Зачем нужен sudo?

в ldap можно хранить публичные ключи пользователя, по идее на машины включеные к ldap ключи не нужно закидывать сами закинутся. Я об этом недавно узнал пока не тестил, свой велосипед юзаю по обмену ключами.

не знал что такое можно.

https://security.stackexchange.com/questions/194166/why-is-suid-disabled-for-shell-scripts-but-not-for-binaries

Вот тут объясняют, почему.

Программа, это то, что я запускаю в терминале, за вычетом скриптов. Скомпилированные файлы. То, что обычно валяется в /usr/bin и тд. То, на что можно повешать suid бит и он будет работать. Вероятно это ELF файл, который запускается через ld-linux.so, но это не точно, я никогда досконально не исследовал механизм запуска бинарников в линуксе, чтобы давать железобетонные определения. В контексте suid битов это то, что ядро запускает под привилегиями, отличными от привилегий родительского процесса, в частности под привилегиями рута.

https://unix.stackexchange.com/questions/511790/what-types-of-executable-files-exist-on-linux
только на данный момент a.out уже выброшен.

Вот у вас уже начали появляться сомнения. Хотя конечно странно, что сомнения.

Т.е. в принципе все, что в конечном итоге ведром будет обработано, можно считать программой?

Все - это и есть админЫ.

Думается мне те кто против sudo просто никогда не имели больше одного пользователю с правами админа в системе, где отношения все равно приходится строить на доверии, но лучше иметь хоть какое-то логирование через sudo, чем никакое.

мы много чего можем считать :) это наше личное мнение.
главное как на это обрабатывает операционка.

но лучше иметь хоть какое-то логирование через sudo, чем никакое.

А ещё лучше иметь возможность ограничения для более других админов.

да, абcолютно прав!! к примеру, админа, безраздельно правящего на бекап-серверах, на «боевых» серверах допустят только до пользователя:группы backup:backup :)

com файл устроен просто он не упаковывается тупо скачивается с 100 адреса сегменты ds cs ss (название сегмента стека не помню может не ss а sp) на 0 ничего не трогается исполнение начинается с 100 адреса программа болше одного сегмента занимать не может тоесть 64кб, почти аналог в linux a.out который сейчас не поддерживается,

с suid битом дело не имел, а вот устройство испольняемых файлов знаю досконально, посмотри в текстовым редакторе что exe что dll с mz начинаются можешь даже exe как dll подключить иконку посмотреть или ещё какие функции, ресурсы в данном exe есть, аналогично с исполняемым и so, майки создавали exe вдохновившись эльфом

Спасибо КО.

ну так как: «sudo это экзешник с suid», расшифровать могёшь, и понимаешь что «Тоесть например libz.so.1.2.8 это «экзешник» ?» да екзешник, эльфешник

хых, пошло копание в грязном белье :) anc ну зачем опускатца до такого ??
dll и exe являются исполняемыми файлами.
оба, полноценными исполняемыми файлами. отличие лишь в том что внутрь dll в качестве «main-функции», с которой и начинается исполнение программы, впихнута заглушка, выводящая в stdout «This program cannot be run in DOS mode.» и завершающая работу исполняемого файла.
удобно и практично.

в библиотечные файлы линухи такое не впихнуто, но тож наверн доступно :)

Что это за ужасный костыль? Ещё и дырявый скорее всего (скрипт могут подменить хоть в середине его работы), но даже если с этим что-то сделали - оно всё равно ужасный костыль с непонятным целевым применением.

Если ты так уверенно заявляешь что это костыль, вначале предложи альтернативу. И так, чтобы не давать каждому левому васяну (особенно таким, которые считают что sudo не нужно, но не предлагают лучших решений ☺) пароль от рута.

так то он частично прав, пытался от sudo и его дырок уйти на даос, вернулся как миленький, ибо даоса не хватает, кровь из носа нужен весь функционал sudo.
Везёт firkax, ему это не нужно, в одиночку все задачи решает + бессменный, безконтролный админ.

Cmnd_Alias SCRIPTS = sha224:6ccddcb3281eac9b81fb521f2c15d49073d283a182164b2a0cba9f62 /usr/home/mord0d/.local/share/bin/change_nice ^[0-9]+ [0-9]+$

Полный путь до скрипта обязателен в sudoers, но если дира прописана в пользовательском $PATH, то sudo change_nice PID niceness будет работать.

Почему просто не дать пользователю возможность запускать renice(8)? Потому что в скрипте проверка что PID принадлежит пользователю, который этот скрипт запускает, и что niceness не является отрицательным. Пользователь, конечно, не видит процессов которые ему не принадлежат, но очепятки никто не отменял.

Т.е. кроме ненужно тебе предложить нечего?

Знакомься, местный кукаретик. Мнение имеет, аргументов не имеет. ☺

Мда, и эта порнография в конфиге и подозреваю её продолжение в скрипте - вместо того чтобы реализовать этот change_nice на Си и положить /usr/local/bin с suid-root и всеми нужными проверками.

Впрочем ещё менее понятно зачем это всё нужно, учитывая что пользователь и так может запускать renice от своего имени, и все нужные проверки делает ядро.

но очепятки никто не отменял

Опять мда. Не об опечатках надо думать в таких случаях, а о том что злоумышленник вдруг сможет угадать невидимые ему pid-ы.

Вобщем, сразу видно «опытного пользователя sudo» - решает бессмысленные задачи извращёнными способами, про аспект безопасности даже не вспоминает.

задача админа и скриптов - программ выполнять рабочие задачи, импотенты и макеты компютеров людям обычно не нужны

К чему ты то написал вообще? Комментом ошибся?

реализуй, отладь и с гарантиями безглючности предоставь мордоду взамен его костыля :) ждем.

Ты читать разучился? Повторю ещё раз: всё что он описал делает штатная утилита renice без всяких смен uid. Юзерам она доступна.

человек решил проблему, нужен был ограниченый renice, а кто то не смогла
нужна ли не смогла?

отличие лишь в том что внутрь dll в качестве «main-функции», с которой и начинается исполнение программы, впихнута заглушка, выводящая в stdout «This program cannot be run in DOS mode.» и завершающая работу исполняемого файла.

Попробовал, у меня на экран ничего не выводит. Но даже если бы и выводила, то такая dll никому не нужна, только место на харде занимает.

Спасибо! Век живи.

майки создавали exe вдохновившись эльфом

И у вас конечно есть пруфы. Хотя бы на даты создания одного и второго.

Ещё раз - ограничение «проверить что pid свой» из коробки присутствует в штатной утилите (и даже не только в ней а в соответствующем сисколле), и никакие рут-права для этого не нужны. Он сначала выдал утилите доп. права на все процессы, а потом своим скриптом сделал проверку чтоб она ими не пыталась воспользоваться. Хватит тупить уже, то один, то другой, прям собрание тормозов.

Сколько чуши ты смог вместить в короткое сообщение. Не знаешь - лучше молчи и не позорься. Писать сообщения по мотивам материалов из поисковых систем тоже не надо, тоже ведёт к опозориванию.

Мда, и эта порнография в конфиге и подозреваю её продолжение в скрипте - вместо того чтобы реализовать этот change_nice на Си и положить /usr/local/bin с suid-root и всеми нужными проверками.

Ну а на С у вас будет идеальный безбажный код не содержащий ни строчки порнухи. Типичный NiH.

Вобщем, сразу видно «опытного пользователя sudo» - решает бессмысленные задачи извращёнными способами

И эти люди будут запрещать ковыряться в носу говорить про извращения.

Ну а на С у вас будет идеальный безбажный код не содержащий ни строчки порнухи. Типичный NiH.

Безбажно не получится - там race между проверкой uid и renice-ом. И я уверен на 100% что этот самый race и в его скрипте присутствует. Наверно его можно устранить если сначала подключиться к процессу отладчиком (чтоб он не умер в середине), затем проверить uid, затем сделать renice, отключиться. Но это всё будет ужасно, с возможными побочными эффектами, и незачем, ведь можно просто сделать renice без sudo и прочих аналогов.

:) ну океюшки сударыня, я гнал фихню.
тогдась расскажи про потаенные различия в формате файла Portable Executable, кои я пропустил.
я там кучу всяких тонкостей пропустил… но в общем жду твоих рассказа - потешь публику…
кстати пример качественного С-кода на замену ублюдочному скрипту тож чегойто не видать…

от sudo и его дырок

Не малая часть дыр от кривой конфигурации. И ssh может быть дырявым, только от этого его не объявляют дырявым и не отказываются от него.

Ты прав в том, что EXE и DLL - исполняемые файлы, но ошибаешься в деталях. Например, вот эта цитата - это ересь полная:

отличие лишь в том что внутрь dll в качестве «main-функции», с которой и начинается исполнение программы, впихнута заглушка, выводящая в stdout «This program cannot be run in DOS mode.» и завершающая работу исполняемого файла.

Точка входа у PE-файла DLL-ки - это функция DllMain, которая в качестве параметра получает причину вызова (напрмиер, DLL_PROCESS_ATTACH, DLL_PROCESS_DETACH) по которому можно понять, загружается ли DLL-ка в процесс или выгружается. Ничего в stdout она не выводит, ее автор DLL пишет сам, если нужно выполнить инициализацию/очистку при загрузке/выгрузке DLL.

А «This program cannot be run in DOS mode.» - это немного из другой оперы.