04.02.2010 11:34

derfenix[Зафлужено]Sudo — большая дыра в безопасности

Многие считают, что если для sudo не установлен NOPASSWD, то и угрозы для безопасности он не представляет.Но такие люди забывают, что sudo требует пароль лишь когда им не пользуешься какое-то время. И этим можно воспользоваться очень легко. Например, запустили вы по каким-то причинам левую программу, она засела в виде демона и тюкает sudo каждые 2-3 минуты. Потом вы воспользовались sudo, ввели свой пароль, и всё, вирус тоже получает рута через sudo и ему не нужны ни ваш пароль, ни NOPASSWD.
Отсюда вопрос, можно ли как-то это исправить, без SELinux и прочих приблуд?


Тэги:
+ 0 -
Похожие Поделиться

Shtsh 04.02.2010 11:38 #
она засела в виде демона и тюкает sudo каждые 2-3 минуты

Зачем программе, у которой итак рутовские права, тюкать судо? Зачем вообще программам трогать его?
derfenix 04.02.2010 11:39 #
так в том и дело, что нет у неё ещё рутовских прав. Запущена она юзером и от его прав. И так, тыкая судо она тихо и не палясь получит права рута рано или поздно...
derfenix 04.02.2010 11:40 #
* с его правами
Shtsh 04.02.2010 11:43 #
Я всю жизнь думал, что демоны запускаются итак от рута, а потом, если им нужно, то они делают su на имя какой-нибудь учетной записи.
И какого черта в демонах находятся какие-то левые программы?
derfenix 04.02.2010 11:46 #
Так это ты про легальные, которые нужно опять же из-под рута устанавливать. а я говорю про "вирус", который запустил доверчивый/неаккуратный/глупый юзер. Прям как в винде, скачал чего-то запустил, потыкал, закрыл. А на деле эта программа после запуска, запускает ещё одну свою копию, в режиме "демона" и ждёт, пока юзеру понадобится судо.
Shtsh 04.02.2010 11:49 #
Извините, но от вируса "пользователь", который запускает всё подряд, а потом еще и вводит пароль не спасёт ничего.
Только вот не должно быть у такого пользователя прав на неограниченное использование sudo. В таких случаях можно сказать, что админ - идиот.
booley 04.02.2010 11:56 #
Люто, бешенно плюсую!
На Хабре как-то было обсуждение про вирусы в Linux, в папке юзера.

Может кто кинет ссылку?
derfenix 04.02.2010 12:02 #
Ну при чём здесь админ? Ты не абстрактно смотри на ситуацию, а реально.
Вот перелез юзер на линукс, по совету или сам додумался. Пока он поймёт что и как тут можно - много времени пройдёт. Вся эта безопасность для него на 10 месте. И никакой безопасности для него нет, потому что судо изначально позволяет любой левой программе получить рута.
можно сколько угодно рассуждать о вине юзеров, но сути дела это не отменяет. Почему бы просто не отключить по умолчанию "запоминание" пароля судо? Тогда действительно сам юзер будет виноват, что запустил вирус от рута. А когда он просто запустил программу, а потом просто воспользовался судо и это привело к заражению системы - это уже большей частью дыра в безопасности системы, а не в голове юзера.
predator 04.02.2010 12:04 #
Почему бы просто не отключить по умолчанию "запоминание" пароля судо?

каждый раз вводить заного пароль тоже неудобно
derfenix 04.02.2010 12:07 #
ну уж удобней, чем копаться в исходниках каждой программы, которую хочешь запустить или чистить потом систему от вируса %) кроме того, кому надо - дать им возможность включить "запоминание". это же вообще элементарно делается. за пару минут могу написать скрипт, который будет включать и выключать это дело.
predator 04.02.2010 12:10 #
если юзеру вздумается запустить что-то, никакое отключение запоминания пароля в sudo не спасет систему.
PS: мне вообще sudo не нравится. использую su -
booley 04.02.2010 12:07 #
Не стоит всякие сомнительные программы запускать, а стоит юзать репы, где проверенный софт.

Другой вариант, что запущенный скрипт, даже с правами пользователя, сможет сделать:
mkdir ~/.bin
cp hackscript ~/.bin/sudo #(или любая другая команда)
chmod +x ~/.bin/sudo
$PATH=~/.bin/:$PATH #за эту строку не уверен

Вот такие дела.
derfenix 04.02.2010 12:11 #
это тоже "дыра", хотя и лечится легче, обычным алиасом alias sudo="/usr/bin/sudo", не страшна тебе такая подмена..
booley 04.02.2010 12:14 #
Вместо подмены sudo скрипт может легко нагадить в /home
Например, сделать rm -rf /home/$USER/
s2h 04.02.2010 17:32 #
а вирус опять меняет назад алиас и что?

во первых нужно запустить вирус, а это не просто, т.к. с репов не подцепишь, а остальные как демоны не запустятся без прав никада

и второе он судо может тюкать скока угодно, т.к. судо дает пароль на время тока твоему терминалу, а другие начинают новую сессию
predator 04.02.2010 12:11 #
выходить в *nix не такая уж и идеальная система безопасности
booley 04.02.2010 12:15 #
Конечно, можно упасть с крыльца и шею сломать.
(с) С. Волков
predator 04.02.2010 12:16 #
и в стакане захлебнуться
chemikadze 05.02.2010 00:40 #
Напомнило
DileSoft: У команды UPDATE есть одна серьезная дизайнерская ошибка. Если скомандовать UPDATE table SET field=value, изменятся все строки в таблице table. Чтобы изменились не все, следует добавить WHERE. Это провоцирует серьезные проблемы, когда, забыв о WHERE, можно порушить огромное количество данных.

urandom: У дверей есть серьезная дизайнерская ошибка. Если прищемить яйца дверью, то яйца отвалятся.

(c) http://ibash.org.ru/quote.php?id=11670
booley 05.02.2010 00:43 #
Ололо, в этом треде есть еще и живой urandom :)
Shtsh 04.02.2010 12:16 #
1. Идеальной системы безопасности не может быть
2. Чем ближе безопасность к идеальной, тем хуже работать в системе

Это как в старой шутке
- Как уберечься от СПИДа?
- Нужно надеть презерватив
<блаблабла, опущена большая часть>
И самое главное - никаких половых контактов!
Craftuser 04.02.2010 13:15 #
а стоит юзать репы, где проверенный софт.

Более менее доверять можно только официальным репозиториям "коммерческих дистрибутивов" (Ubuntu, Mandriva и т.д.), все остальные серверы как правило поддерживаются сообществом и доверия им нет.
Не стоит всякие сомнительные программы запускать

Я сайтом не ошибся, это welinux или wewindows?:)
booley 04.02.2010 14:26 #
WeFlooders.ru
chemikadze 05.02.2010 00:45 #
Ты по-осторожнее, напридумывал проектов, а тут eslibolitgorlo.ru до сих пор от welinux ничем кроме базы не отличается, народ за**тся все это разворачивать.
booley 05.02.2010 00:50 #
http://eslibolitgorlo.ru/all/act - посмеялся :)
И да, это не я, Craftuser первым начал!
chemikadze 05.02.2010 00:57 #
О_о я замечал только в уведомлениях
chemikadze 05.02.2010 00:57 #
Угу, про webassplayers тоже не ты предлагал?
booley 05.02.2010 01:15 #
Что-то заглючило, прочитал адрес как web ass players.ru
Спать пора, уже четыре утра :)
chemikadze 05.02.2010 01:21 #
Внезапно в тред врывается Зигмунд Фрейд и рассказывает лекцию об оговорках.
// У меня час ночи
Aesdana 05.02.2010 05:58 #
Пол шестого. Читаю как web ass players. Думаю. Перечитываю. Ещё раз перечитываю. Читаю твой комментарий. Ещё несколько раз перечитываю и много думаю.
Shtsh 04.02.2010 12:11 #
Если отключить запоминание пароля, произойдёт та же фигня, то и с UAC в висте - его просто отключали, ибо занадоел
Только как раз таки тут ситуация нереальная. Программы ставятся с оффициального репозитория. То есть, чтобы запустить что-то левое нужно
1. найти
2. скачать
3. дать права на выполнение (ну, или скомпилировать, если в исходниках)
Решение было недавно в похожей теме. Монтировать хомяк с параметром noexec

Вывод - параноя
predator 04.02.2010 12:14 #
спасибо за noexec, а что делать если все стоит на одном разделе?
derfenix 04.02.2010 12:17 #
а если всё на одном разделе, то юзер дурак и не должен пользоваться линукс. из-за таких вот линукс и не будет самой безопасной системой. гнать их от линукса! %))
booley 04.02.2010 12:19 #
Не надо тут!
Учить нужно.
derfenix 04.02.2010 12:20 #
всех сразу не научишь.
Shtsh 04.02.2010 12:26 #
Ну так и под виндой нужно учить. Учить нужно везде.
Уж прости, но тут, как говорится "Се ля ви"
derfenix 04.02.2010 12:28 #
так я не говорю, что не надо учить. Я говорю о том, что такие элементарные-то дыры уж можно прикрывать. причём это же делается легко.
booley 04.02.2010 12:40 #
В выборе между удобством и безопасностью пока лидирует удобство.
Я про десктопы.
И deb-based. :)
booley 04.02.2010 12:41 #
Отчего ж?
Краткий гайд по безопасности встроить в систему и показывать при первом запуске.
И пора развеивать миф "Linux безопасен как Форт-Нокс".

Чем больше хомячков в Linux, тем больше дыр в Linux.
derfenix 04.02.2010 12:14 #
И часто в лине нужен судо обычному пользователю? вон, моя девушка в убунте всего два раза вводила пароль для судо за последний месяц, для установки программ из репа. а в висте его на каждый чих спрашивали...

и много ты видел юзеров, которые с опциями монтирования начинали разбираться сразу?

параноя - может быть. но как я уже и говорил, сути не меняет.
booley 04.02.2010 12:17 #
1. найти
2. скачать
3. дать права на выполнение (ну, или скомпилировать, если в исходниках)

Пока вирусы в Linux распространяются путем "Вирус? Дай посмотреть!" :)

tar архивирует с правами, т.е. права на выполнения уже могут быть.
Плюс, еще можно разархивировать в /tmp.
Монтирование с noexec - хороший выход.

Но элементарную осторожность это не отменяет :)
ner_uto 04.02.2010 12:58 #
олько как раз таки тут ситуация нереальная. Программы ставятся с оффициального репозитория. То есть, чтобы запустить что-то левое нужно

"Борис, ты не прав"(с) :) Не все далеко программы ставятся из репозиториев. А часть репозиториев может находиться на сторонних сервисах... Тот же deb.opera.com. Кто мешает создать сайт с заманчивым описанием и создать репозиторий. Хотя можно просто выложить прекомпилированные пакеты.
Jazz 04.02.2010 13:37 #
а я говорю про "вирус", который запустил доверчивый/неаккуратный/глупый юзер

Ну и нафига такому вирусу sudo? Он напишет юзеру "для запуска нужны рутовые права" и всё :)
derfenix 04.02.2010 14:12 #
Для особо одарённых: Если юзер сам разрешит запуск программы с правами рута - это одно, если программа запустится с правами рута без ведома юзера - это совсем другое.
booley 04.02.2010 11:45 #
Ключ -k к команде sudo поможет вам.
derfenix 04.02.2010 11:51 #
вариант. спасибо!
HTaeD 04.02.2010 11:47 #
Что мешает прописать в /etc/sudoers что-нибудь, типа
Defaults env_reset,timestamp_timeout=60

/*параноя же, не?*/
HTaeD 04.02.2010 11:49 #
/*timeout в минутах*/
derfenix 04.02.2010 11:49 #
Параноя или нет - не суть важно :) суть в самом наличии такой простой дыры в дефолтных конфигурациях практически всех современных дистров.
HTaeD 04.02.2010 11:51 #
Как по мне, это не дыра, а фича
derfenix 04.02.2010 11:54 #
ну может и фича, но уж очень опасная. по сути сводит на нет саму суть этого sudo. какой смысл в нём, если можно так легко получить права рута?
booley 04.02.2010 12:03 #
Грамотно настраивать надо.

Это ж известная дилемма - выбор между удобством и безопасностью.
Можно легко настроить sudo лишь на некоторые команды.
HTaeD 04.02.2010 12:36 #
Ну тогда поставьте значения этих переменных 0.1. sudo будет помнить пароль десять секунд. И в течении десяти секунд после использования sudo, не запускаёте ничего нового/подозрительного.
booley 04.02.2010 12:39 #
А если установить значение в 0, что будет?
derfenix 04.02.2010 12:43 #
лучше не париться и юзать sudo -k, как посоветовал booley
booley 04.02.2010 12:44 #
Это и есть я :)
derfenix 04.02.2010 12:44 #
туплю =) сорри %))
derfenix 04.02.2010 12:40 #
лучше сделать так:

mv /usr/bin/sudo /usr/bin/sudo.bin
echo '#!/bin/sh
/usr/bin/sudo.bin -k' > /usr/bin/sudo
derfenix 04.02.2010 12:41 #
забыл

chmod a+x /usr/bin/sudo
Jazz 04.02.2010 13:49 #
alias sudo="sudo -k"
derfenix 04.02.2010 13:52 #
так тоже можно, но это не универсально... хотя, каждый сам для себя решает, как ему проще.
booley 04.02.2010 12:43 #
Вот вам живой пример, какой флуд могут развести всего пять welinux'оидов.
Shtsh 04.02.2010 12:46 #
А ещё не приходили такие гранды, как Username :) Так что всё ещё впереди! :)
booley 04.02.2010 14:27 #
Готовлю попкорн :)
predator 04.02.2010 12:48 #
с каких пор проблемы безопасности - флуд? =)
derfenix 04.02.2010 13:04 #
Видимо с тех самых, с которых "элита" вилинукса не считает такие проблемы проблемами %)
predator 04.02.2010 13:09 #
no good ...
Jazz 04.02.2010 13:41 #
А с каких пор subj - проблема безопасности? Давайте ещё назовём проблемой безопасности то, что в стандартный пакет Linux-дистрибутивов не входит антивируса и личной команды специалистов по поиску вредоносного кода.
predator 04.02.2010 13:44 #
как вам будет угодно
derfenix 04.02.2010 13:45 #
Отсутствие антивируса не позволить вирусу заполучить права рута парой строчек команд на баше...
Jazz 04.02.2010 13:53 #
Как и его наличие

К тому же, если пользователь любит запускать что попало, что мешает вместо sudo подсунуть ему keylogger?
derfenix 04.02.2010 13:59 #
эта возможность быстро пресекается alias sudo="/usr/bin/sudo"
Jazz 04.02.2010 14:05 #
Это возможность быстро восстанавливается alias sudo="./sudohax"

Вы пишете в рамках предыдущего поста, забыв про всю тему? Развели несколько страниц флуда — мол, какая это большая и страшная дыра. Будем обсуждать каждый набор вредоносных команд, который может запустить пользователь?
derfenix 04.02.2010 14:07 #
То, что есть и другие возможности захвата системы, не значит, что нужно наплевать на эти.
не нравится тема - обойди стороной, тебя никто не заставляет её обсуждать и даже читать.
booley 04.02.2010 14:27 #
На велинуксе есть элита?
Что-то я опять все пропустил, может кто-нибудь введет меня в курс дела?
derfenix 04.02.2010 14:30 #
Ну как же... Правая колонка главной, ниже облака тэгов и лучших блогов %)) ты немного не дотягиваешь до элиты %)
booley 04.02.2010 15:43 #
Ох ты, точно. Раньше звался ТОП :)
Username 04.02.2010 17:16 #
лол, реквестирую название раздела "~V~I~P~"

Чтобы стать VIP-пользователем welinux, отправь смс с ником Username на номер 1777, для Украины и Казахстана - 8899, и твой юзерпик станет золотым, ты сможешь редактировать комментарии и получить доступ к секретной, закрытой части welinux.ru!
booley 05.02.2010 00:29 #
Ошикба в рейтинге welinux!!!
Данное сообщение согласовно с даминистрацией welinux!
Отправь смс "booley" на короткий номер 4949 и тебе повысят рейтинг на 200% и кинут бабла на счет!
Инфа 100% сам так делал!!

Торопись гаворят скоро прикроют!!

петросян.жпг :)
Shtsh 05.02.2010 00:39 #
Новая акция! "Я не лох"
Отправь СМС на номер 4242 с надписью "я не лох"!
Чем больше смс ты отправишь, тем больше ты не лох!
KblCb 04.02.2010 13:36 #
Позвольте полюбопытствовать, а зачем вам вообще sudo? Кто и для чего его использует? Мне серьёзно любопытно. Просто если в системе постоянно требуется повышать права пользователя до рута, то в ней явно что-то не в порядке (или в пользователя, как вариант).
derfenix 04.02.2010 13:38 #
В том-то и дело, что не постоянно, а лишь иногда. Поставить программу из репозитория, например. Без судо стрёмно сначала делать su - , вводить пароль рута, выпонять команду, выходить. А так - sudo command, свой пароль и всё.
predator 04.02.2010 13:42 #
я обычно оставляю терминал с root'ом открытым. вдруг ещё понадобится.
derfenix 04.02.2010 13:44 #
а не боишь случайно перепутать терминалы и сделать rm -rf чего-нибудь не того? %)
booley 04.02.2010 14:17 #
Если вы все время пытаетесь выполнить rm -rf /* из под обычного юзера, то возникает вопрос вашей адекватности. :D
derfenix 04.02.2010 14:22 #
Ну это я к примеру %) если у тебя в терминале с рутом cd /usr например сделано, а ты, в другом терминале собрался очистить папку в домашнем каталоге и перепутал... %)
booley 04.02.2010 14:24 #
Где-то был на влр уже был холивар (su vs sudo), где предложили вполне адекватное решение - рутовое приглашение выделяется красным цветом.

И смотреть надо :)
booley 04.02.2010 14:25 #
рутовое приглашение выделяется красным цветом.

*надо выделять
predator 04.02.2010 18:35 #
не боюсь =) потому-что очень редко нужно что-то удалить с правами рута, и даже если приходится, я удостоверюсь что делаю все правильно
а так для удаления я пользуюсь GUI
booley 04.02.2010 14:32 #
Вот шестьть примеров, исчерпывающих мое юзание:
sudo apt-get install *
sudo ifconfig *
sudo /etc/init.d/* restart
sudo mount *
sudoedit *
sudo su -
booley 04.02.2010 14:32 #
шестьть

ОМГ, шесть* конечно же :)
KblCb 04.02.2010 14:42 #
Ну так не бубунту же вей.
sudo apt-get install *
Есть синаптик.
sudo ifconfig *
Есть нетворкманагер.
sudo /etc/init.d/* restart
Гм... Тут сложнее. Видимо бубунту-вей предполагает перезагрузку.
sudo mount *
Есть же автомонтирования.
sudoedit *
Это-то зачем?
sudo su -
А рута вообще не существует.
Если отбросить лишний сарказм, то технически некомпетентный пользователь, не способный подумать о своей безопасности, может прекрасно обходиться без sudo.
booley 04.02.2010 14:46 #
А рута вообще не существует.

А эта команда позволяет залогиниться под рутом, даже если пароль ему не задан.
Нетворкманагер мне не нравится, он не теплый и не ламповый глючит и не консольный.
Образы .iso тоже автоматом монтируются? :)
Синаптик мне не нравится. По тем же причинам, что и нетворкманагер - не теплый и не ламповый.

И да, у меня Debian ;)
nvbn 04.02.2010 15:07 #
Образы .iso тоже автоматом монтируются? :)

Да, таки cdemud =)
nvbn 04.02.2010 15:07 #
sudo /etc/init.d/* restart

Гм... Тут сложнее. Видимо бубунту-вей предполагает перезагрузку.

Бубунтувэй - sudo services * restart =)
Username 04.02.2010 15:21 #
счегобыэто?

sudo /etc/init.d/network-manager restart или что-нибудь. Я так понимаю, через services - это рекомендации, не более
Shtsh 04.02.2010 15:34 #
ЕМНИП, там перешли с Init на Upstart, поэтому не факт, что /etc/init.d/* restart будет работать. Хотя, вроде, там же какие-то специальные скрипты для совместимости есть.
nvbn 04.02.2010 16:35 #
Они ж вроде полностью совместимы?
Username 04.02.2010 17:16 #
работает
nvbn 04.02.2010 16:34 #
А разве рекомндации бубнтосоздателей != бубунтовэй?
Username 04.02.2010 17:20 #
вот если честно, мне настолько класть на бубунтувэй, на арчвэй, на сусевэй, на винвэй.

Всем рекомендую почитать SUSE Linux Administration Guide - там рассказывается как управлять исключительно из CLI, несмотря на имеющийся мощнейший графический конфигуратор. А на уровне графики - там только скриншоты формочек YaST'а.

Отака хуйня, малята
booley 04.02.2010 21:52 #
винвэй.

Победный путь. Я за него :)

А окошковэй это да, не хорошо.
Username 04.02.2010 21:55 #
как сказать. В 95-ом году этот путь был лучшим из имеющихся например.
booley 04.02.2010 21:59 #
Тогда уже была Slackware, ЕМНИП.
Состояние макосей не знаю, но, вероятно, тоже уже были.
Альтернативы были, но были ли они альтернативами? Вот в чем вопрос :)
digiwhite 04.02.2010 22:00 #
Альтернативы были, но были ли они альтернативами? Вот в чем вопрос :)

Маркетинг?
Username 04.02.2010 22:04 #
тогда - реальные ощутимые преимущества. Тогда и маркетинга как такового-то не было, динозавры еще не вымерли полностью
booley 04.02.2010 22:32 #
динозавры еще не вымерли полностью

Ох тыж, я ж в девяносто пятом родился.
Мог быть съеденным динозавром.

booley везуч!
Jazz 04.02.2010 22:54 #
Тогда и маркетинга как такового-то не было

Угу, только тогда о Слаке мало кто слышал вообще, поэтому и маркетинга не было :)
Username 04.02.2010 23:12 #
зато теперь маркетинга до фига, и о слаке люди узнают с молоком матери
Username 04.02.2010 22:03 #
весь линукс из себя представлял нечто черное с белыми букаффками на экране. Самое продвинутое, что потом появилось - вроде Caldera Linux. Графические оболочки тогда если и были, то наверно на Motif'е - это такой пиздец, что страшно на скриншоты смотреть. Макоси уже были давно, да и UI был неплох, но уже тогда были жестко привязаны к железу. Да и эппл был в жопе.

А тут - чикаго, 16 млн. цветов, поддержка большинства железа, новейшая ФС FAT32, сапер, червы, косынка - об этих достижениях МС все почему-то забывают. Я считаю их Великими.
booley 04.02.2010 22:13 #
А тут - чикаго, 16 млн. цветов, поддержка большинства железа, новейшая ФС FAT32, сапер, червы, косынка - об этих достижениях МС все почему-то забывают. Я считаю их Великими.

What is Чикаго?
16.млн цветов, поддержка железа - не спорю.
ФС Fat32 - не особо хороша. Все файлы изначально лежали в одном каталоге и иерархическая структура самой ФС не поддерживается. Где-то читал, что студент написал что-то такое же по функциональности на Pascal'e.
Сапер, червы - не особо.
Косынка - а вот это да :)

Я сам уважаю Билла, именно он, в основном, толкнул PC в массы.
Да и Excel все-таки здоровская программа.
Shtsh 04.02.2010 23:00 #
What is Чикаго?

Кодовое имя вин 98, кажется
Username 04.02.2010 23:14 #
95
Username 04.02.2010 23:14 #
Чикаго - 95ая.
Там весь текст пронизан тонкой иронией. Фат32 тогда была чуть ли не единственная.
Про офис я молчу, я считаю это лучшим офисным пакетом.
booley 05.02.2010 00:12 #
Фат32 тогда была чуть ли не единственная.

Ext2 появилась в 93 :)
booley 04.02.2010 22:31 #
весь линукс из себя представлял нечто черное с белыми букаффками на экране. Самое продвинутое, что потом появилось - вроде Caldera Linux. Графические оболочки тогда если и были, то наверно на Motif'е - это такой пиздец, что страшно на скриншоты смотреть. Макоси уже были давно, да и UI был неплох, но уже тогда были жестко привязаны к железу. Да и эппл был в жопе.

В 1989 уже был TWM :)
Jazz 04.02.2010 22:59 #
NeXTSTEP смотрит на TWM как на говно, как впрочем и Win 3.x
Daria 05.02.2010 07:33 #
daria@hatemashine:~$ sudo su -
password for daria:
Sorry, try again.
password for daria:
root@hatemashine:~#


в бубунте нету рута? О_о
nekifirus 05.02.2010 09:41 #
Есть, ему просто локальный вход запрещен в систему. А поднять привелегии до него можно, при помощи su
bmw 04.02.2010 15:09 #
sudo -i вполне заменит sudo su -
booley 04.02.2010 15:41 #
sudo -i тоже sudo, нэ?
bmw 04.02.2010 22:05 #
Да.
booley 05.02.2010 00:30 #
Есть ли тогда принципиальная разница?
vectro 04.02.2010 13:53 #
а судо не может "запоминать" пароль только для конкретного терминала? это решит проблему особенно для новый пользователей. +еще можно модифицировать gksu, чтобы он спрашивал пароль 1 раз а в другие разы выдавал предупреждения, а-ля вин7 с кнопкой да, нет... либо сделать возможным запоминать пароль на сессию... еще можно сделать так же как в "любимой" винде... стандартные средства ОС допущены к "запомненому" паролю, а сторонние нет.
derfenix 04.02.2010 14:01 #
Ну вот об этом и речь, что надо как-то решить эту проблему. Отключение запоминания пароля вообще - не очень удобно. А вот привязка запоминания к конкретному терминалу - можно, хотя тут много сложностей будет...
pavel-g 04.02.2010 15:43 #
sudo как раз запоминает пароль для конкретного терминала. Только что проверил в ubuntu-9.10 и в fedora-12.
TiGR 04.02.2010 20:30 #
Тогда схема усложняется. Мало того, что юзер должен запустить виря, так он должен запустить это дело из терминала, а потом в том же терминале выполнить sudo.
derfenix 04.02.2010 21:03 #
Терминал здесь один - тот где иксы. Где сложность?
Username 04.02.2010 21:18 #
я ваще не понял, причем тут наличие терминала, вы че?
derfenix 04.02.2010 21:21 #
Да вот, двоечники какую-то дурь пытаются доказать...
Username 04.02.2010 21:23 #
да ты тоже не прав. Юзер может запустить виря откуда захочет. Но вообще-то любая система безопасности, и судо в том числе исходит из разумности прокладки между монитором и стулом.
derfenix 04.02.2010 21:34 #
да при чём здесь это? я вообще про терминалы не говорил. это эти критины уцепились за то, что между терминалами не сохраняется пароль судо и всё типа пучком.
Исходить-то исходит, но это не значит, что она идеальна и не нуждается в доработке и всегда правильна и логична.
digiwhite 04.02.2010 21:36 #
А вы еще не устали считать всех вокруг критинами и идиотами? Мне кажется вы перевозбудились уже.
derfenix 04.02.2010 21:40 #
ага. отойди, а то на тебя кончу.
digiwhite 04.02.2010 21:41 #
А вы ведь действительно неадекватны то к реальности.... Фанатег на моем welinux???
digiwhite 04.02.2010 21:24 #
Вы бы проверили, а потом говорили. Не считайте себя умнее всех.
derfenix 04.02.2010 21:31 #
а я проверил. только при чём здесь это? Зачем переключаться между терминалами? При чём здесь вообще терминалы? Терминал один - с иксами. И там всё происходит. Какая разница, сохраняется пароль судо между терминалами или нет? Чё за дурь городите?
TiGR 04.02.2010 22:23 #
Откройте два терминала. Сделайте в одном судо что-то, а потом в другом. Пароль попросят в обоих случаях.
derfenix 04.02.2010 23:52 #
У меня не просит второй раз. ЧЯДНТ?
P.S.: То, что ты открываешь - не терминалы, а эмуляторы терминала. Терминалы - они по Ctrl+Alt+F<1-7>
TiGR 05.02.2010 00:14 #
Хм... Интересно. Я пробовал в разных табах yakuake, и в каждом новом табе просит пароль.

Ubuntu jaunty kde3 remix.
booley 05.02.2010 00:19 #
Ув. тов. TiGR,
P.S.: То, что ты открываешь - не терминалы, а эмуляторы терминала. Терминалы - они по Ctrl+Alt+F<1-7>

Вы открываете, хоть в yakuake, хоть в Tilda, хоть в древнем xterm, эмулятор терминала.

А по (Ctrl+)Alt+F<1-7> идет tty<1-7>, виртуальную консоль. По-моему, вы здесь запутались :)
TiGR 05.02.2010 01:06 #
Я в курсе. Но хоть при открытии виртуальных, хоть реальных терминалов результат один - в каждой новой сессии требуется пароль. Даже если сессии существуют одновременно. Или если одна начинается после другой.
booley 05.02.2010 01:14 #
Нэ! Проверял, не требует второй раз пароль. tty1 и tty2, deb/squeeze.
TiGR 05.02.2010 02:20 #
Интересно, чем же это судо в дебиане отличается от него же в убунту, что такое разное поведение?
HTaeD 05.02.2010 12:08 #
И у меня в генте тоже не просит.
Donat 04.02.2010 14:03 #
Можно переходить в консоль ctrl+alt+F1, выход ctrl+alt+F7
derfenix 04.02.2010 14:04 #
ну это уж слишком :) отключить запоминание пароля проще %)
Username 04.02.2010 14:36 #
UNIX придумали бородатые дядьки в университетах, которые не просто пили пиво и ходили в школу, а реально думали над задачами, писали дисеры и успешно применяли эти знания. Не стоит недооценивать их решения, механизм привилегий и их получения во всех юникс-подобных ОС очень хорош.

Пост смотрел одним глазом, каменты даже не читал
derfenix 04.02.2010 14:39 #
Ты не оправдал ожиданий человечества %) http://welinux.ru/post/2314/#cmnt40791
Username 04.02.2010 14:42 #
а вот так оно и бывает
booley 04.02.2010 14:47 #
EPIC FAIL
booley 04.02.2010 14:40 #
Другой глаз спит что ли?
bmw 04.02.2010 15:24 #
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=429549 признавайтесь, кто!
Username 04.02.2010 15:27 #
From: "Dmitry E. Oboukhov"
блджад, промазал ниже
bmw 04.02.2010 15:33 #
Это я и сам вижу, вопрос в том, присутствует ли он здесь, и если да -- то под каким ником.
Jazz 04.02.2010 23:02 #
Вы что, багрепорт за 2007 год :))
bmw 05.02.2010 08:39 #
Спасибо, я понял :) сбила фраза "Last modified: Thu Feb 4 " думал свежак.
Username 04.02.2010 15:27 #
From: "Dmitry E. Oboukhov"
booley 04.02.2010 15:45 #
Сотый комментарий :)
Shtsh 04.02.2010 15:46 #
Во блин. Отшел на час по работе, вернулся - а уже 50 комментов нафлудили.
urandom 04.02.2010 15:57 #
Комменты не читал, но в убунте sudo заставляет вводить пароль заново, при переключении в новый виртуальный терминал, думаю, что и "левая программа, которая засела в виде демона и тюкает sudo каждые 2-3 минуты" обломится. Сейчас проверю для интереса.
urandom 04.02.2010 16:19 #
И да, я был прав.
booley 05.02.2010 00:31 #
...а еще я скромняга! :)
in1t 04.02.2010 17:20 #
Я с вами полностью согласен)
Так как это заметка с громкими заявлениями не соответствует действительности, думаю нужно придать ей отрицательное ускорение =)
predator 04.02.2010 18:39 #
т.е. все что запускалось с терминала, при его закрытии прекращает работу. вы это хотели сказать?
urandom 04.02.2010 18:57 #
Нет, я хотел сказать, что если что то через sudo запустилось с одного терминала, то с другого терминала нельзя воспользоваться промежутком времени, в который пароль не спрашивается, это же относится к программам без терминала - демонам.
derfenix 04.02.2010 20:27 #
А при чём здесь терминалы? Всё происходит в одном терминале, в том же, что и иксы! А между разными виртуальными терминалами типа konsole всё сохраняется. К чему ты весь этот бред написал?
urandom 04.02.2010 20:36 #
Всё происходит в одном терминале, в том же, что и иксы!

Иксы - это демон и они не связаны ни с каким терминалом, учи матчасть, "эксперт по безопасности".

А между разными виртуальными терминалами типа konsole всё сохраняется.

Что "все"?


derfenix 04.02.2010 21:05 #
Сам учи, неуч. Демон-то демон, но запускается в одном из терминалов. И в нём и работают иксы, судо и всё остальное. Двоечники.
Daria 05.02.2010 07:40 #
подтверждаю, что между несколькими эмуляторами терминалов это "всё" не запоминается, использую бубунту.
derfenix 05.02.2010 11:41 #
Бубунта - единственный дистр, видимо в котором это работает именно так.
HTaeD 05.02.2010 12:11 #
Я ввожу пароль один раз и пока sudo его помнит, он не спрашивается нигде.
HTaeD 05.02.2010 12:14 #
Думаю, это из-за того, что у меня нет policykit.
bmw 04.02.2010 19:06 #
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=429549
тут вот скриптик есть, попробуйте его. На xubuntu у меня создавал файл успешно.
urandom 04.02.2010 19:31 #
Ubuntu 9.10 ничего не создается
bmw 04.02.2010 22:07 #
Странно, почему у меня сработало... Накачу завтра свежую виртуалку, проапдэйчу и проверю еще разок.
nekifirus 04.02.2010 16:10 #
Мне кажется вывод такой же, как и в прошлом посте о безопасности. Никакая sudo и не дыра, если пользователь не олень.
А ежель олень, то тут целая куча дыр вырисовывается. Которые точно также лечатся и главный презерватив - не нужно ничего запускать, если не доверяешь источнику. Все.
booley 05.02.2010 00:33 #
главный презерватив - не нужно ничего запускать, если не доверяешь источнику. Все.

Лучший метод контрацепции - спать в разных спальниках. А лучше - в разных палатках

Не доверяй никому, кроме себя, напиши свой Linux, с честным блекджеком и проверенными шлюхами.
Username 05.02.2010 01:00 #
щас подумал, что спальник - это такой XXXXXXXL презерватив
booley 05.02.2010 01:16 #
Что за фигня со спойлерами? о_О
Давай не будем так думать - разве приятно спать в презервативе?
chemikadze 05.02.2010 01:21 #
Зависит от толщины ;)
ko10ok 04.02.2010 16:32 #
почитал, посмеялся, настроение хорошее стало =))

Вопрос выше сравним с "найден крит в линукс, подвержены все дистрибутивы: от рута можно все запустить, изменять права и монтировать"

alias sudo="sudo -k" для параноикаф - тобишь рулит только так и все.
а еси чего подольше надо делать то sudo -i (с приведенным выше алиасом)
anjolio 04.02.2010 17:48 #
Было дело - копался разбирался с этим, даже пост написал на эту тему.
Aesdana 04.02.2010 18:00 #
Прочитала по диагонали комментарии. Интересно стало, а откду возьмётся "вирус"?
Из официальных репозиториев?
Пользователь сам скачает неведому хрень, скомпилит и запустит?
Или поведётся на "о, нашёл прикольный скрипт, запусти, не пожалеешь!"?
В таком случае мне очень грустно.Я всегда считала, что лучший антивирус и защитник линуксоида - сам линуксоид, его прямые руки и незамутнённый разум.
Jazz 04.02.2010 23:05 #
Из официальных репозиториев?

Ну уже был прецедент на opendesktop.org :)
philosoft 04.02.2010 18:02 #
По-моему самое простое и очевидное решение -- разрешить использовать судо только для конкретных приложений, а разрешать юзеру неограниченное использование судо просто глупость.
digiwhite 04.02.2010 20:45 #
Топик уныл чуть менее чем полностью, уж простите. Если кривые руки и объем мозга стремиться к нулю, то ничего не поможет.
derfenix 04.02.2010 21:06 #
Ноющий в унылом топике - ещё более уныл. Если на дороге лежит говно, я не буду его поднимать и доказывать ему что оно говно.
digiwhite 04.02.2010 21:12 #
Следите за своей речью, молодой человек. Свой уровень вы уже показали.
derfenix 04.02.2010 21:14 #
А что тебе не понравилось в моей речи? я где-то оскорбил кого-то? Или не правду сказал? Если ты так нежен и раним — шёл бы лучше на фан-сайт ранеток или Барби.
digiwhite 04.02.2010 21:17 #
Не надо мне говорить, куда идти и что делать. Научись уже отделать личность от своих действий.
booley 04.02.2010 21:49 #
Научись уже отделать личность

Отделай свою личность по полной :)
digiwhite 04.02.2010 21:50 #
:-D
Опечатался. Отделять конечно же :).
Username 04.02.2010 21:20 #
Ранетки - милые девушки, по крайней мере, им справедливо насрать на опасность/безопасность судо
booley 04.02.2010 21:48 #
Ранетки круче Linux!
Username 04.02.2010 21:52 #
я бы обобщил скорее на всех девушек
booley 04.02.2010 21:54 #
Не скажи, не всем девушкам покласть на безопасность.
Пруфы: Aesdana, Daria

Но да, девушки круче Linux :)
chemikadze 05.02.2010 01:24 #
Да щас девушки такие пошли, что в 50% случаев я выбрал бы даже Windows.
Username 05.02.2010 01:31 #
камент из серии "раньше небо было голубее"?

съезди на Украину. Жить захочется, я гарантирую
booley 05.02.2010 07:54 #
o_O
booley 05.02.2010 00:25 #
ХБЗ, на какой комментарий отвечать, их здесь до кучи, об одном и тоже по сути.

По Alt+F<1-7> вы открываете tty, виртуальная консоль, их семь штук (по умолчанию). На седьмой запускаются иксы.
Так вот, между этими консолями идет одно время sudo. То есть если вы в первой консоли запустили sudo, ввели пароль, переключились на вторую, ввели sudo, пароль уже будет запомнен.
Похоже именно это derfenix пытался донести, прошу у него прощения за мою непонятливость.

А gnome-terminal, konsole, tilda, guake, yakuake, xterm, rxvt - это эмуляторы терминала.

P.S. Команда sudo -k заставляет sudo снова спрашивать пароль.
P.P.S. Проверил на deb/squeeze.
chemikadze 05.02.2010 00:34 #
Какой эпичный тред я просрал, однако.
booley 05.02.2010 00:37 #
http://welinux.ru/post/2314/#cmnt40846
chemikadze 05.02.2010 00:39 #
Почему не ссылкой?)
booley 05.02.2010 00:42 #
http://welinux.ru/post/2314/#cmnt40826
Jazz 05.02.2010 09:30 #
Почему не ссылкой?)
Простите, не удержался

booley 05.02.2010 09:31 #
http://welinux.ru/post/2314/#cmnt40826

Я тоже не удержался :)