LINUX.ORG.RU

В OpenBSD появилась легковесная замена утилите sudo

 , , ,


1

5

В OpenBSD-current (будущий выпуск 5.8) появилась новая команда — doas(1), позволяющая выполнять команды от имени другого пользователя (в том числе и root). Она используется вместо сторонней утилиты Sudo, которая была удалена из базовой системы, но доступна в портах (таким образом, стало легче ее обновлять и с дополнительными опциями вроде поддержки LDAP собирать). Пример конфигурационного файла doas.conf(5):

permit keepenv user

>>> Подробности

★★★★★

Проверено: beastie ()
Ответ на: комментарий от Axon

Затем, что она позволяет гибко наделять пользователя привилегиями.

Гибко она позволяет только получать пользователю лишние привилегии или вообще творить под пользователем что угодно. Не предназначено большинство команд, которые засовывают в sudo, работать с sudo «безопасно».

mashina ★★★★★ ()

а sudo такая прям тяжеловесная

Zangezi ★★ ()

Отличная идея. Плюс 0.015 к непопсовости и небыдлячеству среди сидящих на чемоданах линуксоидов панически боящихся домохозяек.

Название не плохо подобрано. doas быстро запоминается.

anonymous ()

На мой взгляд причина появления данной утилиты, конечно, не в тяжеловесности sudo, а в том, что OpenBSD развивается в сторону становления единообразной самодостаточной системой без внешних зависимостей.

И это очень симпатично на фоне дистрибутивов Линукса, обмазывающихся обёртками (/etc/sysconfig и прочие) над десятками форматов конфигурационных файлов утилит из разных эпох для сомнительного удобства пользователя.

Достаточно сравнить конфиги { iptables, apache и exim } и { pf, httpd и opensmtpd }, чтобы почувствовать это. Плюс это позволяет более полно использовать возможности, уже присутствующие в других гарантированно имеющихся в системе утилитах (как пример spamd не пытается делать то, что уже может сделать pf).

Второй фактор — размер кодовой базы и трудозатраты на аудит обновлений в апстриме. sudo поддерживает огромное множество платформ, что не делает её код прозрачней.

Чтобы избавиться от этого фактора есть два пути: написать своё sudo, совместимое с традиционным, но это за собой потянет не самый удобный синтаксис конфигурационного файла, или выдумать для тех же целей, новую команду, которая бы имела традиционный для системы формат конфигурационного файла. В случае с sudo, второй путь выглядит очень даже заманчиво, в случае с openssl — вряд ли.

В каком-то смысле это движение назад, от переносимых распухших утилит в GNU-стиле, собирающихся из одного кода и в MS-DOS (поддержку которого таки уже выпиливают :) и в Solaris и в Linux, к компактным в плане кода, специфичным для ОС командам, что характерно скорее для собственнических ОС.

Строить вместо Вавилонской башни, свою личную и красивую — это утопично, но романтично. Я бы хотел пожелать успеха этим смельчакам и бунтарям.

Это мои личные фантазии, OpenBSD я почти не пользуюсь и за брожением идей в их стане не слежу. Реальные мотивы создания doas(1) могут быть совсем иными.

unterwulf ()
Ответ на: комментарий от nikolnik

что могут сэкономить 46 кб

Жаль, что существуют люди, выделяющие по 4 байта на переменную, где за глаза хватило бы и одного. А потом удивляемся, чего же браузеры и прочее так много жрут. Пописали бы они под МК... иной раз за каждый байт бороться приходилось.

Meyer ★★ ()
Ответ на: комментарий от Meyer

Жаль, что существуют люди, выделяющие по 4 байта на переменную, где за глаза хватило бы и одного.

А работа с этим одним байтом вместо четырёх может оказаться медленнее на большом компе.

Harald ★★★★★ ()

забавляет как такой nih никого не волнует, однако тут же начинают выть о nih относительно софта имеющего коренные отличия/киллерфичи

anonymous ()
Ответ на: комментарий от cherry-pick

наверное тебе нужно почитать про posix capabilities, posix acl

anonymous ()

Чё, новая прога весит на пять килобайт меньше судо? =))

cinyflo ★★★★ ()

Даешь замену sudo в каждом дистрибутиве линупса...на том стоим, за это боремся))

oblepiha_pie ()
Ответ на: комментарий от Meyer

Ну если ты совсем ничего не понимаешьв х86 архитектуре, то да, для тебя 4 байтная переменная в 4 раза эффективнее, чем 1 байтная.

anonymous ()
Ответ на: комментарий от mashina

А тебя волнует? Ну вот себе настраивай «безопасно», а другим не мешай. sudo позволяет «как хочешь».

BruteForce ★★ ()

Куда легче-то, для калькуляторов что-ли сделали?

HyperCOGENT ()
Ответ на: комментарий от HyperCOGENT

чтот мне кажется нынешние калькуляторы будут помощнее серверов в 70тых.

erzent ☆☆ ()

Прям какаято попоболь у всех началась.... А всегото выкинули программку со странным набором лицензий (включая (с) от вмвари ) и запилили свою с нормальной лицензией

WindowsXP ★★ ()

лучше бы плеер запилили.

splinter ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Только вот UAC не заюзать в скриптах и не перехватить ввод с паролем в отличие от sudo, поэтому UAC безопасней.

Reset ★★★★★ ()
Ответ на: комментарий от cherry-pick

И вообще, лучше бы нормальный RBAC, как в Solaris или Windows запилили бы, а не подпирали бы эту ужасную плоскую модель доступа родом из 70х.

Чаю сэру, судо лютый костыль.

EvgGad_303 ★★★★★ ()
Ответ на: комментарий от Axon

Во-первых, в конфигурации по умолчанию пользователю не нужно знать рутовый пароль, только свой

Взломали твой пароль «12345» со стикера на мониторе, зашли в систему и превед рут. RBAC решает.

EvgGad_303 ★★★★★ ()
Ответ на: комментарий от EvgGad_303

в винде несколько скрытых и недоступных пользователей, куча говна с дырами для самого майкрософта.

erzent ☆☆ ()
Ответ на: комментарий от BruteForce

А тебя волнует? Ну вот себе настраивай «безопасно», а другим не мешай. sudo позволяет «как хочешь».

Если другие будут делать это на своих локалхостах, то мне пичали до этого нет. А так да, волнует, подобные же дилетанты с относительно большой вероятностью встречаются в местах где работают с персональными данных людей.

mashina ★★★★★ ()
Ответ на: комментарий от EvgGad_303

Взломали твой пароль «12345» со стикера на мониторе, зашли в систему и превед рут.

Если пароли выглядят как 12345 и написаны на стикерах, то никакое разделение прав не спасёт.

Axon ★★★★★ ()
Ответ на: комментарий от Harald

может оказаться медленнее

что-то мне подсказывает, что в 99% оно будет медленнее на x86

FIL ★★★★ ()

Вот на что Microsoft'овские деньги ушли...

FIL ★★★★ ()
Ответ на: комментарий от FIL

а ты уверен, что он им их вообще даёт? сейчас от sles копитов в ядро 0.

erzent ☆☆ ()
Ответ на: комментарий от erzent

Недавно новость была, что мелкософт в топе доната.

FIL ★★★★ ()

в палату мер и весов

как эталон NIH-синдрома.

Lincor ()

Коментарии просто кишат мамкиными специалистами которые разбираются в данном вопросе лучше чем разработчики OpenBSD.

Просто абсурд какой то...

snaf ★★★★★ ()
Последнее исправление: snaf (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

top 500

BSD - 0 (0), 0%

Ну да, фанаты арчика считают, что там[top500] такой же линукс как и на их локалхостике крутится и вообще, все успехи линукса — исключительна их заслуга, ведь ОНИ им пользуются!!1 =)

anonymous ()
Ответ на: комментарий от snaf

Коментарии просто кишат специалистами которые, разбираются в данном вопросе лучше чем разработчики OpenBSD.

fixed

Мсье, мне кажется, вы забываетесь!
ЭТО ЛОР — обитель мудрости и знаний всего и вся! Тут, и только тут (ну, возможно еще на опеннете) вас проконсультируют по любому вопросу и выскажут вам свое ценное мнение (даже если вы не хотите его знать) основаное на собственной «теории всего, с высоты хорошей мягкой мебели!»!
Ведь только тут каждый второй — правая рука (и неофициальный заместитель) Линуса, на выходных беседующий и консультирующий Кнута насчет алгоритмов, Страуструпа по поводу дальнейшего развития плюсов, Бернштейна и Шнайера насчет безопасности шифровальных алгоритмов.
Так что сударь, попрошу побольше уважения к многочисленным потомкам Великого Гасконца!

anonymous ()
Ответ на: комментарий от mashina

Если тебя так заботят твои персональные данные — доверяй их только проверенным.

BruteForce ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.