LINUX.ORG.RU
ФорумAdmin

[paranoia] sudo - враг?


0

0

Поразмыслил на досуге... Есть sudo и su. Для sudo нужен пароль пользователя в sudoers, а для su - только root. С точки зрения безопасности: если злоумышленник знает пароль юзера, который есть в sudoers, то он получает права рута и пожет сделать passwd root. А с su такого не будет. Верные размышления?

Получается, sudo юзать можно только на десктопе, для удобства? А на серве лучше старый добрый su?

sudorc поможет настроить sudo так, чтобы пользователь получил только те команды, которые ему можно. su такого не сделает

Ingwar ★★★★★
()

Указывай в /etc/sudoers какой юзер что может выполнять при помощи sudo, тогда никто не сможет сделать sudo bash или sudo passwd. Хотя я, например, на рабочих компьютерах sudo не использую, только su -c, а вот дома у меня sudo, без пароля.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Ingwar

это да. Но мне обычный юзер нужен только заливать файлы на ftp, все администрирование я под рутом выполняю

NiggasLife
() автор топика

через sudo можно разрешить пользователям выполнять только определенные команды под рутом (например, разрешить устанавливать/удалять ПО). Просто, в убунте по умолчанию настроено так, что пользователь может выполнять все команды рута

aydar ★★★★★
()
Ответ на: комментарий от Ingwar

>sudorc поможет настроить sudo так, чтобы пользователь получил только те команды, которые ему можно. su такого не сделает

А теперь
1. Разреши в sudoers только правку какого-нибудь файла через sudoedit.
2. Напиши скрипт с именем sudoedit и положи его в текущий каталог.
3. sudo ./sudoedit файл.
4. ???
5. PROFIT!

Так что топикстартер по сути прав ;)

nnz ★★★★
()
Ответ на: комментарий от NiggasLife

судо позволяет снизить вероятность того, что я наберу в консоли команду, пойду выпить кофе, передумаю эту команду выполнять, случайно нажму на ввод и вырву все волосы на яйцах. я, конечно, утрирую, но судо действительно часто дает возможность передумать. су этого не дает.

Ingwar ★★★★★
()
Ответ на: комментарий от CFA

>укажи в sudoers полный путь до sudoedit и не будет профита

Интересно, в какой доле современных конфигов, разрешающих sudoedit, там прописан полный путь?
Особенно с учетом того, что про него написано в мане :)

nnz ★★★★
()

настраивайте нормально ограничения, на сервере с собственным паролем пользователя лучше ограничить все по максимум, если же есть надобность выполнять ALL , то или с паролем root или через su оставить

Sylvia ★★★★★
()
Ответ на: комментарий от ostin

чтоб судо спрашивало рутовый пароль (точнее пароль юзера от чьего имени будет выполнена команда) есть опция targetpw

CFA
()
Ответ на: комментарий от mclaudt

>так это наверное суся. У ней рутовый парольи пароль юзера при первичной установке одинаковы по дефолту.

донской? вообще-то яст при первичной установке спрашивает, при создании учётки, что с паролем делать, и предлагает аж три варианта, такшта ищи себе следующую лужу, дефолтный ты наш.

novitchok ★★★★★
()
Ответ на: комментарий от CFA

чтоб судо спрашивало рутовый пароль (точнее пароль юзера от чьего имени будет выполнена команда) есть опция targetpw

Спасибо, Кэп

ostin ★★★★★
()
Ответ на: комментарий от mclaudt

так это наверное суся.

Нет, это я так в арче сделал

ostin ★★★★★
()
Ответ на: комментарий от novitchok

>>донской? вообще-то яст при первичной установке спрашивает, при создании учётки, что с паролем делать, и предлагает аж три варианта, такшта ищи себе следующую лужу, дефолтный ты наш.

Разуй глаза, включи мозг, вынь... капу изо рта.

А что галочки по дефолту не могут стоять что-ли? И где я говорю что это неудобно?

Все, теперь возьми в рот капу, выключи мозг, обуй глаза и убейся.

mclaudt
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.