FreeIPA и sudo. Alt-клиент и права на sudo. Починил или окостылил?

$ su - bash: /bin/su: Отказано в доступе

у меня в alt после обновления su или sudo постоянно помирают, лечу так - захожу из под root и выподняю chmod 4755 /bin/su или chmod 4755 /usr/bin/sudo соответственно, да это тот еще велосипед, но другого метода не нашел.

Это не su помирает, а у тебя система настроена некорректно. И ты, вместо того чтобы правильно её настроить, лепишь дурацкие костыли, которые отваливаются при обновлении.

Не знаю что такое freeipa, но если это какой-то юзер и ему нужно запускать su/sudo, то надо добавить его в группу wheel.

Смена прав на бинарники с правильных дистровых на костыльные - плохо, не надо так делать.

может его надо было установить, а freeipa-client-install права бы поменял

Очень сомневаюсь, что официальный установщик будет устраивать такую чушь.

g+x на sudo и локальный g=wheel?
вероятно это должно как-то матчится со стороны dac.
вероятно что freeipa ничего не знает о локальных dac.

система настроена некорректно

после установки - захожу из под root создаю юзера и даю права su иначе никакого su не будет

# adduser name_user
# passwd name_user
# chmod 4755 /bin/su
# exit

далее захоху из под юзера, выполняю su, устанавливаю sudo и даю ему права иначе никакого sudo не будет

# su
# apt-get install sudo
# chmod 4755 /usr/bin/sudo

затем редактирую /etc/sudoers прописываю в него юзера name_user ALL=(ALL) ALL и не забываю # WHEEL_USERS ALL=(ALL) ALL раскоментить, после всех этих манипуляций можно начинать пользоваться sudo из под юзера, пока на него обновление не прилетит и тогда его опять из под root или su подлечить придется # chmod 4755 /usr/bin/sudo

Мда...

Повторю ещё раз - chmod на системные бинарники это ужасный костыль, который ты делаешь вместо того, чтобы правильно настроить систему. Доступ к su выдаётся добавлением юзера в группу wheel.

Запустил CentOS в контейнере, права на su -rwsr-xr-x Поставлю-ка freeipa-client ради эксперимента.

Доступ к su выдаётся добавлением юзера в группу wheel

нет никакого su пока из под root не сделаю # chmod 4755 /bin/su

нет никакого su

Но если бы не было никакого su, то # chmod 4755 /bin/su выдал бы ошибку: No such file or directory. Следовательно бинарник у тебя есть.

PS:

firkax ★★★ (17.02.2023 13:41:24 +02:00) главный разоблачитель пострадавших от sudo юзеров

Опять забыл привилегированый контейнер создать, chrony ругается, надо переделать, не устанавливается клиент. Но интересные права в CentOS на sudo, который он всё-таки вкорячил с freeipa-client, —s–x–x root root

Лень на восьмёрке репы менять, поставил контейнер CentOS 9 Stream.

На 8 sudo ставил freeipa-client, на 9 даже проверять не стал.

Права:

/bin/su       -rwsr-xr-x root root
/usr/bin/sudo ---s--x--x root root

Доменный пользователь влетает без проблем, sudo -i без проблем.

В дебе же всё в шоколаде.

дистрибутив на базе трангендерно-феминистского Debian © Skull

Потому что там полный бардак при использовании sudo. © Skull

sudo

По соображениям безопасности не нужно © Skull

Это нерекомендованный способ повышения привилегий, как бы это не удивляло людей с их привычками. © Skull

Обоснуете безопасность использования sudo для любых команд по умолчанию кроме как привычками и стереотипами? © Skull

Детские травмы с sudo и polkit не дают спать спокойно? © Skull

Б – Безопасность. Читайте https://www.altlinux.org/Sudo © Skull

В Альте безопасности уделяется ведущая роль. Поэтому такая политика по умолчанию. И ненастроенный sudo поэтому же. © Skull

freeipa

при работе с этим динозавром (FreeIPA) подвох может быть где угодно. © Skull

Ответьте на простой вопрос: где широкие внедрения FreeIPA в продакшене? © Skull

А почему не samba-dc, а немасштабируемый и нерасширяемый FreeIPA? © Skull

Кто сдавал крупному заказчику FreeIPA в цирке не смеётся. © Skull

Я FreeIPA не использую, не советую и держусь подальше. © Skull

С FreeIPA вообще провалы вместо костылей и подпорок. © Skull

Вот и возникает вопрос в чём косяк.

Делаешь от рута control sudo public

public — любой пользователь может получить доступ к команде /usr/bin/sudo
wheelonly — только пользователи из группы wheel имеют право получить доступ к команде /usr/bin/sudo
restricted — только root имеет право выполнять команду /usr/bin/sudo

С su то же самое.

Вот что не так? В дебе же всё в шоколаде.

В дебе другие настройки по умолчанию, чо.

Если выставлять права не через control, то при каждом обновлении пакета control будет выставлять их обратно. Просто настрой один раз:

control sudo public
control su public

Ну да, альты повёрнуты на безопасности, это создаёт некоторые трудности.

Если честно, у меня от FreeIPA примерно такие же впечатления. Ну то есть в организации на 100 хостов оно может и ничего, но в крупных компаниях совсем другие проблемы. А в FreeIPA всё-таки слишком много скотча.

Но это моё ИМХО, я не буду возражать, если кто-то его реально использует на больших инсталляциях.

FreeIPA всё-таки слишком много скотча

Так и есть, после создания домена на него страшно дышать

Нахрен такое, бросаю, до конца 24-го ещё есть время, что изучить взамен? 300 компов.

В вашем комментарии прекрасно всё.

Ну да, альты повёрнуты на безопасности

Не только они. Подозреваю, что это связано с сертификацией. Потому что в Редосе и Росе такая же картина. Насчет астры не знаю, не ковырял.

Это ж старый анекдот. Домохозяйки чатятся, одна говорит - на валентинов день хочу мужика порадовать, подскажите рецепт пожрать вкусно. Ей кидают рецепт. Спустя время: девочки, не понимаю, в чем проблема: вроде все по рецепту делала, но такое говнище получилось! А ей хором: ну да, у нас обычно тоже говнище получается((

Складывается ощущение, что только MS AD работает как часики, остальное жалкие подделки.

Control, tcb и запуск демонов в чруте появились в альте задолго до того, как о сертификации начали думать. А также довольно укуренные значения по умолчанию.

Нет, это сознательный ход.

Насчет астры не знаю, не ковырял.

В Астре всё намного хуже, там свой, самостийный мандатный доступ, ни с чем не совместимый. Может выкидывать фокусы покруче selinux.

до конца 24-го ещё есть время, что изучить взамен?

Ничего. Если ты хорошо разберёшься с FreeIPA, то этот скотч надо будет просто периодически поправлять и у тебя это будет занимать что-то много времени. Но лучше всё равно ничего нет.

DALDON вроде осилил домен на самбе, но он давно не заходит.