LINUX.ORG.RU

Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

 , , , ,


0

0

Данный пакет программ написан Тоддом Миллером (Todd Miller) и спонсирован агенством перспективных оборонных исследований МО США (DARPA), а также - исследовательской лабораторией военно-воздушных сил (AFRL). Написан, чтобы разрешать и ограничивать выполнение некоторых программ и команд под UNIX/Linux, посредством программы sudo.

Программа sudo запрашивает пароль непривелигированного пользователя, запоминая его на определенное время, и выполняет команды, разрешенные в файле настроек / etc/sudoers. Файл настроек sudoers может быть задан в любом текстовом редакторе, либо исправлен посредством вызова отдельной программы visudo (из того же пакета, sudo). Программа sudo поддерживает печать регистрационных сообщений через систему Syslogd.

Пакет программ регулярно обновляется, среди последних изменений, начиная с апреля 2009 года по настоящее время: поддержка Quest Authentication Services (QAS), продукта компании Quest Software Inc. - средства управления правами пользователей UNIX/Linux из Active Directory. Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management" (см. ссылку к статье). Среди других продуктов компании Quest Software можно отметить всемирно известную утилиту TOAD, которую знает большинство тех, кто программировал под Oracle.

Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом. Так, что обман sudo-защиты может быть выполнен посредством запуска командного интерпретатора или другой универсальной программы из программ, допущенных к выполнению с правами привелигированного пользователя (sudo csh или sudo su).

Кроме написания программ, Тодд Миллер занимается и написанием книг, он - один из соавторов книги "UNIX: System Administration Handbook" (by Evi Nemeth, Garth Snyder, Scott Seebass, Trent R.Hein and others). Также, Миллер написал программу Mktemp, продолжает участвовать в разработке дистрибутива OpenBSD, пишет систему доставки сообщений (MTA) на заказ и занимается поддержкой свободного программного обеспечения (компания GratiSoft Inc., она же - Courtesan Consulting). Пожертвований на развитие проекта sudo от коммерческих организаций Тодд Миллер не принимает, но думает над поддержкой своего продукта sudo за деньги, с коей целью и создал компанию GratiSoft Inc.

Страница Тодда Миллера: http://www.courtesan.com/

Страница продукта Quest Authentication Services: http://www.quest.com/authentication-s...

Форум QAS (Vintela Authentication Services): http://vintela.inside.quest.com/categ...

>>> Страница проекта sudo

★★★★★

Проверено: boombick ()
Последнее исправление: Klymedy (всего исправлений: 1)

>sudo su

Часто использую, когда лень пасс вводить, а рута срочно надо.
Пойду под гентту чтоли соберу.

devl547 ★★★★★
()

>>Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом.

никогда не думал, что это недостаток юникс

>>Так, что обман sudo-защиты может быть выполнен посредством запуска командного интерпретатора или другой универсальной программы из программ, допущенных к выполнению с правами привелигированного пользователя (sudo csh или sudo su). 

какой ужас :)

sergej ★★★★★
()

между прочим, штатный разработчик OpenBSD ;)

val-amart ★★★★★
()

бить по рукам за такие новости. давайте ещё расскажем про su, раз упомянули, потом про каждого разработчика, что он писал, в чём учавствовал, раскрутим дальше цепь. по сути новости что? QAS? где описание, что это такое.

bobrik
()

>sudo su

Непонял где тут недостаток. Кто заставляет разрешать su или sh в /etc/sudoers?

Настоящая проблема - это запоминание пароля. Вредоносный скрипт может ожидать пока юзер воспользуется sudo и введёт свой пароль, после чего внедриться в систему. Поэтому на моей машине /etc/sudoers девственно чист. И я бы совсем удалил эту брешь, если бы не зависимости.

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

Гораздо страшнее скрипт, меняющий $PATH (например, через .bashrc) и подсовывающий юзеру свою версию sudo или su >_<

Поэтому у меня даже в юзерском хомяке
-rw-rw-r-- 1 root root 309 2009-04-28 19:09 .bashrc
-rw-r--r-- 1 root root 376 2008-01-28 20:39 .bash_profile

nnz ★★★★
()
Ответ на: комментарий от Jayrome

>Чем оно лучше su -c?

1. Не нужно заморачиваться с кавычками :)
2. Не требует знания рутового пароля.

На самом деле это очень эффективный инструмент для выдачи юзерам повышенных прав на _некоторые_ задачи. Почитайте ман.

А правильно ли делать через него все, по убунтовской моде - пожалуй, спорный вопрос.

Я, например, десктоп админю через sudo, а на серваках сразу после логина делаю su (ибо, в лучших традициях, рутовый логин по ssh запрещен).

nnz ★★★★
()

> Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management"

Ололо, реклама. One ring to rule them all, причем из винды. Должно быть наоборот.

mpak
()
Ответ на: комментарий от bobrik

Новость можно было урезать до двух предложений.
>поддержка Quest Authentication Services (QAS), продукта компании Quest Software Inc. - средства управления правами пользователей UNIX/Linux из Active Directory. Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management"


Правда, после этого она приобретает отчетливый душок г.нопиара.

nnz ★★★★
()

Чо бы только ни делали, лишь бы залатать анус Линуксу! Но на старом одеяле новые заплатки не держатся...

matumba ★★★★★
()

>непривелигированного
Слово происходит от "привелигии"?

>Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом.

Эээ, то есть эту особенность ЮНИКС лучше отключить? Ну чтобы недостатков у судо не было?

eugene2k
()

новость срочно к выпиливанию лобзиком. какая-то смесь дурного ликбеза и рекламы (пропиетарного?) продукта.

UlrichDrepper
()
Ответ на: комментарий от nnz

nnz, отвечаю тебе, как наиболее грамотному собеседнику, на мой взгляд.

1. Девиз продукта QAS приведен с целью напомнить про лозунг НСДАП: "Ein Volk, ein Reich, ein Fuhrer" ("Один Народ, одно Государство, один Вождь"). см. ru.wikipedia.org/wiki/Фюрер

2. Новость не дорабатываю, чтобы помочь новичкам разобраться - что к чему, и не создавать им ложных иллюзий "отрихтованной" новостью.

3. Из новости ясно видно - с чем сталкиваются обычные разработчики обычного свободного программного обеспечения. Как говорится, новое - это хорошо забытое старое.

У меня sudo практически не используется по историческим причинам, посмотрел его с целью запустить QEMU с поддержкой сети через сетевой интерфейс TUN, который настраивается скриптом с правами root'а (qemu -net tap,script=qemu-ifup.sh ...).

pacify ★★★★★
() автор топика
Ответ на: комментарий от devl547

У каждого - свои особенности настройки системы. :)

pacify ★★★★★
() автор топика
Ответ на: комментарий от nnz

про .login и .profile не в курсе? и про chsh?
на самом деле, организовать грамотную защиту от потенциальных червей весьма не просто, и всего не предусмотреть.

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

>про .login и .profile не в курсе?

Неа. Можно цитату из манов, где написано, что баш их использует?
(Других шеллов на компе не держу, ибо нефиг зоопарк устраивать.)

nnz ★★★★
()
Ответ на: комментарий от nnz

Возможно, он имел ввиду _потенциальную_ уязвимость, по причине забывчивости системного администратора, не создавшего .bash_profile или .bash_login:

man 1 bash

--noprofile

Do not read either the system-wide startup file /etc/profile or any of the personal
initialization files ~/.bash_profile, ~/.bash_login, or ~/.profile. By default,
bash reads these files when it is invoked as a login shell (see INVOCATION below).

....

When bash is invoked as an interactive login shell, or as a non-interactive shell with the
--login option, it first reads and executes commands from the file /etc/profile, if that
file exists. After reading that file, it looks for ~/.bash_profile, ~/.bash_login, and
~/.profile, in that order, and reads and executes commands from the first one that exists
and is readable. The --noprofile option may be used when the shell is started to inhibit
this behavior.

Либо, системного администратора, допустившего возможность запуска /bin/bash --login:

....

If bash is invoked with the name sh, it tries to mimic the startup behavior of historical
versions of sh as closely as possible, while conforming to the POSIX standard as well.
When invoked as an interactive login shell, or a non-interactive shell with the --login
option, it first attempts to read and execute commands from /etc/profile and ~/.profile,
in that order. The --noprofile option may be used to inhibit this behavior. When invoked
as an interactive shell with the name sh, bash looks for the variable ENV, expands its
value if it is defined, and uses the expanded value as the name of a file to read and exe■
cute. Since a shell invoked as sh does not attempt to read and execute commands from any
other startup files, the --rcfile option has no effect. A non-interactive shell invoked
with the name sh does not attempt to read any other startup files. When invoked as sh,
bash enters posix mode after the startup files are read.

pacify ★★★★★
() автор топика
Ответ на: комментарий от bobrik

> QAS

это технология "вас из дас", по-русски более известная как "кто-там". способна довести неавторизованного пользователя до обморока. теперь и в sudo.

GuttaLinux8
()
Ответ на: комментарий от GuttaLinux8

Имея некоторый опыт работы с системой PAM + LDAP и Samba + NSS + WINS + ADS, полагаю, что навара от "поддержки" 24x7 у компании Quest Software не меньше, чем у разработчиков программ, использующих LDAP.
* Sun Microsystems - OpenDS;
* Red Hat - Fedora Directory Server/389;
* Microsoft - Active Directory;
....

Более полный список LDAP-серверов, http://en.wikipedia.org/wiki/List_of_LDAP_software:
....
· Apache Directory Server
· Apple Open Directory
· CA Directory from CA, Inc. (formerly eTrust Directory)
· eB2Bcom View500
· 389 Directory Server (formerly Fedora/Red Hat Directory Server)
· IBM Tivoli Directory Server
· Mandriva Directory Server
· MXMS, from Atos Origin
· M-Vault, from Isode Limited
· Microsoft Active Directory
· Novell eDirectory
· OneLDAP An LDAP gateway to standard protocols like POP3 and IMAP.
· OpenDS
· OpenLDAP
· Openwave LDAP Directory Server
· Oracle Internet Directory
· Penrose - a Java-based Virtual Directory Server.
· Siemens DirX
· SIDVault
· Symlabs Virtual Directory Server a high performance C-based Virtual Directory Server.
· Sun Java System Directory Server
· tinyldap
· UnboundID Directory Server

Очень напоминает две стопки книг:
- первая - учебники и руководства по технологии J2EE; (Directory Service)
- вторая стопка - несколько книг по Ruby; (децентрализованное хранение реквизитов доступа);

pacify ★★★★★
() автор топика
Ответ на: комментарий от pacify

Я почему этот вопрос задал - обыскал весь ман по башу и не нашел слова '.login'. '.profile' искать не стал, а зря. Спасибо :)

nnz ★★★★
()

В тексте новости маловато примеров использования sudo, а параметры командной строки вообще не перечислены, автору незачёт.

sinister666 ★★
()
Ответ на: комментарий от nnz

Не за что - появилась возможность - подсказал. Поиск по man'у - прямая наклонная черта (слева от Shift'а).

Это моя третья где-то по счету подтвержденная новость. На необычные (нескучные) статьи (в том числе и новостные) часть читателей отвечает неконструктивно (см. предыдущего оратора), поскольку тон статьи не укладывается в картину их мировосприятия, и они пытаются вытеснить эти воспоминания с помощью агрессии. :) Обычно - на новости, связанные с безопасностью (самим по-себе внутренне противоречивым объектом) и на сообщения, связанные с государственным управлением (тут дело в эмоциональных переживаниях, заботе о "всеобщем благе", расходящимся с благом отдельных индивидов - меня, в частности). :)

pacify ★★★★★
() автор топика
Ответ на: комментарий от sid350

А мне RSS (по которому ты, я так понимаю, пришел сюда со своего сайта) не понравился. Кстати, сайт твой в текстовом режиме смотреть неудобно.

pacify ★★★★★
() автор топика
Ответ на: комментарий от pacify

спасибо за замечание, теперь текстовым и мобильным браузерам отдается другая версия.

sid350 ★★★★★
()
Ответ на: комментарий от pacify

>Поиск по man'у - прямая наклонная черта (слева от Shift'а).

Дожил. Старого вимщика учать работать в less :'(

nnz ★★★★
()

> sudo su

вот вы мне объясните, зачем делать это, если есть sudo -s или sudo bash... это ж на один процесс больше

zHACKa
()

>средства управления правами пользователей UNIX/Linux из Active Directory
НЕ ХОТЕТЬ
Не дай б-г чтобы мне понадобилась такая штука.

Nicko
()
Ответ на: комментарий от nnz

По твоему сайту я уже понял, что ты - программист. Ибо лениво писать на html. :)

pacify ★★★★★
() автор топика
Ответ на: комментарий от zHACKa

Может быть, в целях увеличения количества человеческих особей, производящих подобные программные продукты (su, sudo, bash)?

pacify ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.