LINUX.ORG.RU

Кривые руки подрывают безопасность.

Deleted ()

Особенно вкупе с группой wheel.

greenman ★★★★★ ()

Вся проблема не в sudo, а в кривом админе.

snaf ★★★★★ ()

А вот сам подумай. В случае с su негодяю нужно угадать пароли юзера и root, а в случае с sudo достаточно только пароля юзера.

Lavos ★★★★★ ()
Ответ на: комментарий от no-such-file

Может у него вход от рута запрещён.

anonymous ()
Ответ на: комментарий от surefire

регулярный ввод пароля, разве не подрывает безопасность?

Нет, а в чём проблема? Про варианты «можно подсмотреть/украсть/перехватить» можешь не рассказывать, т.к. в таком случае проще напрямую использовать уязвимость, чем морочиться с добыванием пароля.

no-such-file ★★★★★ ()
Ответ на: комментарий от x3al

пароль внутри иксов — безопасность ровно та же, что и без пароля

А почему бы тогда просто не ломануть иксы, ведь они работают от рута?

no-such-file ★★★★★ ()
Ответ на: комментарий от sudopacman

Использование Интернета подрывает безопасность

Очевидный фикс

anonymous ()
Ответ на: комментарий от no-such-file

Речь про удаленный логин, не? Тогда надо оба пароля.
А если есть физический доступ к компу, никакие пароли не помогут.

Lavos ★★★★★ ()
Ответ на: комментарий от Lavos

Речь про удаленный логин, не? Тогда надо оба пароля.

Удалённый логин по паролю? И эти люди рассуждают про безопасность.

no-such-file ★★★★★ ()
Ответ на: комментарий от Lavos

Ну, можно фс зашифровать и поставить пароль на загрузчик.

shell-script ★★★★★ ()
Ответ на: комментарий от no-such-file

Давно хотел спросить чем же ключ безопаснее пароля? По мне так наоборот: флешку с ключем можно потерять, а против пароля только паяльник...
Или такой вариант: локалхост с которого ходят на удаленные сервера. В случае ключей (если они лежат в хомяке у юзера) достаточно получить доступ к этому локалхосту... С паролями, учитывая что они еще и разные, такое не прокатит.

Lavos ★★★★★ ()
Последнее исправление: Lavos (всего исправлений: 1)

бред сивой кобылы, sudo как раз позволяет гибко настроить права, во отличие от su

anonymous ()
Ответ на: комментарий от no-such-file

А почему бы тогда просто не ломануть иксы, ведь они работают от рута?

Иксы от рута только у криворуких работают. Тем не менее иксы позволяют перехватывать нажатия клавиш, а shell-ы позволяют подсунуть alias вместо sudo.

Таким образом, твой пароль может увести любая программа которую ты запустишь. Может даже не сама, а например через уязвимость. Например при открытии специального сформированного файла котики.jpg твоим любимым вьювером и не запертым в изолированный контейнер. Так, что я например не считаю ввод пароля из пользовательского сеанса безопасным.

surefire ★★★ ()
Ответ на: комментарий от Lavos

Или такой вариант: локалхост с которого ходят на удаленные сервера. В случае ключей (если они лежат в хомяке у юзера) достаточно получить доступ к этому локалхосту...

Ключи должны быть под паролем, пользоваться ключами нужно через агента. Агент расшифровывает ключи единожды например одновременно с pam авторизацией и далее никому их не даёт, а производит работы по шифр/дешифр самостоятельно. Таким образом кража ключей еще и не конец.

surefire ★★★ ()
Ответ на: комментарий от surefire

Тем не менее иксы позволяют перехватывать нажатия клавиш

Для этого тебе нужно зайти от имени пользователя, т.е. пароль юзера тебе уже известен.

Может даже не сама, а например через уязвимость

Повторю специально для тебя - есть есть уязвимость, то пароль не нужен.

Так, что я например не считаю ввод пароля из пользовательского сеанса безопасным

Отлично, значит su ещё опаснее, т.к. сразу позволит узнать пароль рута.

no-such-file ★★★★★ ()
Ответ на: комментарий от Lavos

чем же ключ безопаснее пароля

Тем что пароль можно подобрать. Только не рассказывай мне что ты запоминаешь все 100500 паролей вида a'cWznOAi1-932&^ от всех машин куда ты логинишься.

no-such-file ★★★★★ ()
Ответ на: комментарий от surefire

Иксы от рута только у криворуких работают. Тем не менее иксы позволяют перехватывать нажатия клавиш, а shell-ы позволяют подсунуть alias вместо sudo.

Давай подробности как удалось этого добиться в эту тему:
Rootless Xorg в Ubuntu

anonymous_sama ★★★★★ ()
Ответ на: комментарий от no-such-file

Для этого тебе нужно зайти от имени пользователя, т.е. пароль юзера тебе уже известен.
Повторю специально для тебя - есть есть уязвимость, то пароль не нужен.

Специально для тебя. Уязвимости бывают разного типа, например, которые позволяют прямо поднять привилегии как DirtyCOW или те которые выполняют произвольный код при обработке некоторых данных. Я говорю про второй тип. Ты открыл котиков. А они тебе подкинули alias sudo='fakesudo' в .bashrc, через час ты запускаешь sudo вводишь пароль, считая, что это безопасно, но это уже не так. И вот теперь да, пароль уже не нужен.

surefire ★★★ ()

Достаточно сложная программа с suid битом? Да, теоретически уменьшает.

Legioner ★★★★★ ()
Ответ на: комментарий от surefire

А они тебе подкинули alias sudo='fakesudo' в .bashrc, через час ты запускаешь sudo вводишь пароль, считая, что это безопасно, но это уже не так. И вот теперь да, пароль уже не нужен.

Ок, во-первых alias su='fakesu'. Дело в том, что если тебе НУЖНО запускать команды от рута, то su или sudo тебе необходимы. Само по себе использование sudo в таком сценарии ничем не подрывает безопасность.

Во-вторых, именно «те которые выполняют произвольный код при обработке некоторых данных» я и имел в виду. Зачем получать пароль , если можно сделать всё что нужно, от имени того, кого нужно и без пароля, взломав соответствующий сервис?

no-such-file ★★★★★ ()
Ответ на: комментарий от no-such-file

Само по себе использование sudo в таком сценарии ничем не подрывает безопасность.

Практически любое возможное повышение привилегий подрывает безопасность. Безопасно может быть только понижение.

Дело в том, что если тебе НУЖНО запускать команды от рута, то su или sudo тебе необходимы.

Не необходимы. Можно переключиться на другой VT, войти под пользователем с нужными привилегиями и выполнить необходимые действия. Но это не удобно, по этому все пользуются костылем под названием sudo.

surefire ★★★ ()
Ответ на: комментарий от Lavos

-A ssh -m recent --name ssh --update --seconds 60 --hitcount 5 -j DROP

Это правило нужно для того, чтобы случайно не залогиниться во время подбора пароля?

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Ага, для того, чтобы китайские хацкеры не логинились.

Lavos ★★★★★ ()
Ответ на: комментарий от anonymous

... и еще удалить на всякий случай...

зачем тогда сервер нужен, если sudo нельзя - вполне безобиден при грамотном конфигурировании

anonymous ()
Ответ на: комментарий от anonymous

Ну дело твоё. Я бы не стал оставлять лишнюю возможность получить рут с паролем от пользователя.

anonymous ()

Бгг

sudo bash
Пароль: 
eddy is not in the sudoers file.  This incident will be reported.

Нет у меня полноценного sudo и не будет, т.к. нафиг не нужно! Есть только частичное (т.к. линукс не умеет NTFS "из коробки" + чтобы комп вырубать):

ALL ALL=(ALL) NOPASSWD: /bin/ntfs-3g,/bin/mount,/bin/umount
eddy ALL=(ALL) NOPASSWD: /sbin/poweroff

А вместо sudo bash я считаю расово более верным su -, т.к. нужно вводить пароль рута, а не пользователя!

anonymous ()

У вас sudo позволяет использовать все-все команды как будто вы сидите от root? Тогда это то же самое что сидеть от root. Админа такого надо бить :)

Deleted ()

sudo не подрывает безопасность. Надо только его настроить под свои требования. У меня на домашнем компьютере помимо root, 3 пользователя и из них только я могу пользоваться sudo, да и то, ограничен разрешенный список команд.

anonymous ()
Ответ на: комментарий от anonymous_sama

как удалось этого добиться

Зачем добиваться, если это из коробки?

anonymous ()
Ответ на: комментарий от Lavos

нужно угадать пароли юзера и root, а в случае с sudo достаточно только пароля юзера.

хлопни сам себя ладошкой по лицу.

SevikL ★★★★★ ()

-A ssh -m recent --name ssh --update --seconds 60 --hitcount 5 -j DROP

Зачем этот странный многозвёздный регистрант стреляет себе в ногу? Тут же дети, они могут это скопировать... Аааа, вот в чём смысл!

Jameson ★★★ ()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от no-such-file

А почему бы тогда просто не ломануть иксы, ведь они работают от рута?

Не всегда же. А вот слушать клавиатуру (да и мышь) может любое окно. А при особом желании — ещё и притворяться клавиатурой и напрямую что-нибудь послать в sudo/su-консоль.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

А вот слушать клавиатуру (да и мышь) может любое окно

Любое окно пользователя. Т.е. ты уже залогинился пользователем и знаешь его пароль.

no-such-file ★★★★★ ()
Ответ на: комментарий от no-such-file

Только не рассказывай мне что ты запоминаешь все 100500 паролей вида a'cWznOAi1-932&^

Зачем 100500 ? А штуки три-четыре таких вполне можно. Плюс заманаешься подбирать, если там какой-нибудь fail2ban висит, или ipt_recent используется.

AS ★★★★★ ()
Ответ на: комментарий от no-such-file

Отличный способ для хакера забанить ssh для админа. IP spoofing, нет не слышал.

А ты видел ? Я - нет. Опять же, заманается угадывать, какой IP надо спуфить. Плюс смысл где ? Одно дело - пароль угадать, другое - помешать зайти когда-то. Ну пусть развлекутся, жалко что ли ?

Всё лучше, когда 100500 ботов у тебя пароли подбирают (пусть и бесполезно из-за ключа), ставя систему раком.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)

все давно перешли на doas sudo пора в на свалку

billygnosis ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.