LINUX.ORG.RU
ФорумAdmin

[paranoia] sudo - враг?


0

0

Поразмыслил на досуге... Есть sudo и su. Для sudo нужен пароль пользователя в sudoers, а для su - только root. С точки зрения безопасности: если злоумышленник знает пароль юзера, который есть в sudoers, то он получает права рута и пожет сделать passwd root. А с su такого не будет. Верные размышления?

Получается, sudo юзать можно только на десктопе, для удобства? А на серве лучше старый добрый su?

Чтобы все было шикарно
Журналируемые квоты, IMMUTABLE

sudorc поможет настроить sudo так, чтобы пользователь получил только те команды, которые ему можно. su такого не сделает

Ingwar ★★★★★
()

Указывай в /etc/sudoers какой юзер что может выполнять при помощи sudo, тогда никто не сможет сделать sudo bash или sudo passwd. Хотя я, например, на рабочих компьютерах sudo не использую, только su -c, а вот дома у меня sudo, без пароля.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Ingwar

это да. Но мне обычный юзер нужен только заливать файлы на ftp, все администрирование я под рутом выполняю

NiggasLife
() автор топика

через sudo можно разрешить пользователям выполнять только определенные команды под рутом (например, разрешить устанавливать/удалять ПО). Просто, в убунте по умолчанию настроено так, что пользователь может выполнять все команды рута

aydar ★★★★★
()
Ответ на: комментарий от Ingwar

>sudorc поможет настроить sudo так, чтобы пользователь получил только те команды, которые ему можно. su такого не сделает

А теперь
1. Разреши в sudoers только правку какого-нибудь файла через sudoedit.
2. Напиши скрипт с именем sudoedit и положи его в текущий каталог.
3. sudo ./sudoedit файл.
4. ???
5. PROFIT!

Так что топикстартер по сути прав ;)

nnz ★★★★
()
Ответ на: комментарий от NiggasLife

судо позволяет снизить вероятность того, что я наберу в консоли команду, пойду выпить кофе, передумаю эту команду выполнять, случайно нажму на ввод и вырву все волосы на яйцах. я, конечно, утрирую, но судо действительно часто дает возможность передумать. су этого не дает.

Ingwar ★★★★★
()
Ответ на: комментарий от CFA

>укажи в sudoers полный путь до sudoedit и не будет профита

Интересно, в какой доле современных конфигов, разрешающих sudoedit, там прописан полный путь?
Особенно с учетом того, что про него написано в мане :)

nnz ★★★★
()

настраивайте нормально ограничения, на сервере с собственным паролем пользователя лучше ограничить все по максимум, если же есть надобность выполнять ALL , то или с паролем root или через su оставить

Sylvia ★★★★★
()
Ответ на: комментарий от ostin

чтоб судо спрашивало рутовый пароль (точнее пароль юзера от чьего имени будет выполнена команда) есть опция targetpw

CFA
()
Ответ на: комментарий от mclaudt

>так это наверное суся. У ней рутовый парольи пароль юзера при первичной установке одинаковы по дефолту.

донской? вообще-то яст при первичной установке спрашивает, при создании учётки, что с паролем делать, и предлагает аж три варианта, такшта ищи себе следующую лужу, дефолтный ты наш.

novitchok ★★★★★
()
Ответ на: комментарий от CFA

чтоб судо спрашивало рутовый пароль (точнее пароль юзера от чьего имени будет выполнена команда) есть опция targetpw

Спасибо, Кэп

ostin ★★★★★
()
Ответ на: комментарий от mclaudt

так это наверное суся.

Нет, это я так в арче сделал

ostin ★★★★★
()
Ответ на: комментарий от novitchok

>>донской? вообще-то яст при первичной установке спрашивает, при создании учётки, что с паролем делать, и предлагает аж три варианта, такшта ищи себе следующую лужу, дефолтный ты наш.

Разуй глаза, включи мозг, вынь... капу изо рта.

А что галочки по дефолту не могут стоять что-ли? И где я говорю что это неудобно?

Все, теперь возьми в рот капу, выключи мозг, обуй глаза и убейся.

mclaudt
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Чтобы все было шикарно
Admin
Журналируемые квоты, IMMUTABLE