LINUX.ORG.RU
ФорумAdmin

FreeIPA и sudo. Alt-клиент и права на sudo. Починил или окостылил?

 , ,


0

2

freeipa на alt. На freeipa задано группе admins sudo везде, любой и всюду. Логин доменным пользователем с клиентов debian и alt без проблем. В debian sudo без вопросов, вообще, совсем. В alt «bash: /usr/bin/sudo: Отказано в доступе» хоть тресни. Глаза сломал вычитывая sudo_debug, sudoers_debug, sssd_sudo.log, sssd_prox.loc.log. Потом подумалось, мне же пишут что с /usr/bin/sudo проблема. Сравнил права

debian -rwsr-xr-x 1 root root 182600 Jan 14 16:29 /usr/bin/sudo
alt    -rws--x--- 1 root wheel 186928 Sep 12  2021 sudo

Поставил в alt -rwsr-xr-x и всё побежало. Вот и возникает вопрос в чём косяк. Может надо было на freeipa указывать группу wheel но об этом забыли написать? sudo в минимальной установке не было, может его надо было установить, а freeipa-client-install права бы поменял? Хотя у меня сейчас и su

dadmin@alt ~ $ su -
bash: /bin/su: Отказано в доступе

Вот что не так? В дебе же всё в шоколаде.


$ su - bash: /bin/su: Отказано в доступе

у меня в alt после обновления su или sudo постоянно помирают, лечу так - захожу из под root и выподняю chmod 4755 /bin/su или chmod 4755 /usr/bin/sudo соответственно, да это тот еще велосипед, но другого метода не нашел.

amd_amd ★★★★★
()
Последнее исправление: amd_amd (всего исправлений: 1)
Ответ на: комментарий от amd_amd

Это не su помирает, а у тебя система настроена некорректно. И ты, вместо того чтобы правильно её настроить, лепишь дурацкие костыли, которые отваливаются при обновлении.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)

Не знаю что такое freeipa, но если это какой-то юзер и ему нужно запускать su/sudo, то надо добавить его в группу wheel.

Смена прав на бинарники с правильных дистровых на костыльные - плохо, не надо так делать.

может его надо было установить, а freeipa-client-install права бы поменял

Очень сомневаюсь, что официальный установщик будет устраивать такую чушь.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

система настроена некорректно

после установки - захожу из под root создаю юзера и даю права su иначе никакого su не будет

# adduser name_user
# passwd name_user
# chmod 4755 /bin/su
# exit

далее захоху из под юзера, выполняю su, устанавливаю sudo и даю ему права иначе никакого sudo не будет

# su
# apt-get install sudo
# chmod 4755 /usr/bin/sudo

затем редактирую /etc/sudoers прописываю в него юзера name_user ALL=(ALL) ALL и не забываю # WHEEL_USERS ALL=(ALL) ALL раскоментить, после всех этих манипуляций можно начинать пользоваться sudo из под юзера, пока на него обновление не прилетит и тогда его опять из под root или su подлечить придется # chmod 4755 /usr/bin/sudo

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

Мда...

Повторю ещё раз - chmod на системные бинарники это ужасный костыль, который ты делаешь вместо того, чтобы правильно настроить систему. Доступ к su выдаётся добавлением юзера в группу wheel.

firkax ★★★★★
()
Ответ на: комментарий от amd_amd

нет никакого su

Но если бы не было никакого su, то # chmod 4755 /bin/su выдал бы ошибку: No such file or directory. Следовательно бинарник у тебя есть.

PS:

firkax ★★★ (17.02.2023 13:41:24 +02:00) главный разоблачитель пострадавших от sudo юзеров

Clockwork ★★★★★
()
Ответ на: комментарий от TepakoT

Опять забыл привилегированый контейнер создать, chrony ругается, надо переделать, не устанавливается клиент. Но интересные права в CentOS на sudo, который он всё-таки вкорячил с freeipa-client, —s–x–x root root

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

Лень на восьмёрке репы менять, поставил контейнер CentOS 9 Stream.

На 8 sudo ставил freeipa-client, на 9 даже проверять не стал.

Права:

/bin/su       -rwsr-xr-x root root
/usr/bin/sudo ---s--x--x root root

Доменный пользователь влетает без проблем, sudo -i без проблем.

TepakoT
() автор топика

В дебе же всё в шоколаде.

дистрибутив на базе трангендерно-феминистского Debian © Skull

Потому что там полный бардак при использовании sudo. © Skull

sudo

По соображениям безопасности не нужно © Skull

Это нерекомендованный способ повышения привилегий, как бы это не удивляло людей с их привычками. © Skull

Обоснуете безопасность использования sudo для любых команд по умолчанию кроме как привычками и стереотипами? © Skull

Детские травмы с sudo и polkit не дают спать спокойно? © Skull

Б – Безопасность. Читайте https://www.altlinux.org/Sudo © Skull

В Альте безопасности уделяется ведущая роль. Поэтому такая политика по умолчанию. И ненастроенный sudo поэтому же. © Skull

freeipa

при работе с этим динозавром (FreeIPA) подвох может быть где угодно. © Skull

Ответьте на простой вопрос: где широкие внедрения FreeIPA в продакшене? © Skull

А почему не samba-dc, а немасштабируемый и нерасширяемый FreeIPA? © Skull

Кто сдавал крупному заказчику FreeIPA в цирке не смеётся. © Skull

Я FreeIPA не использую, не советую и держусь подальше. © Skull

С FreeIPA вообще провалы вместо костылей и подпорок. © Skull

Turbid ★★★★★
()

Вот и возникает вопрос в чём косяк.

Делаешь от рута control sudo public

public — любой пользователь может получить доступ к команде /usr/bin/sudo
wheelonly — только пользователи из группы wheel имеют право получить доступ к команде /usr/bin/sudo
restricted — только root имеет право выполнять команду /usr/bin/sudo

С su то же самое.

Вот что не так? В дебе же всё в шоколаде.

В дебе другие настройки по умолчанию, чо.

Aceler ★★★★★
()
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от amd_amd

Если выставлять права не через control, то при каждом обновлении пакета control будет выставлять их обратно. Просто настрой один раз:

control sudo public
control su public

Ну да, альты повёрнуты на безопасности, это создаёт некоторые трудности.

Aceler ★★★★★
()
Ответ на: комментарий от Turbid

Если честно, у меня от FreeIPA примерно такие же впечатления. Ну то есть в организации на 100 хостов оно может и ничего, но в крупных компаниях совсем другие проблемы. А в FreeIPA всё-таки слишком много скотча.

Но это моё ИМХО, я не буду возражать, если кто-то его реально использует на больших инсталляциях.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Ну да, альты повёрнуты на безопасности

Не только они. Подозреваю, что это связано с сертификацией. Потому что в Редосе и Росе такая же картина. Насчет астры не знаю, не ковырял.

utanho ★★★★★
()
Ответ на: комментарий от TepakoT

Это ж старый анекдот. Домохозяйки чатятся, одна говорит - на валентинов день хочу мужика порадовать, подскажите рецепт пожрать вкусно. Ей кидают рецепт. Спустя время: девочки, не понимаю, в чем проблема: вроде все по рецепту делала, но такое говнище получилось! А ей хором: ну да, у нас обычно тоже говнище получается((

thesis ★★★★★
()
Ответ на: комментарий от utanho

Control, tcb и запуск демонов в чруте появились в альте задолго до того, как о сертификации начали думать. А также довольно укуренные значения по умолчанию.

Нет, это сознательный ход.

Насчет астры не знаю, не ковырял.

В Астре всё намного хуже, там свой, самостийный мандатный доступ, ни с чем не совместимый. Может выкидывать фокусы покруче selinux.

Aceler ★★★★★
()
Ответ на: комментарий от TepakoT

до конца 24-го ещё есть время, что изучить взамен?

Ничего. Если ты хорошо разберёшься с FreeIPA, то этот скотч надо будет просто периодически поправлять и у тебя это будет занимать что-то много времени. Но лучше всё равно ничего нет.

Aceler ★★★★★
()
Admin