LINUX.ORG.RU

Обновление без root в Xubuntu

 , , ,


0

1

Xubuntu 12.04

$ uname -a
Linux chenger 3.2.0-43-generic #68-Ubuntu SMP Wed May 15 03:33:33 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
Заметил уже не первый раз, проверил: Если вызвать установку обновлений из трея, оно не запросит пароля, спокойно обновится. Это баг или фича? Если фича, то как реализована и как ее убрать? Как с безопасностью? Или может я чего где какие настройки задел, хотя не могу приложить ума - какие?

Я не хочу чтобы кто угодно мог накатить мне обновления 2 кликами, пока я отошел от компьютера.

Как с этим в других *bunta-х?

★★

sudo запрашивает пароль при запуске?

UPD: Скорее всего, юзер состоит в группе admin - потому и не спрашивает. Это фича.

ArtKun ★★★★★
()
Последнее исправление: ArtKun (всего исправлений: 2)

Ну так там update-manager висит в фоне от рута. Оно периодически проверяет обновления и выводит уведомление в трее. Я несколько лет назад удалил его, т.к. предпочитаю проверять обновления сам когда мне надо. Просто удаляешь пакет update-manager-core (оно потянет за собой некоторые зависящие от него пакеты, например update-manager-kde в моём случае).

firestarter ★★★☆
()
Ответ на: комментарий от ArtKun

Что «нет»?
https://bugs.launchpad.net/ubuntu/ source/update-manager/ bug/826276

Возможно это такая фича висящего в фоне update-manager, который там всё равно висит от рута, т.к. apt-get не работает без sudo, несмотря на то что пользователь в группе admin.
http://img850.imageshack.us/img850/2648/screenshot1369415176.png

firestarter ★★★☆
()
Ответ на: комментарий от firestarter

Я думаю, это не фича, а баг. Процесс находится в юзерспэйс, так? Так какого черта он имеет привелегии?

chenger ★★
() автор топика
Ответ на: комментарий от firestarter

Мне интересно именно откуда и почему. До выхода обновления до 12.04.1 меня спрашивало пароль.

На этом можно написать великолепный windows-like вирусняк. Так какого фига, мне интересно от чего, почему, у меня-ли одного?

chenger ★★
() автор топика
Ответ на: комментарий от chenger

Процесс находится в юзерспэйс, так? Так какого черта он имеет привелегии?

Нет, насколько я помню, в фоне висел демон под под рутом, а в юзерспейс уже клиент, который выводил уведомления в трее и другие диалоги, с демоном общался наверное по dbus.

firestarter ★★★☆
()
Ответ на: комментарий от chenger

На этом можно написать великолепный windows-like вирусняк

Ну какой ещё нахрен вирус? Всё что умеет делать update manager, это обновлять систему.

firestarter ★★★☆
()

Скорей всего особенность апдейт-менеджера. Линус ругался, что для установки принтера нужно пароль рута вводить. Вот и.

bubblecore ★★★★
()

Это фича. И оно запрашивает пароль при обновлении ядра, например. А при обновлении прикладного ПО не запрашивает.

OperaSoftvvare ★★
()
Ответ на: комментарий от OperaSoftvvare

Таким методом обновлялось ядро. Тогда не придал этому значения так как тольког залогинился.

chenger ★★
() автор топика
Ответ на: комментарий от firestarter

Это как сказать «желудок был готов, поэтому рот открыт.» Если у Вас так - вперед, я в этот рот могу много чего накидать.

chenger ★★
() автор топика
Ответ на: комментарий от OperaSoftvvare

Править уже не могу. Заметил второй раз именно когда меня попросили перезагрузиться после обновления, когда я ТОЧНО не вводил пароль. Ядро обновилось, пароль кроме логина не вводил, но, так как только загрузился до этого, подумал что пароль отдало окно логина. Копал в эту сторону, ничего не накопал.

chenger ★★
() автор топика
Ответ на: комментарий от chenger

Вас, особо не понимающих в безопасности на уровнен процессов, уже и слышать не хочется.

Херню не неси. Рутовый процесс, висящий в фоне, умеет только принимать сообщение «обновить» по dbus от другого процесса под твоей учёткой и выполнять обновление, если такое сообщение поступило. В каком месте тут уязвимость и что тут может поделать вирус, умник?

firestarter ★★★☆
()
Ответ на: комментарий от OperaSoftvvare

Читай выше. Тогда скинул на логин. Сейчас уже в который раз просто не просит пароля. уже обновлялось что только угодно...

chenger ★★
() автор топика
Ответ на: комментарий от firestarter

А Вам по нервной системе подать команду «свали отседова» вы только рады будете. Ведь Вам известную команду подали, а не «стань раком».

Вы знаете, я думал Вы просто протеста ради, а оказалось, тупости для.

chenger ★★
() автор топика
Ответ на: комментарий от firestarter

Можно еще посмеюсь?

Дай из юзерспейса команду по dbus

chenger ★★
() автор топика
Ответ на: комментарий от chenger

Не знаю что там у тебя, у меня даже сразу после логина просит пароль на обновление. Как писала выше не для любого апдейта, но просит.

Последний раз просило с неделю назад. Вчера обновления без пароля были.9

OperaSoftvvare ★★
()
Последнее исправление: OperaSoftvvare (всего исправлений: 1)

Кубунта 12.10, постоянно спрашивает пароль. ЧЯДНТ?

J ★★★★★
()
Ответ на: комментарий от OperaSoftvvare

Вот я и озаботился сиим положением вещей J и у Вас все в порядке. Хначит Хубунта мутит. Если знаете, кастаните хубунтовцев.

chenger ★★
() автор топика
Ответ на: комментарий от chenger

Вот тут написано, когда оно запрашивает пароль, а когда нет. также написано как отключить такое поведение, если тебя не устраивает https://wiki.ubuntu.com/SecurityTeam/FAQ

Читай сразу раздел про update-manager

OperaSoftvvare ★★
()
Последнее исправление: OperaSoftvvare (всего исправлений: 2)
Ответ на: комментарий от chenger

Я сюда влезу со своими школьными знаниями попредполагать: посмотри suid-бит, посмотри sudoers, посмтори чем-нибудь владельца процесса.

cdshines ★★★★★
()
Ответ на: комментарий от firestarter

Да над Вами можно смеяться с самого начала треда. Да, запустить мэнэджер можно и от юзера, только Вы знаете.....? От кого он стучится в репозиторий и от кого в /sbin, например?

Вы не бойтесь, мы можем и объяснить и показать, если не понимаете, спрашивайте...

chenger ★★
() автор топика
Ответ на: комментарий от cdshines

Так, не смотри ничего. Там так смешно написано:

Update Manager doesn't prompt for security updates

Why does update-manager no longer prompt for the user's password? As of Ubuntu 11.10, update-manager no longer prompts for the user's password to apply updates. This was decided to improve usability and to make it easier for users to apply security updates and therefore increase system security. The rationale is as follows: Like in previous releases, by default only people in the admin group are allowed access to perform security updates. For environments where this change is deemed not appropriate, this functionality can be disabled by the administrator via PolicyKit or by creating users that are not in the admin group (a recommended practice to begin with).

Короче, вырубается через PolicyKit или таки удалять из admin. Что-то непонятно, чего это пользователя в эту группу добавлять?

cdshines ★★★★★
()
Ответ на: комментарий от cdshines

Уже думал скастовать trueadmin чтобы помог оттрассить процесс. На счет бита я не на столько в курсе, не знаю. sudoers тут не в кассу точно.

chenger ★★
() автор топика
Ответ на: комментарий от chenger

В общем либо создай юзера не входящего в группу admin, либо через PoliciKit отключи фичу. Сразу скажу, что второе не знаю как сделать, гугле в помощь.

OperaSoftvvare ★★
()
Ответ на: комментарий от chenger

Ну, если не знать правильного ответа, то очень даже в кассу - там же можно указывать приложения с nopasswd.

cdshines ★★★★★
()
Ответ на: комментарий от cdshines

Я не особо чтец по ихнему. Как отключить? В 12-04 сначала спрашивало всегда, вроде.

И кто-что теперь ответственно за это, и какого этого?

chenger ★★
() автор топика
Ответ на: комментарий от chenger

А Вам по нервной системе подать команду «свали отседова» вы только рады будете. Ведь Вам известную команду подали, а не «стань раком».

Мда... Ещё раз объясняю для тупых. Фоновый процесс с правами root слушает dbus. Он знает только команду «обновить», других команд не существует. Он может только по dbus получить эту команду от непривилегированного процесса и выполнить обновление. В каком месте тут уязвимость, ещё раз спрашиваю? Иди кури матчасть вместо того чтобы огрызаться и постить ересь.

Вирус без прав root сделать ничего не сможет, кроме как послать ту же команду «обновить» по dbus. Ой как страшно.

firestarter ★★★☆
()
Последнее исправление: firestarter (всего исправлений: 2)
Ответ на: комментарий от chenger

Посмотри

/var/lib/polkit-1/localauthority/10-endor.d/com.ubuntu.desktop.pkla
Там будет что-то типа
[Update already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=yes
Тебе нужно создать
/var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla
с содержимым
[Require password to upgrade already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=auth_admin

Взято с http://askubuntu.com/questions/86773/update-manager-doesnt-ask-for-a-password.

cdshines ★★★★★
()
Последнее исправление: cdshines (всего исправлений: 2)

Чую, сейчас, если я займусь всем этим у меня руки будут «по колено в крови»

Видимо - нужен другой дистр.

Сегодня в толксе будет очередной вопрос..

chenger ★★
() автор топика
Ответ на: комментарий от cdshines

Спасибо.
OperaSoftvvare тоже спасибо.
но не полезу. серваки у меня до сих пор на 10.04, а дистр, по ходу пора менять.

Я тут еще потроллю,сами видите кого, а по теме, создам в толксах очередной тред «куда свалить» если не подскажут, останусь. Уже слишком всего этого для меня.

chenger ★★
() автор топика
Ответ на: комментарий от firestarter

Ты глупый или как?:) Мне и нужен этот фоновый процесс, чтобы его не стало, чтобы не было мостика этого между юзерспэйс и суперадминистратором, и Я не собираюсь доверять этому процессу, я могу в него кинуть 100 комманд в секунду из юзерспейса, ты мне ответишь что он сделает при этом?

В школе компьютерной безопасности не учат, и в институте не во всяком. Ты сюда пришол чего ради?

Да, меня просто задеть, но сложно переспорить, я как та стандартная девка из вконтакте. Может ты извращенец?

chenger ★★
() автор топика

Если вызвать установку обновлений из трея

А само ядро?
Вообще в 13.04 (да и ранее вроде как было) просит пароль только если новая установка (ядро как пример).

amorpher ★★★★★
()
Ответ на: комментарий от chenger

не было мостика этого между юзерспэйс и суперадминистратором

Да, надо запретить sudo, su, и бит suid. А ping страшная утилита, из-за нее в Линуксе могут быть вирусы

goingUp ★★★★★
()
Ответ на: комментарий от chenger

Процесс находится в юзерспэйс, так? Так какого черта он имеет привелегии?

Сейчас старайся хотя бы закончить 8й класс, потом, на первом курсе расскажут.

anonymous
()
Ответ на: комментарий от firestarter

демон под под рутом, а в юзерспейс уже клиент

Зачем ты болтаешь с одноклассником здесь? Идите в мэйлагент.

anonymous
()
Ответ на: комментарий от firestarter

фича висящего в фоне update-manager, который там всё равно висит от рута

оно самое

amorpher ★★★★★
()
Ответ на: комментарий от goingUp

Уважаемый, поясните, в чем я не прав? Не в том-ли что неизвестный поцесс имеет недокументированный выход в юзерспейс, не в том-ли что я хочу избежать сего непотребства, и, видя сие у себя на десктопе начал беспокоиться?

chenger ★★
() автор топика
Ответ на: комментарий от chenger

меня в этом случае не устраивает сам дистр

Пользуйся тогда другим дистром (Аdamantix типа), что за шиза-то такая?

amorpher ★★★★★
()
Ответ на: комментарий от chenger

Ты глупый или как?:) Мне и нужен этот фоновый процесс, чтобы его не стало,

Я тебе, дебилу, в первом своём комментарии написал как его удалить.

firestarter ★★★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.