sudo и SUDO_USER

0

1

А гарантируется ли, что переменная SUDO_USER, устанавливаемая при запуске sudo something, не может быть подменена, как, например, переменная USER ?

$ export USER=root
$ echo $USER

Ссылка

←	С++ библиотек динамической типизации тред

Как быстрее всего читать память(RAM) в Linux.

→

$ sudo SUDO_USER=abacaba sh
Password:
$ echo $SUDO_USER
abacaba

Так, что ли?

devsdc ★★
(19.10.14 23:09:39 MSK)

Ответ на: комментарий от devsdc 19.10.14 23:09:39 MSK

Я получаю

sudo: sorry, you are not allowed to set the following environment variables: SUDO_USER

какая у тебя версия sudo и что в конфиге sudo?

cvs-255 ★★★★★
(19.10.14 23:17:45 MSK) автор топика
Последнее исправление: cvs-255 19.10.14 23:19:04 MSK (всего исправлений: 1)

Ответ на: комментарий от cvs-255 19.10.14 23:17:45 MSK

В конфиге околодефолт:

root ALL=(ALL) ALL
 %wheel ALL=(ALL) ALL

Версия:

$ eix -e sudo -c
[U] app-admin/sudo (1.8.6_p7@01/09/2014 -> 1.8.11_p1): Allows users or groups to run commands as other users

devsdc ★★
(19.10.14 23:25:36 MSK)

Ответ на: комментарий от devsdc 19.10.14 23:25:36 MSK

А вот что-то такое есть?

Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

cvs-255 ★★★★★
(20.10.14 00:22:04 MSK) автор топика

Ответ на: комментарий от cvs-255 20.10.14 00:22:04 MSK

Нет.

devsdc ★★
(20.10.14 00:37:25 MSK)

Ответ на: комментарий от devsdc 20.10.14 00:37:25 MSK

А если добавить?

cvs-255 ★★★★★
(20.10.14 00:57:36 MSK) автор топика

Ответ на: комментарий от cvs-255 20.10.14 00:57:36 MSK

Никакого эффекта.

devsdc ★★
(20.10.14 01:51:38 MSK)

Ответ на: комментарий от devsdc 20.10.14 01:51:38 MSK

у меня 1.8.9p5

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL:ALL) ALL

vlad 	ALL=NOPASSWD: /usr/local/bin/suspend2ram.sh, /usr/local/bin/mountsmb

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL

cvs-255 ★★★★★
(20.10.14 02:13:47 MSK) автор топика

Ссылка

Ответ на: комментарий от cvs-255 19.10.14 23:17:45 MSK

Я получаю

Где вы это получаете? sudo ничего не знает о переменных окружения дочерних процессов, поэтому с ними можно делать абсолютно что угодно.

slovazap ★★★★★
(20.10.14 06:03:54 MSK)

Ответ на: комментарий от slovazap 20.10.14 06:03:54 MSK

«sudo мне пишет» - так понятнее?

cvs-255 ★★★★★
(20.10.14 20:56:10 MSK) автор топика

Ответ на: комментарий от cvs-255 20.10.14 20:56:10 MSK

Нет. Полный лог в студию.

slovazap ★★★★★
(20.10.14 22:50:33 MSK)

Ответ на: комментарий от slovazap 20.10.14 22:50:33 MSK

$ sudo SUDO_USER=root sh
sudo: sorry, you are not allowed to set the following environment variables: SUDO_USER

cvs-255 ★★★★★
(20.10.14 23:02:42 MSK) автор топика

Ответ на: комментарий от cvs-255 20.10.14 23:02:42 MSK

sudo env SUDO_USER=root sh

slovazap ★★★★★
(20.10.14 23:04:00 MSK)

Ответ на: комментарий от slovazap 20.10.14 23:04:00 MSK

Sorry, user vlad is not allowed to execute '/usr/bin/env SUDO_USER=root sh' as root on vlad.

Если добавить - то позволит изменить

Кстати, это лишний повод не позволять запускать что угодно через sudo

cvs-255 ★★★★★
(20.10.14 23:05:32 MSK) автор топика
Последнее исправление: cvs-255 20.10.14 23:08:26 MSK (всего исправлений: 2)

Ответ на: комментарий от cvs-255 20.10.14 23:05:32 MSK

Если вызываешь интерактивный sh, то можно сделать что угодно внутри этого sh. Ограничения работают только на возможность менять переменные самим sudo.

slovazap ★★★★★
(20.10.14 23:09:29 MSK)

Ответ на: комментарий от slovazap 20.10.14 23:09:29 MSK

Да. Но если ты можешь вызывать sh через sudo, то дальше ты вообще что угодно можешь, так что смысла особого делать защиту в этом случае нет.

cvs-255 ★★★★★
(20.10.14 23:11:03 MSK) автор топика
Последнее исправление: cvs-255 20.10.14 23:12:11 MSK (всего исправлений: 1)

Ответ на: комментарий от cvs-255 20.10.14 23:11:03 MSK

Так вопрос-то в чём?

slovazap ★★★★★
(21.10.14 00:04:28 MSK)

Ответ на: комментарий от slovazap 21.10.14 00:04:28 MSK

Если не касаться случаев, когда разрешены sudo sh, sudo env и им подобные, а разрешены только специальные программы, которые гарантированоо не станут менять переменную SUDO_USER, возможна ли подмена SUDO_USER?

cvs-255 ★★★★★
(21.10.14 00:12:56 MSK) автор топика

Ответ на: комментарий от cvs-255 21.10.14 00:12:56 MSK

Никаких гарантий никто не даст, и завязываться на это нельзя.

slovazap ★★★★★
(21.10.14 17:34:50 MSK)

Ответ на: комментарий от slovazap 21.10.14 17:34:50 MSK

А как тогда точно узнать, кто запустил?

cvs-255 ★★★★★
(22.10.14 03:51:58 MSK) автор топика

Ответ на: комментарий от cvs-255 22.10.14 03:51:58 MSK

pid -> ps -> ruid, не?

Ну, или что-то подобное, мне что-то плохо думается.

devsdc ★★
(22.10.14 04:46:18 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	С++ библиотек динамической типизации тред

Development

Как быстрее всего читать память(RAM) в Linux.

→

Похожие темы