Серьезная уязвимость в sudo <= 1.8.30

При всем моем уважении к Корице, Минту, и клону МакОси, эти системы ставят домохозяйки, которым тащемта плевать на всякие sudo. Им бы вообще лучше изначально под рутом сидеть, лол.

И уж понятно что ничего они и им переполнять не будут на десктопе.

Ну а если кто-то ставит Минты и ЕОСы на серверы … тогда главная уязвимость у них между монитором и креслом. И это я уже молчу за то что держать одновременно доступ лахов к шеллу, sudoers и SSH смотрящий в мир - даже мне виндузятнику кажется стремной идеей. Я нубас, но даже у меня к боевым сервакам SSH разрешен с одного единственного хоста (нет, не домашнего) и кастомеры с Cpanel’а доступ к шеллу не имеют. Это же базовая безопасность. Проще - лишь креды на стикере на мониторе.

я же получаю права другого пользователя.

Да. Нужно убрать саму возможность залогиниться под рутом. Все монтируем в ридонли, удаляем /bin/su и /usr/bin/sudo, меняем пароль рута на случайно сгенерированный, знаков в 256, последний раз вводим reboot и наслаждаемся.

с другой стороны, есть ли примеры эффективного использования sudo? ведь для чего-то же он создавался

Костыли всегда нужны

ведь для чего-то же он создавался

Он для того и создавался, чтобы пользователь не логинился под рутом через su. Чтобы в /etc/sudoers настроить, что может делать тот или иной пользователь не вводя пароля рута, через sudo. Другое дело, что как правило в домашних дистрибутивах там по-умолчанию прописано ALL для ALL.

Да. Нужно убрать саму возможность залогиниться под рутом. Все монтируем в ридонли, удаляем /bin/su и /usr/bin/sudo, меняем пароль рута на случайно сгенерированный, знаков в 256, последний раз вводим reboot и наслаждаемся.

Вы забыли добавить. Девайс положить в сейф, залить бетоном и скинуть в жерло действующего вулкана.

спасибо

вот и получается, что суждение о непраивльности практики использования sudo исходит из неправильных руководств, которых масса (где команды выполняются через sudo, причём любые команды, т.е. приводится пример, в котором изначально sudo неверно настроена).

т.е. всюду в гайдах sudo лишь упоминается как часть другой команды. по собственно sudo мало кто пишет.

каликакеров что-ли позвать?

Для тех кто включает подобное уязвимость в черепе нужно править.

А как же удобство? Когда ты не видишь, что вводишь, да еще не дай бог не все клавиши с первого нажатия отрабатывают, то это просто беда. Опять же сразу видно, что не сменил раскладку, русская выдает по две звездочки на символ.

Согласен.

И да, эта новость наводит дежавю.

плюсую про doas.

sudo - утилита с туевой хучей фич. Нафига её ставить, если просто не хочешь вводить лишний раз пароль рута? doas делает то же самое и прост как топор, там тупо нечему ломаться.

А чем он лучше того, что в убунте? Ну кроме тем оформления, но их легко поставить.

А как же удобство? Когда ты не видишь, что вводишь, да еще не дай бог не все клавиши с первого нажатия отрабатывают, то это просто беда. Опять же сразу видно, что не сменил раскладку, русская выдает по две звездочки на символ.

Второй раз введёшь не переломишься. Если ты от папкиного компа пароль запонить не можешь – это одно. Но если ты опытный пользователь Linux, то вбивать пароль от sudo – дело обычное. И запоминать там нечего. К тому же, если кто-то палит в твой экран, ты можешь использовать Backspae для введения в заблюждение. И, самое важно, если у тебя короткий пароль – это отличный стимул для брутфорса. Я ещё не говорю про уложнение утилиты безопасности.

Но если ты опытный пользователь Linux, то вбивать пароль от sudo – дело обычное.

Набирать пароль по 15 раз, чтобы он был корректным, это необычное дело – попробуй на клавиатуре старого ноутбука, когда нажатие клавиши «ловишь». Когда выскакивает астерикс, ты понимаешь, что наконец-то клавиша нажата.

И, самое важно, если у тебя короткий пароль – это отличный стимул для брутфорса.

Кто тебя будет брутфорсить на твоей никому ненужной домашней убунточке? Давай все-таки не перегибай. Или уточняй целевую систему.

Вот у меня pwfeedback включен, я его всегда включаю. Милости просим, можешь брутфорсить до посинения. Естественно я тебя к ноутбуку и клавиатуре не подпущу.

Набирать пароль по 15 раз, чтобы он был корректным, это необычное дело – попробуй на клавиатуре старого ноутбука, когда нажатие клавиши «ловишь». Когда выскакивает астерикс, ты понимаешь, что наконец-то клавиша нажата.

Не думаю, что sudo должно решать какие-то hardware проблемы. Точнее проблемы чьего-то нищебродства и никчёмности.

Кто тебя будет брутфорсить на твоей никому ненужной домашней убунточке? Давай все-таки не перегибай.

Если ты такой секюрный админ локалхоста, то используй sudo без пароля или короткий пароль. И не тогда тебе твои * не просто не нужны.

Не думаю

Когда чего-то утверждаешь, сначала подумай. А анонимус тебе правильно ответил.

с другой стороны, есть ли примеры эффективного использования sudo? ведь для чего-то же он создавался

Вполне. Всякие серверные GUI частенько через это работают. Вот например raspbian и причастные неплохо через это работает. Это работает когда тебе надо чтобы твои скрипты запускаемые под юзером могли читать\писать в системные разделы. Вот например php-fpm тебе не даст запуститься под рутом (даст но через жопу), а твой скрипт должен моргать ледами через echo 1 > /sys/class/led/bla-bla-bla/brightness. Через sudo это сделать проще.

Там по мелочи много удобного. Например, удаление программ прямо из меню «пуск», окраска в разные цвета папок в файловом менеджере и пр.
К примеру, в дебиане с корицей всё это не работает.

А помимо мелочей, что-то прямо серьезное есть? Я лично себе поставил убунту, накатил темы от Mint и мне очень нравится результат. Иногда подмывает попробовать, но лень останавливает.

Им бы вообще лучше изначально под рутом сидеть, лол

"Господи, чего не приснится ночью!"©

Серьезного нет, пожалуй. Но для меня мелочи имеют значение. Из них складывается чуть более удобная модель использования.

Попробуйте, хотя бы в виртуалке.

Когда чего-то утверждаешь, сначала подумай. А анонимус тебе правильно ответил.

Это что, солидарность среди нищебродов? Прикольно. Речь про sudo, а не чьи-то проблемы от собственной лени и никчёмности. Прошу не отклоняться.

РЕШЕТО!

Речь про sudo

Тебе правильно указали, что указывай целевую систему. Для домашней эта так называемая «уязвимость» не несет опасности. Выбирай слова, прежде чем показывать свою упо^Wдурость.

Вот это да, вот это решето.

При включенной опции pwfeedback в настройках sudo Linux Mint и Elementary OS

Все, что нужно знать про этих бракоделов. Даже убунтодевелоперы до этого не додумались. Здравомыслящий человек не будет ставить эти подделки на свой пк. Ведь su - хватит для всех.

Ведь su - хватит для всех.

Пока не найдут уязвимость, переполнение буфера и получение привилегий.

Тебе правильно указали, что указывай целевую систему. Для домашней эта так называемая «уязвимость» не несет опасности. Выбирай слова, прежде чем показывать свою упо^Wдурость.

Читай лучше, админ локалхоста.

Спорим, мы с тобой умрем, а подобные ошибки на переполнение ещё нет?

Да, если кровавую гэбню раздражать начнете.

Я бы на месте модераторов жестко перебанил всех написавших про боян и «зачем это постить спустя две недели/месяц». LOR стал бы намного адекватнее. Это не по правилам, но с тупостью всё же надо начинать бороться.