенная под твоим пользователем дрянь может читать что угодно в твоём домашнем каталоге.

Так если юзверь сам запускает малварь, то тут уже ничего не моможет. Разве что, возможно, пользователь одумается, когда приложение «Калькулятор» потребует доступ к коллекции котиков.

Есть конструктивные возражения по поводу раздела 2021?

https://theevilskeleton.gitlab.io/2021/02/11/response-to-flatkill-org.html

В snap такого нет, жаль только, что он кроме Ubuntu нигде нормально не работает

Он и в Ubuntu нормально не работает 😁

Вопрос в том, откуда этой малвари взяться на домашнем ПК?

Так если юзверь сам запускает малварь, то тут уже ничего не моможет.

Так обычно и происходит. Другие варианты на десктопах экзотичны.

https://theevilskeleton.gitlab.io/2021/02/11/response-to-flatkill-org.html

Неплохо, но преимущественно «отчасти согласен» и «отчасти несогласен». Уточнения, но не опровержения. Предложения пользователям исправлять кривые разрешения — бред. Мы это отлично уже видели на примере Android (о пользе SELinux, когда 99% малвари полагается на добровольный запуск пользователем, кстати, туда же (нет, я не утверждаю, что MAC не нужны, наоборот необходимы)).

Он и в Ubuntu нормально не работает 😁

Я проверял, работает нормально, в том числе в продакшене. Мне не очень нравится пара технических решений там, особенно осложняющее на ровном месте использование некоторых популярных сборочных систем, но, возможно, это уже поправили, я не слежу за развитием snapcraft.

Это очень странный вопрос для большинства нормальных пользователей, судя по тому, как здорово у них получается находить и запускать всякие криптомайнеры и шифровальщики-вымогатели 🧐🤔

Я имел ввиду линукс-десктоп. Основная цель «домашней» малвари это ведь винда, верно?

Другие варианты на десктопах экзотичны.

На десктопах как раз других вариантов полно. Но статистики по распространённости у меня, конечно, нет (:

Проблема sudo в том, что терминал остается с правами доступа определенное время после его (судо) ввода. Если кто-то другой в этот момент получит к терминалу доступ - то все, это рут.

Кроме того, как тут уже неоднократно отметили, пароль от судо совпадает с паролем пользователя, что тоже не хорошо. Поэтому в дебиане судо по умолчанию нет (по крайней мере раньше не было, сейчас не уверен).

Но только на твоем личном компе это все до лампочки. Основная опасность исходит не от сюда, а от всяких вредоносных кодов, которым этот судо вообще не нужен.

Я имел ввиду линукс-десктоп. Основная цель «домашней» малвари это ведь винда, верно?

Нет, всякие дыры в твоем браузере вообще кроссплатформенные.

Согласен. На данный момент мои Firefox и Chrome изолированы Firejail’ом. Можно ли считать это достаточным для домашнего компа?

Проблема sudo в том, что терминал остается с правами доступа определенное время после его (судо) ввода. Если кто-то другой в этот момент получит к терминалу доступ - то все, это рут.

это удобство, к примеру когда в скрипте несколько последовательных sudo команд.
можно отключить timestamp_timeout=0 в Defaults /etc/sudoers или для конкретных пользователей.

Number of minutes that can elapse before sudo will ask for a passwd again.  The timeout may include a fractional component if minute granularity is insufficient, for example 2.5.  The default is 15.  Set this to 0 to always prompt for a password.  If set to a value less than 0 the user's time stamp will not expire until the system is rebooted.  This can be used to allow users to create or delete their own time stamps via “sudo -v” and “sudo -k” respectively.

Кроме того, как тут уже неоднократно отметили, пароль от судо совпадает с паролем пользователя, что тоже не хорошо. Поэтому в дебиане судо по умолчанию нет (по крайней мере раньше не было, сейчас не уверен).

опять же удобство. простому пользователю ни в коем случае не надо знать пароль администратора.
а разумному администратору нельзя включать простого пользователя в группу sudo. только давать допуск до ограниченного набора функций, жизненно важных для данного пользователя.
тогда все ок.

все зависит от того насколько ты уверен в твердости тюрьмы/песочницы :) у всякого средства есть дырки.
все зависит от выбранного баланса защищенности к удобству. любая защита ограничивает удобство пользования системой.
вполне можно вынести браузер с почтовиком на отдельную машину. тогда будет почти полная защита от проникновения на защищенную машину. но удобство пользования такой системой сильно просядет.

Да, я согласен с тем что удобство и безопасностью имеют отрицательную корреляцию. Поэтому и говорю use-case среднего юзера. Если уж на то пошло, то никаких критических/личных данных у меня в принципе на компе нет - оно всё на внешнем жестком диске.

Я скорее просто не хочу быть частью какого-нибудь ботнета, ну и плюс чтобы история браузера/куки не оказались в руках какого-нибудь хацкера).

две строчки в конфиге:

permit persist :wheel
permit nopass user

и пофигу на фашу безопасность, там регистрант уже на картинку давал ссылку

на домашней бубунте у меня сделан автологин в граф.среду. потому что удобно.
на винде на работе сижу не под администратором, хотя остальная часть офиса сидит под ним. потому что вот так. хотя остальная часть офиса плювается «неудобно» когда выскакивают запросы на повышение прав.

все зависит от «прокладки между монитором и креслом» :) главный инженер с бухгалтерией ловили и вирусов и шифраторов и прочее, хотя обмазаны платными касперскими.
за многие года, начиная со второго года пользования компутером еще под вин95, не ловил вирусов тьфу-тьфу-тьфу-тьфу.
на работе платного каспера пристрелил много лет назад, ибо он тихо и незаметно закрыл доступ одному приложению к интернету и пришлось пару день кипятить мозги… и вот както до сих пор норм. хотя швали идет кучами.
знаю одного человека, который в инет выходит через lynx (ладно хоть без тора) изза того что в нем нет джава-скриптов и никто не исполнит левый код на его компе.

бекап важных данных и аккуратность.
п.с.: история твоих запросов, заходов на странички с рекламой, давно уже у поисковиков :) но ты конкретно им похеръ.

Сиди рутом, не дури голову.

Собственно у меня примерно такая же история. Пользуюсь аккуратно, соблюдаю элементарные правила безопасности. За 15 лет пользования компьютером вирусов не ловил.

Просто не имея глубоких знаний в ИТ, порой без всякого видимого повода бывают приступы паранойи в стиле «а вдруг я не единственный юзер своего компа»)))

Видимо сказывается «windows use-case experience» когда имея лицензионную винду и антивирь чувствуешь себя в безопасности))

vlc под рутом не запускается.

Бог дал тебе многопользовательскую систему. Какое нахрен судо или су? Какой администратор?

Куча пользователей с разными правами под соответствующие разные задачи, и лучше на соответствующем разном железе.

Мне вот интересно вы юзаете VLC просто для просмотра видосиков/киньчика или же его ставят когда нужно что-то большее чем просто плеер?)

Просто не имея глубоких знаний в ИТ, порой без всякого видимого повода бывают приступы паранойи в стиле «а вдруг я не единственный юзер своего компа»)))

Покормлю тебя. Подобие Intel ME у тебя присутствует? Да? Ну, поздравляю. Твой комп юзает ещё и он. Ещё юзает провайдер (реклама). Это из того что происходит точно и прямо сейчас ;)

Мне вот интересно вы юзаете VLC просто для просмотра видосиков/киньчика или же его ставят когда нужно что-то большее чем просто плеер?)

Удобное клиентское подключение к видеонаблюдению за женой, за детьми. При этом можно включить любимое греческое радио, и всё это не переключаясь.

vlc под рутом не запускается

У меня запускается. В обновлениях что-то снова учудили?

хотел проверить возможность проигрывать плейлист на древнем ноуте, не открывает в общем-то.
может криво собрался.

Покормлю тебя. Подобие Intel ME у тебя присутствует? Да? Ну, >поздравляю. Твой комп юзает ещё и он. Ещё юзает провайдер >(реклама). Это из того что происходит точно и прямо сейчас ;)

Так я и не лезу в такие дебри. Я говорю о правилах безопасности для среднего юзера. Я знаю что самый безопасный компьютер, это тот, который не имеет сетевых интерфейсов и возможности подключения внешних накопителей.

Что касается провайдера и всевозможных стучалок/трекеров они меня так же особо не волнуют. Хотя насколько я знаю этих стучалок в линуксах меньше чем в винде.

Удобное клиентское подключение к видеонаблюдению за женой, за >детьми. При этом можно включить любимое греческое радио, и всё >это не переключаясь.

Понятно. В этом случае конечно нужен больше чем просто плеер.