наличие root

как-то своих программ кучу потерял, вместе с исходниками

Т.е. с хостингами проектов на основе git/mercurial/... вы не знакомы?

Все копировать не получается,

Даже боюсь спросить что у вас за объемы данных и почему в 2012 году их нельзя сбэкапировать?

И если мне не изменяет память, для этого вообще пароля никакого ни надо.

Т.е. с хостингами проектов на основе git/mercurial/... вы не знакомы?

Знаком, но зачем для маленьких домашних проектов на 1-2 к строк их притягивать? Опять же хочется сесть и кодить.

Даже боюсь спросить что у вас за объемы данных и почему в 2012 году их нельзя сбэкапировать?

Можно, но эти надо каждый день заниматься. Ты же тоже каждый день не копируешь данные.

пароля первого пользователя, который устанавливал систему. для работы можно другого завести, если уж безопасности хочется.

И тогда для того, чтобы выполнить что-то рутовое надо будет сначла сделать su первый_пользователь, вести пароль, а потом sudo команда и ещё раз ввести тот же пароль. Как по мне - это неудобно.

осиль уже sudo -i

Тред не читай @ сразу отвечай?

Я уже говорил, что знаю о том, что sudo bash - это неправильно и что написал по старой дурной привычке. Но суть моего сообщения была не в конкретно этой команде команде.

Точно так.

тогда для того, чтобы выполнить что-то рутовое надо будет сначла сделать su первый_пользователь, вести пароль, а потом sudo команда и ещё раз ввести тот же пароль.

Ох уж эта ваша убунта...

Опять же хочется сесть и кодить

Это как-то идет в разрез с наличием культуры разработки? Ну там, с использованием системы управления версиями, к примеру.

Так это домашнее программирование, для удовольствия. Культуры разработки мне на работе хватает.

И тогда для того, чтобы выполнить что-то рутовое надо будет сначла сделать su первый_пользователь, вести пароль, а потом sudo команда и ещё раз ввести тот же пароль. Как по мне - это неудобно.

ну настрой sudo так, как тебе удобно.

ну настрой sudo так, как тебе удобно.

Понимаю, когда несколько пользователей. Для каждого нужны свои разрешения/команды. Но когда пользователь 1, зачем копаться в sudo, при живом root ?

на лоре уже масса срачей была - su vs sudo, это видимо дело привычки.

и кстати, никто не мешает тебе в убунте не использовать sudo, а назначить руту пароль и использовать su.

или в федоре мне ничто не помешает взять судо при необходимости

Так это домашнее программирование, для удовольствия.

А что, система управления версиями кайф от «домашнего программирования» ломает? А кайф не ломается от того, что код разбросан по файловой системе и любой чих системы приведет к потере проекта?

By the way, маленький проект (1-2 KLOC) не означает незначимый проект. Вон у того же XMonad всего тысяча строк кода, но от этого хуже этот оконный менеджер не становится ;)

comp00

Искоробки нет. А добавить и в оффтоп рута можно, но смысла нет

Он там есть, просто отключен.

имя рута можно и изменить на любое

Некоторые кривые программы проверяют сначала не uid, а имя.

По SSH вообще запретить root`a

Оно по умолчанию так и есть. Но можно и не запрещать - достаточно настроить авторизацию по ключам.

Да, мои друзья убунтоводы

В бубунте рут «волшебным образом» появляется командой sudo passwd

В системе, в которой пароль рута задан, чтобы получить привилегии суперпользователя надо знать два пароля - пользовательский, чтобы залогиниться в систему и рутовый, чтобы перейти по su.

а почему использовать sudo нельзя? моральные запреты?

а почему использовать sudo нельзя?

Это же дырища: нужно знать только 1 пароль. su безопаснее.

Это же дырища: нужно знать только 1 пароль. su безопаснее.

На терминальном сервере да, на домашней машинке нет. Самое важное, что есть на домашней машине и так хранится в хомяке, а то что доступно только руту переустанавливается с диска за пару часов.

Мне кажется, что парадигма безопасности, пришедшая ещё с маинфреймов мягко говоря некорректна по отношению к десктопу.

А то, что хранится в «хомяке», переустанавливается из бэкапов. И что?

Это же дырища: нужно знать только 1 пароль.

Дырища у кого-то в знаниях, потому что это настраивается.

Подписываюсь под каждым словом.

Ты про ключик targetpw?

А то, что хранится в «хомяке», переустанавливается из бэкапов. И что?

Вопрос в том, какая инфа на компе для тебя более критична в случае потери, а самое главное, в случае несакцинированного доступа? Юниксовая традиция навязывает, что самое главное то, что под рутом, хотя это совсем не так.

К томуже на десктопе обычно гораздо больше именно персональных данных, нежели системных, поэтому их бэкап дороже, а восстановление дольше.

Скорее про rootpw, но и это тоже.

Мне кажется в юнексе в роли десктопа есть опасный перекос: «главное не дать пользователю или программе проломится до рута».

Это конечно хорошо, но на деле злоумышленнику или просто криворучке достаточно хомяка чтобы набедокурить с пользовательскими данными:

• есть куча мест с автозагрукой,
• куча мест куда можно положить свой код и исполнить его,
• к вашим услугам куча интепретаторов и частенько компиляторов на любой вкус,
• любой процесс запущенный пользователем имеет все права на его данные и т.д.

  Забавно, что большинство дистрибов ничего с вышеперечисленным не делают. Даже элементарного noexec,nodev на /home нет. AppArmor или SELinux есть из коробки в двух с половиной дистрибах, да и то за ними похоже следят не пристально.

Ну и просто моё мнение рядом с темой: если бы некоторые разработчики не испытывали непонятного страха перед sudo, вечного источника проблем по имени policykit могло бы и не быть, ибо это всего лишь кривой костыль, охватывающий некоторую возможную (и весьма ограниченную) конфигурацию sudo.

AppArmor или SELinux есть из коробки в двух с половиной дистрибах

При этом одним из первых действий пользователя после установки будет отключение этих «мешающих хреновин». Нет смысла навязывать безопасность, кому надо, тот сам о ней позаботится.

Нет смысла навязывать безопасность, кому надо, тот сам о ней позаботится.

Пока мы говорим о профессиональном сообществе действительно навязывать бессмысленно, но та же бубунта нацелена на домохозяек, которым уж точно можно, например, запретить доступ к bash/python/perl и сделать noexec на хомяк - они и не заметят, а безопасность возрастет в разы.

К тому же, нельзя пускать это дело на самотек: поддерживать конфигурации AppArmor малым числом пользователем тяжело, не говоря уж о монстре SELinux.

наличие root

Очень нужно, хотя и с ним есть проблемы уязвимости, но как то уже привыкшие под рутом работать.

PS Да, мои друзья убунтоводы =(

P.S. Анимешники?

Друзья, давайте честно. Ваш спор бысмысленный ибо не дочитали man sudoers/sudo , да и вообще местами не поняли для чего. выдержка(sudo, sudoedit - execute a command as another user)
Убунту предполагала собой с самого начала продвижение линукс десктопов(десктопов подчеркнуть, заменить - не терминал). Итого, чем меньше видит пользователь не графического, тем больше она(система) дружелюбней. поэтому при создании пользователя он заноситься в судоерс и грантит все(или почти все), чтобы человек(ака хомяк) меньше думал (что за рут!?!?! полез в словарь увидел корень, стал еще больше недоумевать). Поэтому разработчики подумали о всех и в первую очередь о ньювби, так как цель продвигать линукс десктоп, а не делать его для людей, которые легко обойду «100 раз вводить пароль», именно поэтому 100 раз — далеко не плохо.
СРАЧ УДАЛСЯ!!!

Одна из, но самая важная уязвимость рута - человек который под ним залогинился!

Одна из, но самая важная уязвимость рута - человек который под ним залогинился!

Не говори, тупой человеческий фактор всему виной. Человек не нужен :(

А что из себя не заданный пароль представляет? Рандомную последовательность?

! в /etc/shadow вместо пароля. На языке юникс это что-то типа «аккаунт неактивен» или «пароль для входа не задан». Как-то так.

P.S. Анимешники?

Не все. Один, который и подсадил остальных на linux

Дал пароль своего юзера члену семьи или соседу по комнате

зачем?

Но в случае восстановления системы, преимущества root`a очевидны.

никто не мешает «в случае восстановления системы» зайти без пароля

И тогда для того, чтобы выполнить что-то рутовое надо будет сначла сделать su первый_пользователь, вести пароль, а потом sudo команда и ещё раз ввести тот же пароль. Как по мне - это неудобно.

бред какой. sudo команда, если пользователь/его группа описаны в sudoers

Ох уж эта ваша убунта...

это не «ваша убунта», это их неосиляторы

Убунту предполагала собой с самого начала уничтожение линукса

Так правильнее.

А если уж в бубунте изначально рута нет, то хотя бы sudo могли сделать с targetpw.

Но когда пользователь 1, зачем копаться в sudo, при живом root

защита от дурака

Это же дырища: нужно знать только 1 пароль

никто не мешает запретить использовать sudo с удалённых хостов. А с локального тебя и su не спасёт.

Прелесть sudo именно в гибкой настраиваемости. Ты можешь разрешить _только_ нужные команды, с нужных хостов, только от нужного пользователя, итп.

с локального тебя и su не спасёт.

К сожалению, да: биос десктопа легко сбросить, просто вынув ненадолго батарейку…

Прелесть sudo именно в гибкой настраиваемости

Знаю, у меня самого:

ALL ALL=(ALL) NOPASSWD: /bin/ntfs-3g,/bin/mount,/bin/umount

Иначе для монтирования ntfs-флешек или USB-HDD приходилось su -c «mount … …» писать.

защита от дурака

я не пускаю дураков за свой комп. тем более - с открытом root`ом

это не «ваша убунта», это их неосиляторы

Данный тред не нацелен на убунтово^Wпользователей sudo. И, ИМХО, те кто могут осилить линукс, на убунте не засиживаются, исключение: люди, которые не хотят что то менять, тк у них «все работает»

Вот, кстати, я подумал: сколько уже лет выпускают десктопы, а до сих пор не додумались пароль от биоса зашивать во флеш-память биоса. И приходится бедным бухгалтерам и т.п. мучиться с шифрованием всего, да еще и по аппаратному ключу + паролю…

К сожалению, да: биос десктопа легко сбросить, просто вынув ненадолго батарейку…

До батарейки еще добраться надо.

Можно подумать, сложно снять крышку корпуса…

те кто могут осилить линукс, на убунте не засиживаются

наглое 4.2, даже тут на ЛОРе полно убунтушников со стажем на линуксе в районе 10 лет. Именно потому что всё работает.

я не пускаю дураков за свой комп

дураком можешь быть и ты сам

да, кстати, у меня debian, и первым делом я _всегда_ настраиваю именно sudo

даже тут на ЛОРе полно убунтушников со стажем на линуксе в районе 10 лет. Именно потому что всё работает.
люди, которые не хотят что то менять, тк у них «все работает»

Вот давай не будем затрагивать тему дистрибутивов. по сабжу есть что сказать? Твои факты о sudo меня пока не интересуют.

дураком можешь быть и ты сам

Это врятли.

.да, кстати, у меня debian, и первым делом я _всегда_ настраиваю именно sudo

Это классно, я тоже при живом root`e настраивал sudo для некоторых команд. Но все же сижу под рутом