LINUX.ORG.RU

Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

 , , , ,


0

0

Данный пакет программ написан Тоддом Миллером (Todd Miller) и спонсирован агенством перспективных оборонных исследований МО США (DARPA), а также - исследовательской лабораторией военно-воздушных сил (AFRL). Написан, чтобы разрешать и ограничивать выполнение некоторых программ и команд под UNIX/Linux, посредством программы sudo.

Программа sudo запрашивает пароль непривелигированного пользователя, запоминая его на определенное время, и выполняет команды, разрешенные в файле настроек / etc/sudoers. Файл настроек sudoers может быть задан в любом текстовом редакторе, либо исправлен посредством вызова отдельной программы visudo (из того же пакета, sudo). Программа sudo поддерживает печать регистрационных сообщений через систему Syslogd.

Пакет программ регулярно обновляется, среди последних изменений, начиная с апреля 2009 года по настоящее время: поддержка Quest Authentication Services (QAS), продукта компании Quest Software Inc. - средства управления правами пользователей UNIX/Linux из Active Directory. Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management" (см. ссылку к статье). Среди других продуктов компании Quest Software можно отметить всемирно известную утилиту TOAD, которую знает большинство тех, кто программировал под Oracle.

Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом. Так, что обман sudo-защиты может быть выполнен посредством запуска командного интерпретатора или другой универсальной программы из программ, допущенных к выполнению с правами привелигированного пользователя (sudo csh или sudo su).

Кроме написания программ, Тодд Миллер занимается и написанием книг, он - один из соавторов книги "UNIX: System Administration Handbook" (by Evi Nemeth, Garth Snyder, Scott Seebass, Trent R.Hein and others). Также, Миллер написал программу Mktemp, продолжает участвовать в разработке дистрибутива OpenBSD, пишет систему доставки сообщений (MTA) на заказ и занимается поддержкой свободного программного обеспечения (компания GratiSoft Inc., она же - Courtesan Consulting). Пожертвований на развитие проекта sudo от коммерческих организаций Тодд Миллер не принимает, но думает над поддержкой своего продукта sudo за деньги, с коей целью и создал компанию GratiSoft Inc.

Страница Тодда Миллера: http://www.courtesan.com/

Страница продукта Quest Authentication Services: http://www.quest.com/authentication-s...

Форум QAS (Vintela Authentication Services): http://vintela.inside.quest.com/categ...

>>> Страница проекта sudo

★★★★★

Проверено: boombick ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>sudo su

Часто использую, когда лень пасс вводить, а рута срочно надо.
Пойду под гентту чтоли соберу.

devl547 ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>>Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом.

никогда не думал, что это недостаток юникс

>>Так, что обман sudo-защиты может быть выполнен посредством запуска командного интерпретатора или другой универсальной программы из программ, допущенных к выполнению с правами привелигированного пользователя (sudo csh или sudo su). 

какой ужас :)

sergej ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

между прочим, штатный разработчик OpenBSD ;)

val-amart ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

бить по рукам за такие новости. давайте ещё расскажем про su, раз упомянули, потом про каждого разработчика, что он писал, в чём учавствовал, раскрутим дальше цепь. по сути новости что? QAS? где описание, что это такое.

bobrik ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>sudo su

Непонял где тут недостаток. Кто заставляет разрешать su или sh в /etc/sudoers?

Настоящая проблема - это запоминание пароля. Вредоносный скрипт может ожидать пока юзер воспользуется sudo и введёт свой пароль, после чего внедриться в систему. Поэтому на моей машине /etc/sudoers девственно чист. И я бы совсем удалил эту брешь, если бы не зависимости.

legolegs ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

В моей системе его нет и не надо. Чем оно лучше su -c?

Jayrome ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Гораздо страшнее скрипт, меняющий $PATH (например, через .bashrc) и подсовывающий юзеру свою версию sudo или su >_<

Поэтому у меня даже в юзерском хомяке
-rw-rw-r-- 1 root root 309 2009-04-28 19:09 .bashrc
-rw-r--r-- 1 root root 376 2008-01-28 20:39 .bash_profile

nnz ★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>Чем оно лучше su -c?

1. Не нужно заморачиваться с кавычками :)
2. Не требует знания рутового пароля.

На самом деле это очень эффективный инструмент для выдачи юзерам повышенных прав на _некоторые_ задачи. Почитайте ман.

А правильно ли делать через него все, по убунтовской моде - пожалуй, спорный вопрос.

Я, например, десктоп админю через sudo, а на серваках сразу после логина делаю su (ибо, в лучших традициях, рутовый логин по ssh запрещен).

nnz ★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

> Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management"

Ололо, реклама. One ring to rule them all, причем из винды. Должно быть наоборот.

mpak ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Новость можно было урезать до двух предложений.
>поддержка Quest Authentication Services (QAS), продукта компании Quest Software Inc. - средства управления правами пользователей UNIX/Linux из Active Directory. Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management"


Правда, после этого она приобретает отчетливый душок г.нопиара.

nnz ★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Чо бы только ни делали, лишь бы залатать анус Линуксу! Но на старом одеяле новые заплатки не держатся...

matumba ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>непривелигированного
Слово происходит от "привелигии"?

>Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом.

Эээ, то есть эту особенность ЮНИКС лучше отключить? Ну чтобы недостатков у судо не было?

eugene2k ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

новость срочно к выпиливанию лобзиком. какая-то смесь дурного ликбеза и рекламы (пропиетарного?) продукта.

UlrichDrepper ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

nnz, отвечаю тебе, как наиболее грамотному собеседнику, на мой взгляд.

1. Девиз продукта QAS приведен с целью напомнить про лозунг НСДАП: "Ein Volk, ein Reich, ein Fuhrer" ("Один Народ, одно Государство, один Вождь"). см. ru.wikipedia.org/wiki/Фюрер

2. Новость не дорабатываю, чтобы помочь новичкам разобраться - что к чему, и не создавать им ложных иллюзий "отрихтованной" новостью.

3. Из новости ясно видно - с чем сталкиваются обычные разработчики обычного свободного программного обеспечения. Как говорится, новое - это хорошо забытое старое.

У меня sudo практически не используется по историческим причинам, посмотрел его с целью запустить QEMU с поддержкой сети через сетевой интерфейс TUN, который настраивается скриптом с правами root'а (qemu -net tap,script=qemu-ifup.sh ...).

pacify ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

про .login и .profile не в курсе? и про chsh?
на самом деле, организовать грамотную защиту от потенциальных червей весьма не просто, и всего не предусмотреть.

val-amart ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>про .login и .profile не в курсе?

Неа. Можно цитату из манов, где написано, что баш их использует?
(Других шеллов на компе не держу, ибо нефиг зоопарк устраивать.)

nnz ★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Возможно, он имел ввиду _потенциальную_ уязвимость, по причине забывчивости системного администратора, не создавшего .bash_profile или .bash_login:

man 1 bash

--noprofile

Do not read either the system-wide startup file /etc/profile or any of the personal
initialization files ~/.bash_profile, ~/.bash_login, or ~/.profile. By default,
bash reads these files when it is invoked as a login shell (see INVOCATION below).

....

When bash is invoked as an interactive login shell, or as a non-interactive shell with the
--login option, it first reads and executes commands from the file /etc/profile, if that
file exists. After reading that file, it looks for ~/.bash_profile, ~/.bash_login, and
~/.profile, in that order, and reads and executes commands from the first one that exists
and is readable. The --noprofile option may be used when the shell is started to inhibit
this behavior.

Либо, системного администратора, допустившего возможность запуска /bin/bash --login:

....

If bash is invoked with the name sh, it tries to mimic the startup behavior of historical
versions of sh as closely as possible, while conforming to the POSIX standard as well.
When invoked as an interactive login shell, or a non-interactive shell with the --login
option, it first attempts to read and execute commands from /etc/profile and ~/.profile,
in that order. The --noprofile option may be used to inhibit this behavior. When invoked
as an interactive shell with the name sh, bash looks for the variable ENV, expands its
value if it is defined, and uses the expanded value as the name of a file to read and exe■
cute. Since a shell invoked as sh does not attempt to read and execute commands from any
other startup files, the --rcfile option has no effect. A non-interactive shell invoked
with the name sh does not attempt to read any other startup files. When invoked as sh,
bash enters posix mode after the startup files are read.

pacify ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

> QAS

это технология "вас из дас", по-русски более известная как "кто-там". способна довести неавторизованного пользователя до обморока. теперь и в sudo.

GuttaLinux8 ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Имея некоторый опыт работы с системой PAM + LDAP и Samba + NSS + WINS + ADS, полагаю, что навара от "поддержки" 24x7 у компании Quest Software не меньше, чем у разработчиков программ, использующих LDAP.
* Sun Microsystems - OpenDS;
* Red Hat - Fedora Directory Server/389;
* Microsoft - Active Directory;
....

Более полный список LDAP-серверов, http://en.wikipedia.org/wiki/List_of_LDAP_software:
....
· Apache Directory Server
· Apple Open Directory
· CA Directory from CA, Inc. (formerly eTrust Directory)
· eB2Bcom View500
· 389 Directory Server (formerly Fedora/Red Hat Directory Server)
· IBM Tivoli Directory Server
· Mandriva Directory Server
· MXMS, from Atos Origin
· M-Vault, from Isode Limited
· Microsoft Active Directory
· Novell eDirectory
· OneLDAP An LDAP gateway to standard protocols like POP3 and IMAP.
· OpenDS
· OpenLDAP
· Openwave LDAP Directory Server
· Oracle Internet Directory
· Penrose - a Java-based Virtual Directory Server.
· Siemens DirX
· SIDVault
· Symlabs Virtual Directory Server a high performance C-based Virtual Directory Server.
· Sun Java System Directory Server
· tinyldap
· UnboundID Directory Server

Очень напоминает две стопки книг:
- первая - учебники и руководства по технологии J2EE; (Directory Service)
- вторая стопка - несколько книг по Ruby; (децентрализованное хранение реквизитов доступа);

pacify ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Я почему этот вопрос задал - обыскал весь ман по башу и не нашел слова '.login'. '.profile' искать не стал, а зря. Спасибо :)

nnz ★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

В тексте новости маловато примеров использования sudo, а параметры командной строки вообще не перечислены, автору незачёт.

sinister666 ★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Не за что - появилась возможность - подсказал. Поиск по man'у - прямая наклонная черта (слева от Shift'а).

Это моя третья где-то по счету подтвержденная новость. На необычные (нескучные) статьи (в том числе и новостные) часть читателей отвечает неконструктивно (см. предыдущего оратора), поскольку тон статьи не укладывается в картину их мировосприятия, и они пытаются вытеснить эти воспоминания с помощью агрессии. :) Обычно - на новости, связанные с безопасностью (самим по-себе внутренне противоречивым объектом) и на сообщения, связанные с государственным управлением (тут дело в эмоциональных переживаниях, заботе о "всеобщем благе", расходящимся с благом отдельных индивидов - меня, в частности). :)

pacify ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Hksdh/Tsdfagh Knehdnchakd Bfjshavfs, UHG/LOD

fixed, смысл заголовка не поменялся.

sid350 ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Hksdh/Tsdfagh Knehdnchakd Bfjshavfs, UHG/LOD

А мне RSS (по которому ты, я так понимаю, пришел сюда со своего сайта) не понравился. Кстати, сайт твой в текстовом режиме смотреть неудобно.

pacify ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Hksdh/Tsdfagh Knehdnchakd Bfjshavfs, UHG/LOD

спасибо за замечание, теперь текстовым и мобильным браузерам отдается другая версия.

sid350 ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>Поиск по man'у - прямая наклонная черта (слева от Shift'а).

Дожил. Старого вимщика учать работать в less :'(

nnz ★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

> sudo su

вот вы мне объясните, зачем делать это, если есть sudo -s или sudo bash... это ж на один процесс больше

zHACKa ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>средства управления правами пользователей UNIX/Linux из Active Directory
НЕ ХОТЕТЬ
Не дай б-г чтобы мне понадобилась такая штука.

Nicko ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

По твоему сайту я уже понял, что ты - программист. Ибо лениво писать на html. :)

pacify ★★★★★ ()

Re: Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

Может быть, в целях увеличения количества человеческих особей, производящих подобные программные продукты (su, sudo, bash)?

pacify ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.