LINUX.ORG.RU

Использование учетной записи без прав sudo в качестве основной

 ,


0

1

Заинтересовал такой вопрос. Насколько разумно с точки зрения безопасности использовать учетную записи не судоюзера в качестве основной на домашнем компьютере? Будет ли от этого толк? И на сколько это удобно? При установки программ мне придется переключаться (пусть в терминале) на sudo-юзера верно?


Ответ на: комментарий от firkax

хех, на виндовые runas и аналогичное гуишное виндовое средство аккурат su большее похож - в обоих требуется пароль от администратора, т.е. обывательский пользователь знает пароль администратора.

в sudo можно очень четко допустить пользователя к определенным функциям под определенными пользователями без знаний паролей онных пользователей и ни на шишку больше.
к su сколь помню такое уже не прикручивали.

pfg ★★★★★
()
Ответ на: комментарий от ceeqwer

в линуксе из-за полной свободы конфигурации системы и доступа к исходным кодам и прочим закоулкам, дается безмерная возможность корежить систему, вполне самому дорисовать необходимую функциональность и т.д.
потому существует огромное количество средств, дублирующих (или чуть улучшающих) функциональность друг друга.
что дает безмерное раздолье для холиваров :)

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 2)
Ответ на: комментарий от pfg

Нет, аналог рута в винде это SYSTEM и пароля у него нет (и кажется нельзя сделать). А вот «аккаунт с административными привилегиями» это как раз аналог аккаунта из списка sudoers. Причём обычно (если речь не про серверную винду) эти самые административные привилегии выдаются как раз обычному (единственному) рабочему аккаунту на компе, а запрос на права выглядит как «разрешаете ли вы этой программе внести изменения куда-то там?».

firkax ★★★★★
()
Ответ на: комментарий от firkax

неа. system и администратор это просто разделение для виду - очередной имитатор защищенности.
администратор может поиметь приложения system пользователя и в хвост и в гриву и в любом положении. никакого разделения, кроме буковок, тут нет.
«аккаунт с административными привилегиями» в линуксе это как раз работать под аккаунтом рута. привычка от которой в большинстве дистров отказались.

в принципе «разрешение этой программе внести изменения» из-под администратора это аккурат костыль, специально и хитроумно придуманный микрософтом, чтобы работать под администратором и при этом не получать доступа к админским действиям.
зовется оно UAC :) ну шо делать привык пользователь жить под админом, десктоп вообще весь поголовно под админом живет.
а если гора не идет к магомету, то гора придумывает администратора без админских прав… все довольны, все «защищены»

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 2)
Ответ на: комментарий от pfg

костыль, специально и хитроумно придуманный микрософтом, чтобы работать под администратором и при этом не получать доступа к админским действиям.

Верно, это костыль. UAC это и есть sudo. Админский (sudoers) аккаунт но без доступа к админским действиям. Настоящий админский аккаунт, повторюсь, это SYSTEM, там разрешено сразу всё без доп. диалогов.

имитатор защищенности.

И то верно. Туда же опять аналогия про sudo. Аккаунт из sudoers это рут, который имитирует не рута.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

путаешь,либо не пользовался и не знаешь работу sudo.
с помощью sudoers можно предоставить доступ определенным пользователям к четко указанным функциям и никуда больше не пустить.

UAC просто спрашивает, не вдумываясь ни в какие подробности и предоставляя доступ куда угодно, если сказали да.

:) только, что говорил что SYSTEM не доступен для логина, а тут разрешено все без диалогов….

мне кажется высказанная тобой «каша в голове» аккурат у тебя.

ага, говорю ж однобоко читаешь маны. либо не знаешь.
%sudo ALL=(ALL:ALL) ALL - это одна вездесссущая возможность, акромя которых есть огромный комплект возможностей четко и конкретно расписать кому чего доступно. но кто читает маны и настраивает систему. шлеп-шлеп и в продакшен…..

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

Прекращай демагогию. У тебя у самого sudo настроен на выполнение чего угодно, и дальше будет настроен так же. SYSTEM недоступен для логина, но доступен для выполнения из под него процессов, в т.ч. гуи.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

конечно, мне так удобнее и эффективнее. на данный момент.
и полноценно уверен что такое состояние в пределах требуемой от железяки функциональности обеспечит и удобство пользования и защищенность системы.
изменятся условия - уберу доступ группе sudo и предоставлю доступ только к ограниченным админских правам определенными пользователями - просто переконфигурю sudoers.

обратного ты не доказал, только описывал, что «фсё ниправильно делаете».

как сделать правильно ??
логинится в рут ?? однозначно нахеръ.
использовать su ?? менее удобно, менее функционально при таком же уровне защиты. зачем ??

если попробовать вникнуть в твои разгласольствования, то описанное ближе всего к формированию образа системы на отдельной машине (с тестированием и оттачиванием работы) и после чего закидыванию образа в оркестрацию контейнеров или что подобное.
там да, абсолютно согласен, админ нахеръ в образе не нужен, да и не заглянет никогда. коль пойдут косяки - образ полностью пристрелят, пересоберут на новый лад и заменят полностью на всех инстансах.
но это отдельная «форма жизни» и там своя отдельная пестня…

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от sudopacman

С ними тоже отлично. SELinux ничего не знает о майнинге и не спасёт данные твоего пользователя. Flatpak и вовсе потешное решето.

anonymous
()
Ответ на: комментарий от sudopacman

Почему?

Потому что типовым политикам нет до этого дела? Любая запущенная под твоим пользователем дрянь может читать что угодно в твоём домашнем каталоге. Ты же не будешь использовать дома MLS. Когда я последний раз о нём слышал, там даже графику запустить было проблематично.

Ещё один flatkill начитался?

Есть конструктивные возражения по поводу раздела 2021? Ну серьёзно, решето в базовых рантаймах это дичь. В snap такого нет, жаль только, что он кроме Ubuntu нигде нормально не работает.

anonymous
()
Ответ на: комментарий от anonymous

Ты же не будешь использовать дома MLS

Добавлю, что просто MLS сам по себе тоже не решает эти проблемы, но несколько проще должно быть с огораживанием важных данных, естественно, ценой удобства.

anonymous
()
Ответ на: комментарий от anonymous

Потому что типовым политикам нет до этого дела? Любая запущенная под твоим пользователем дрянь может читать что угодно в твоём домашнем каталоге.

Так если юзверь сам запускает малварь, то тут уже ничего не моможет. Разве что, возможно, пользователь одумается, когда приложение «Калькулятор» потребует доступ к коллекции котиков.

Есть конструктивные возражения по поводу раздела 2021?

https://theevilskeleton.gitlab.io/2021/02/11/response-to-flatkill-org.html

В snap такого нет, жаль только, что он кроме Ubuntu нигде нормально не работает

Он и в Ubuntu нормально не работает 😁

sudopacman ★★★★★
()
Ответ на: комментарий от sudopacman

Так если юзверь сам запускает малварь, то тут уже ничего не моможет.

Так обычно и происходит. Другие варианты на десктопах экзотичны.

https://theevilskeleton.gitlab.io/2021/02/11/response-to-flatkill-org.html

Неплохо, но преимущественно «отчасти согласен» и «отчасти несогласен». Уточнения, но не опровержения. Предложения пользователям исправлять кривые разрешения — бред. Мы это отлично уже видели на примере Android (о пользе SELinux, когда 99% малвари полагается на добровольный запуск пользователем, кстати, туда же (нет, я не утверждаю, что MAC не нужны, наоборот необходимы)).

Он и в Ubuntu нормально не работает 😁

Я проверял, работает нормально, в том числе в продакшене. Мне не очень нравится пара технических решений там, особенно осложняющее на ровном месте использование некоторых популярных сборочных систем, но, возможно, это уже поправили, я не слежу за развитием snapcraft.

anonymous
()
Ответ на: комментарий от ceeqwer

Это очень странный вопрос для большинства нормальных пользователей, судя по тому, как здорово у них получается находить и запускать всякие криптомайнеры и шифровальщики-вымогатели 🧐🤔

anonymous
()
Ответ на: комментарий от anonymous

Другие варианты на десктопах экзотичны.

На десктопах как раз других вариантов полно. Но статистики по распространённости у меня, конечно, нет (:

sudopacman ★★★★★
()

Проблема sudo в том, что терминал остается с правами доступа определенное время после его (судо) ввода. Если кто-то другой в этот момент получит к терминалу доступ - то все, это рут.

Кроме того, как тут уже неоднократно отметили, пароль от судо совпадает с паролем пользователя, что тоже не хорошо. Поэтому в дебиане судо по умолчанию нет (по крайней мере раньше не было, сейчас не уверен).

Но только на твоем личном компе это все до лампочки. Основная опасность исходит не от сюда, а от всяких вредоносных кодов, которым этот судо вообще не нужен.

anonymous
()
Ответ на: комментарий от ceeqwer

Я имел ввиду линукс-десктоп. Основная цель «домашней» малвари это ведь винда, верно?

Нет, всякие дыры в твоем браузере вообще кроссплатформенные.

anonymous
()
Ответ на: комментарий от anonymous

Согласен. На данный момент мои Firefox и Chrome изолированы Firejail’ом. Можно ли считать это достаточным для домашнего компа?

ceeqwer
() автор топика
Ответ на: комментарий от anonymous

Проблема sudo в том, что терминал остается с правами доступа определенное время после его (судо) ввода. Если кто-то другой в этот момент получит к терминалу доступ - то все, это рут.

это удобство, к примеру когда в скрипте несколько последовательных sudo команд.
можно отключить timestamp_timeout=0 в Defaults /etc/sudoers или для конкретных пользователей.

Number of minutes that can elapse before sudo will ask for a passwd again.  The timeout may include a fractional component if minute granularity is insufficient, for example 2.5.  The default is 15.  Set this to 0 to always prompt for a password.  If set to a value less than 0 the user's time stamp will not expire until the system is rebooted.  This can be used to allow users to create or delete their own time stamps via “sudo -v” and “sudo -k” respectively.

Кроме того, как тут уже неоднократно отметили, пароль от судо совпадает с паролем пользователя, что тоже не хорошо. Поэтому в дебиане судо по умолчанию нет (по крайней мере раньше не было, сейчас не уверен).

опять же удобство. простому пользователю ни в коем случае не надо знать пароль администратора.
а разумному администратору нельзя включать простого пользователя в группу sudo. только давать допуск до ограниченного набора функций, жизненно важных для данного пользователя.
тогда все ок.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от ceeqwer

все зависит от того насколько ты уверен в твердости тюрьмы/песочницы :) у всякого средства есть дырки.
все зависит от выбранного баланса защищенности к удобству. любая защита ограничивает удобство пользования системой.
вполне можно вынести браузер с почтовиком на отдельную машину. тогда будет почти полная защита от проникновения на защищенную машину. но удобство пользования такой системой сильно просядет.

pfg ★★★★★
()
Ответ на: комментарий от pfg

Да, я согласен с тем что удобство и безопасностью имеют отрицательную корреляцию. Поэтому и говорю use-case среднего юзера. Если уж на то пошло, то никаких критических/личных данных у меня в принципе на компе нет - оно всё на внешнем жестком диске.

Я скорее просто не хочу быть частью какого-нибудь ботнета, ну и плюс чтобы история браузера/куки не оказались в руках какого-нибудь хацкера).

ceeqwer
() автор топика

две строчки в конфиге:

permit persist :wheel
permit nopass user

и пофигу на фашу безопасность, там регистрант уже на картинку давал ссылку

anonymous
()
Ответ на: комментарий от ceeqwer

на домашней бубунте у меня сделан автологин в граф.среду. потому что удобно.
на винде на работе сижу не под администратором, хотя остальная часть офиса сидит под ним. потому что вот так. хотя остальная часть офиса плювается «неудобно» когда выскакивают запросы на повышение прав.

все зависит от «прокладки между монитором и креслом» :) главный инженер с бухгалтерией ловили и вирусов и шифраторов и прочее, хотя обмазаны платными касперскими.
за многие года, начиная со второго года пользования компутером еще под вин95, не ловил вирусов тьфу-тьфу-тьфу-тьфу.
на работе платного каспера пристрелил много лет назад, ибо он тихо и незаметно закрыл доступ одному приложению к интернету и пришлось пару день кипятить мозги… и вот както до сих пор норм. хотя швали идет кучами.
знаю одного человека, который в инет выходит через lynx (ладно хоть без тора) изза того что в нем нет джава-скриптов и никто не исполнит левый код на его компе.

бекап важных данных и аккуратность.
п.с.: история твоих запросов, заходов на странички с рекламой, давно уже у поисковиков :) но ты конкретно им похеръ.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 2)
Ответ на: комментарий от pfg

Собственно у меня примерно такая же история. Пользуюсь аккуратно, соблюдаю элементарные правила безопасности. За 15 лет пользования компьютером вирусов не ловил.

Просто не имея глубоких знаний в ИТ, порой без всякого видимого повода бывают приступы паранойи в стиле «а вдруг я не единственный юзер своего компа»)))

Видимо сказывается «windows use-case experience» когда имея лицензионную винду и антивирь чувствуешь себя в безопасности))

ceeqwer
() автор топика

Бог дал тебе многопользовательскую систему. Какое нахрен судо или су? Какой администратор?

Куча пользователей с разными правами под соответствующие разные задачи, и лучше на соответствующем разном железе.

anonymous
()
Ответ на: комментарий от xmikex

Мне вот интересно вы юзаете VLC просто для просмотра видосиков/киньчика или же его ставят когда нужно что-то большее чем просто плеер?)

ceeqwer
() автор топика
Ответ на: комментарий от ceeqwer

Просто не имея глубоких знаний в ИТ, порой без всякого видимого повода бывают приступы паранойи в стиле «а вдруг я не единственный юзер своего компа»)))

Покормлю тебя. Подобие Intel ME у тебя присутствует? Да? Ну, поздравляю. Твой комп юзает ещё и он. Ещё юзает провайдер (реклама). Это из того что происходит точно и прямо сейчас ;)

anonymous
()
Ответ на: комментарий от ceeqwer

Мне вот интересно вы юзаете VLC просто для просмотра видосиков/киньчика или же его ставят когда нужно что-то большее чем просто плеер?)

Удобное клиентское подключение к видеонаблюдению за женой, за детьми. При этом можно включить любимое греческое радио, и всё это не переключаясь.

anonymous
()
Ответ на: комментарий от xmikex

vlc под рутом не запускается

У меня запускается. В обновлениях что-то снова учудили?

anonymous
()
Ответ на: комментарий от ceeqwer

хотел проверить возможность проигрывать плейлист на древнем ноуте, не открывает в общем-то.
может криво собрался.

xmikex ★★★★
()
Ответ на: комментарий от anonymous

Покормлю тебя. Подобие Intel ME у тебя присутствует? Да? Ну, >поздравляю. Твой комп юзает ещё и он. Ещё юзает провайдер >(реклама). Это из того что происходит точно и прямо сейчас ;)

Так я и не лезу в такие дебри. Я говорю о правилах безопасности для среднего юзера. Я знаю что самый безопасный компьютер, это тот, который не имеет сетевых интерфейсов и возможности подключения внешних накопителей.

Что касается провайдера и всевозможных стучалок/трекеров они меня так же особо не волнуют. Хотя насколько я знаю этих стучалок в линуксах меньше чем в винде.

Удобное клиентское подключение к видеонаблюдению за женой, за >детьми. При этом можно включить любимое греческое радио, и всё >это не переключаясь.

Понятно. В этом случае конечно нужен больше чем просто плеер.

ceeqwer
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.