sudo systemctl долго реагирует на команду если в resolv.conf некорректный ip

Все что там пишу это убираю ввод пароля для sudo, остальное как в ОС из коробки. Никаких там IP нет.

# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
#%sudo  ALL=(ALL:ALL) ALL
%sudo   ALL=(ALL) NOPASSWD:ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Гм.

Ну тогда если разбираться, то нужно смотреть, что там в sudoers.d, смотреть с какими дефолтами было собрано, смотреть в конфиг PAM и auditd — может, это вообще в них.

Народ заходил под рутом и сидел и делал все дела в папке юзера, потом приходил юзер и в его папке цирк и "тебе это нельзя"с его же файлами или с файлами настроек вызванных программ, у которых уже стал рут-владельцем.

https://ruvds.com/ru/helpcenter/suid-sgid-sticky-bit-linux/

почитай про про четвертую цифру в правах на файлы. тебе нужно на каталог, который шарится sgid повесить

chmod g+s dir

total 12
drwxr-xr-x  2 root root 4096 Sep 11  2018 ./
drwxr-xr-x 96 root root 4096 May 14 10:28 ../
-r--r-----  1 root root  958 Jan 18  2018 README

:)

Народ заходил под рутом и сидел и делал все дела в папке юзера

Как ты читаешь? Повторю ещё раз:

Руту нечего делать в /home

Зачем админ делал cd в директорию юзера перед работой? Видимо он профнепригодный.

выполняют команды которые не знают толком что делают (накопипастят из инетов)

Ну да, подтверждается.

Насчет сидеть под юзерам и трогать sudo, что даже sudo nano /etc/network/interfaces или sudo systemctl нельзя делать, а надо уходить под рута для этого. Нонсенс. :)

Это не нонсенс а базовые правила поддержания порядка в системе, учись.

Это не админ, а покупатель девайса, которому по условиям договора передается рут. Дальше они сами там возятся как могут (хотя есть вебка для настроек), в результате ломается продукт, заходит разработчик и видит цирк. А не дашь рута, не купят устр-во. :) Смена имени хоста одна из такой возни, а потом жалобы начались лаги при выполнении команд. Зашел, увидел, действительно лаги, хз почему, спросил народа, вот и помогли. :) Житейская ситуация.

Кстати, посмотрел на одной из российских десктопных линуксов, у нее HOSTNAME прописан в /etc/hosts

Прописал там другое имя, теперь на команду sudo пишет такое: sudo: unable to resolve host HOSTNAME

А если прописать левый DNS то вообще долгий таймаут потом тот же результат: sudo: unable to resolve host HOSTNAME

Но здесь хоть сразу причина видна.

В итоге остается последний вопрос после изменения имени хоста и больше никуда не лазить и при отсутствии инторнета: Why is internet connectivity required for sudo?

Потому, что sudo не нужен. Переходи на run0.

Если бы это было так просто, то я и сам написал бы все нужные мне утилиты и сам линукс, но приходится использовать то что есть в наличии в промышленных образцах, и воткнуть туда мейнстрим еще сложнее чем написать своё. Утилита run0 включена в состав выпуска systemd 256, который находится на стадии кандидата в релизы.

Ну вот такой у нас софт в промышленной эксплуатации, который может давать рандомные задержки в казалось бы не связанных ситуациях.

Так ты в техподдержке работаешь и чинишь за юзерами-идиотами что они там напортили? Тогда ладно.

run0 тоже ненужен как и системг вообще

В промышленных системах может использоваться устаревший, но тем не менее проверенный временем софт.

Так же, как в космос летает техника уровня pentium 1 и со зверскими тех. процессами, потому что надёжно и не произойдёт переключение транзистора от прилетевшего фотона.

Переходить на run0 только из-за того, что он появился и его придумал Леннарт смысла никакого.

Вот если бы он ещё сохранил полную совместимость по конфигам, ключам запуска, сделал бы конвертер, тогда есть о чём говорить.

Это всё можно сделать и самому и переписать часть скриптов, сервисов, можно.

Но если предлагается новое системное ПО, даже привносящее больше безопасности - неплохо бы обеспечить совместимость.

К примеру, чем тебя не устраивает sudo? Понятно, что у тебя, видимо Арч и там уже он, возможно есть и вскоре везде будет штатно, как часть systemd. Но лично тебе чем не подходит sudo?

Кек. Изменение имени машины - это целая операция, там не в одном и не в двух местах править надо.

Главная проблема sudo это наличие suid бита.

Это означает, что программа, которую запускает любой юзер, запускается от рута.

При этом она читает конфиги, линкуется с кучей библиотек, которые бог знает что делают, как выясняется - даже в интернет лезет.

И это всё на ужасающем C, в котором переполнение буфера даже в hello world-е можно допустить. systemd, правда, тоже написан на С, что прискорбно, так что этот пункт скорей так, из разряда rant.

И всё это выражается в 185 CVE на sudo на текущий момент. Для сравнения - по systemd находится 92 CVE, при том, что масштаб проектов несравним.

В нормальной системе безопасности не должно быть возможности увеличить свои привилегии. Никак вообще. Только уменьшить. Концепция suid бита нарушает этот принцип и поэтому должна быть изжита. run0 это один из шагов к решению этой проблемы.

Главная проблема sudo это наличие suid бита.

Это означает, что программа, которую запускает любой юзер, запускается от рута.

Это всё понятно, но это те же слова, что сказаны в новости про run0 и это же описано в документации sudo, т.е. общеизвестно. С этим я в принципе согласен. Ошибки в коде sudo или приложений, через него запускаемых, могут привести к проблемам в безопасности. В некоторых системах suid бит стоит даже на утилите ping.

А твои собственные мысли, кроме того, что сказано в новости и в ман странице самого sudo, какие?