Установил в очередной раз Убунту, опишу ощущения

Можно, там есть галочка «сделать административную учётную запись». Её на скрине нет, потому что единственный пользователь всегда администратор.

А остальные группы в убунте не нужны, это ж убунта.

А остальные группы в убунте не нужны, это ж убунта.

Если ты ставишь Убунту в Коробке, тебе нужно добавить пользователя в группу vboxsf.

Можно, там есть галочка «сделать административную учётную запись». Её на скрине нет, потому что единственный пользователь всегда администратор.

Не принято.

Если ты ставишь Убунту в Коробке, тебе нужно добавить пользователя в группу vboxsf.

Тяжёлое наследие дебиана.

тебе нужно добавить пользователя в группу vboxsf.

Меня это тоже бесит, да. Чтобы записывать диски, нужно добавить пользователя в группу cdrom. Чтобы воспроизводить звуки — в группу audio. Чтобы пользоваться виртуализацией KVM — в группу kvm. Чтобы пользоваться 3D ускорением — в группу dri (ЩИТО??).

Я даже представить боюсь, какие именно векторы атаки перекрывают вот такие вот ограничения.

Я точно не помню, но в Федоре тоже есть группа vboxsf. Возможно тоже нужно добавлять.

Ты наверно чего-то не понимаешь.

я то как-раз понимаю. любая программа с suid bit’ом по факту запускается от рута.

Есть действие, оно прописано в коде программы passwd. Рядом, там же, прописан алгоритм предоставления прав к этому действию, тоже в коде.

правильно. то есть вместо одной точки управления привелегиями ты предлагаешь каждому программисту ее реализовывать самому. ну такое

тут появляется лишняя привязка и к расположению этого бинарника в фс, и к его синтаксису. Зачем?

не понимаю проблемы. ты часто переносишь что-то из /bin или /usr/bin ?

то делается соответствующий интерфейс (можно suid-root враппером), который при запуске инициирует выключение.

правильно и sudo и является этим враппером

Второй вариант: юзеру выключение компа недоступно. Если так, то, значит, выключение компа - это инициатива администратора (возможно, по просьбе юзера, или ещё как-то, но не суть), и выключать комп должен root. Тут очевидный вариант: делаем от рута su в юзера, который качает что ему нужно, а затем рут делает выключение.

жесть какая. разводим бюрократию и лишние опасные действия для тривиальной задачи

не юзер, который компилировал, что-то себе повышает, а рут, для сборки, сначала организует ограниченную песочницу (в которой ограниченный юзер может и make install сделать), а затем забирает из неё результаты и куда-то их уже кладёт.

то есть по-факту ты сидишь от рута

есть такая нехорошая штука как человеческий фактор и, когда ты используешь аккаунт с неограниченными привелегиями, шансов выстрелить себе в ногу значительно больше, чем в случае нарезанных прав эскалации.

и тебе не надо ни с кем делиться рутовым паролем, если ты не единственный пользователь

Некоторые, из ныне ушедших, остановились в 90х. Топили за кои-8

я помню. к счастью их было совсем немного

то есть по-факту ты сидишь от рута

а как иначе? вот я буквально на днях скачал с гитхаба исходники драйвера для вай фай адаптера make clean && make && sudo make install а так нельзя?

а как иначе? вот я буквально на днях скачал с гитхаба исходники драйверов?, make clean && make && sudo make install а так нельзя?

тебе можно. а еще можно за буйки заплывать и на красный свет дорогу переходить

Меня это тоже бесит, да. Чтобы записывать диски, нужно добавить пользователя в группу cdrom. Чтобы воспроизводить звуки — в группу audio. Чтобы пользоваться виртуализацией KVM — в группу kvm. Чтобы пользоваться 3D ускорением — в группу dri (ЩИТО??).

это если ты живой человек из мяса. если же ты программа, запущенная от выделенного ей user’а, то нефиг пользоваться человеческими плюшками

что логично

что логично

Нет. Один раз пользователя выбесит, что нельзя прослушать ни одного звука, он добавит себя с матюгами в группу audio, перезагрузится — и весь софт, запущенный от имени этого пользователя, получит право воспроизводить звук.

И от чего защищает такая защита?

нельзя просто так? - прога ругается что не может записать запрашивает права, даем ему права ииии всё. В дальнейшем она просто работает. Остальные проги юзера не имеет доступ.

Так и должно быть. Но на уровне программ это работает только через flatpak/snap и прочие подобные изоляции, группы - это про пользователей и всего его процессы целиком.

Ну то есть один процесс захотел привилегий, пользователь добавил себя в группу — и все процессы имеют привилегии. Смысл?

я то как-раз понимаю. любая программа с suid bit’ом по факту запускается от рута.

Верно, и sudo тоже. И что?

правильно. то есть вместо одной точки управления привелегиями ты предлагаешь каждому программисту ее реализовывать самому. ну такое

Сервису смены паролей гораздо проще алгоритмизировать правила смены паролей, как своих, так и чужих, своим собственным кодом, чем делать это текстовыми сравнениями в конфиге сторонней проги.

не понимаю проблемы. ты часто переносишь что-то из /bin или /usr/bin ?

Нет. Но, тем не менее, подобные перекрёстные зависимости это потенциальный источник неожиданных проблем, когда в одном месте ты что-то изменил, а в другом - забыл. Да мало ли что могло измениться?

правильно и sudo и является этим враппером

Не является, он не умеет конвертировать аргументы из пользовательского интерфейса в аргументы рутовой проги. А пробрасывать их напрямую - опять плохая идея по тем же причинам. Ну и он так сделан, что создаёт впечатление каких-то «повышенных прав», который быть не должно. Должен быть запрос сервиса у рута, и делаться он должен именно в формате обращения к апи, а не в императивном.

жесть какая. разводим бюрократию и лишние опасные действия для тривиальной задачи

Какие ещё лишние действия? Это единственный вариант, если юзер не имеет доступа к выключению. Имеет он доступ или нет - вопрос за рамками, я дал варианты с обоими случаями. Для десктопа, скорее всего, желательнее чтобы имел, для сервера - что бы не имел. Впрочем, зачем их выключать я не знаю.

то есть по-факту ты сидишь от рута

Нет. Сидишь от рута - это когда юзер может по своему желанию стать рутом. А когда рут выделил юзеру временный сеанс для выполнения команд, без возможности влиять «наверх» - это наоборот безопасный способ. Речь идёт, разумеется, о задачах системного администрирования, когда сеанс создаётся в целях безопасной подготовки нужных руту данных. Если же речь про пользовательские задачи, то они должны делать пользователем самостоятельно в рамках $HOME и всяких tmp.

когда ты используешь аккаунт с неограниченными привелегиями, шансов выстрелить себе в ногу значительно больше, чем в случае нарезанных прав эскалации

Надо заменить идеологию эскалации (sudo) на идеологию системного интерфейса (как в passwd), тогда проблем ещё меньше.

Должен быть запрос сервиса у рута, и делаться он должен именно в формате обращения к апи, а не в императивном.

Ты сейчас описываешь PolicyKit.

Надо заменить идеологию эскалации (sudo) на идеологию системного интерфейса (как в passwd), тогда проблем ещё меньше.

Точно-точно. PolicyKit.

и все процессы имеют привилегии. Смысл?

да, в этом смысле нет смысла, маразм. Что то мне это напомнило момент когда я искал фаервалл для линукса. Надо мной посмеялись а софта вроде и нет который работает по принципу белого списка.

Читай пожалуйста внимательно. Я говорил про программы, которые запускаются под своим собственным пользователем.

Сервису смены паролей гораздо проще алгоритмизировать правила смены паролей, как своих, так и чужих, своим собственным кодом, чем делать это текстовыми сравнениями в конфиге сторонней проги.

ну-ну. особенно если вспомнить про libpam с которым он работает, и что для безопасности он через libaudit системные вызовы все проверяют. А это, всего лишь, заметь, утилита смены пароля. Не надо тут про проще

Нет. Но, тем не менее, подобные перекрёстные зависимости это потенциальный источник неожиданных проблем, когда в одном месте ты что-то изменил, а в другом - забыл. Да мало ли что могло измениться?

очень надуманно - хоть один пример приведи из реальной жизни?

Какие ещё лишние действия? Это единственный вариант, если юзер не имеет доступа к выключению. Имеет он доступ или нет - вопрос за рамками

да не имеет пользователь доступа туда иначе пример бессмысленный был

я дал варианты с обоими случаями.

строчка на баше будет? и что поправить чтобы она заработала?

Для десктопа, скорее всего, желательнее чтобы имел, для сервера - что бы не имел. Впрочем, зачем их выключать я не знаю.

не уходи в демагогию - есть куча вариантов зачем выключать компьютер. как минимум экономия электричества в твое отсутствие

Речь идёт, разумеется, о задачах системного администрирования, когда сеанс создаётся в целях безопасной подготовки нужных руту данных.

вот не надо тут про системное администрирование, тем более такое нетрадиционное

Надо заменить идеологию эскалации (sudo) на идеологию системного интерфейса (как в passwd), тогда проблем ещё меньше.

нет там никакого системного интерфейса и не было никогда - чуваки все сами писали, обмазываясь selinux, libaudit и чертом в ступе, чтобы просто безопасно дать пользователю поменять свой пароль. И вся эта жесть с suid-битом и анализом системных вызовов только для того, чтобы сохранить совместимость с временами, когда не было libpam

А я говорил про сегодняшние дистрибутивы. Это ты вполз в моё обсуждение, тебе и соблюдать контекст.

Ничего не понял. «Сегодняшние» дистрибутивы все запускают под одним пользователем? Это даже близко не так. Загляни в /etc/passwd и посмотри сколько там пользователей.

Вы пытаетесь изобрести андроид?

Они может и хорошую идею взяли в основу, но реализация получилась ужасная. Тем не менее, программа passwd безо всяких policykit-ов это делает успешно.

Не надо тут про проще

Я не вдавался в подробности того, чем пользуется passwd для проверки разрешений на все эти действия, но получается ты хочешь сказать, что все упомянутые pam (специализированный на управление авторизацией) и audit легко заменяются на текстовый конфиг sudo без потери гибкости?

очень надуманно - хоть один пример приведи из реальной жизни?

Дословно - не сталкивался. Но близкое - это когда, например, разрешают запускать через sudo какой-нить редактор на конкретный файл, но забывают, что внутри редактора есть шелл, или что в редакторе есть возможность открыть другой файл уже после. Суть проблемы очевидна: авторы редактора совершенно не предусматривали такой сценарий запуска, он прикостылен сбоку сторонней прогой и получился некачественно. Более того, эти фичи (открыть другой файл или запустить шелл) могут появиться в новой версии редактора, где их раньше не было, в качестве чего-то нового и полезного, и тогда бывшие безопасными конфиги станут дырявыми. А всё потому, что права были выданы не на действие («отредактировать такой-то файл»), а на командную строку запуска редактора, которая, кажется, делает это действие. Чтобы выдать права на действие, можно было поставить файлу группу и g+w, и добавить в неё тех, кому можно его редактировать.

да не имеет пользователь доступа туда иначе пример бессмысленный был

строчка на баше будет? и что поправить чтобы она заработала?

Строчка для чего? Не понял вопроса.

вот не надо тут про системное администрирование, тем более такое нетрадиционное

Почему это нетрадиционное? Подозреваю что некоторые source-based дистры так и организуют сборку например.

нет там никакого системного интерфейса и не было никогда -

Программа passwd - это и есть интерфейс.

libpam с которым он работает

Или не работает.

libaudit системные вызовы все проверяют

Или не проверяют.

От последней загрузки (точнее попытки) Убунты у меня ощущение, что я больше _этим_ не воспользуюсь никогда.

Оно просто зависло загружаясь с флешки на каких-то там своих snapd задачах.

Накатала Ubuntu Budgie на ту же флешку, вполне себе прокатило.

Во что они превратили «оригинальную» Убунту? Это ужасно, неприемлимо. От слова «совсем».

Я не вдавался в подробности того, чем пользуется passwd для проверки разрешений на все эти действия, но получается ты хочешь сказать, что все упомянутые pam (специализированный на управление авторизацией) и audit легко заменяются на текстовый конфиг sudo без потери гибкости?

нет, я просто хочу сказать, что не надо каждому разработчику писать свою систему управления доступами. достаточно использовать sudo, где эту работу уже сделали и вылизали код за более чем 40-летнюю историю.

Но близкое - это когда, например, разрешают запускать через sudo какой-нить редактор на конкретный файл, но забывают, что внутри редактора есть шелл, или что в редакторе есть возможность открыть другой файл уже после.

если ты свой suid bit поставишь на этот редактор, то будет так же. это не проблема средства, а как раз таки человеческий фактор

Строчка для чего? Не понял вопроса.

для скачивания файла с последующим выключением компьютера

Почему это нетрадиционное? Подозреваю что некоторые source-based дистры так и организуют сборку например.

нет (https://wiki.gentoo.org/wiki/Portage)

Программа passwd - это и есть интерфейс.

тогда твоя фраза «Надо заменить идеологию эскалации (sudo) на идеологию системного интерфейса (как в passwd)» не имеет смысла

Или не работает. Или не проверяют.

чего сказать то хотел? запусти strace и посмотри

запусти strace и посмотри

Зачем? Если я таких файликов у себя и так не вижу?

если ты свой suid bit поставишь на этот редактор, то будет так же. это не проблема средства, а как раз таки человеческий фактор

Я не предлагал suid на редактор ставить. Я писал как раз о том, что проектирование интерфейса к системным действиям - комплексная задача, и решать её однобоко прописыванием доступа к рутовой команде (чем и занимается sudo) - плохой вариант.

для скачивания файла с последующим выключением компьютера

Вот оба варианта, они почти одинаковые, технически разница только в том кто ведёт поток исполнения:

/home/user/download.sh >> /home/user/download.log 2>&1
/usr/local/bin/shutdown-request

su -c "/home/user/download.sh >> /home/user/download.log 2>&1" user
shutdown -h now

нет

Собирает от рута всё? Ну может ещё какие есть.

тогда твоя фраза «Надо заменить идеологию эскалации (sudo) на идеологию системного интерфейса (как в passwd)» не имеет смысла

Смысл в первую очередь идеологический: юзер не команды раздаёт, а просит систему предоставить ему сервис. Технически это выражается в куче мелких деталей, часть их которых я уже упоминал выше, часть, наверно, нет.

passwd не видишь?

соболезную. только не понятно зачем об этом здесь писать

libpam, libaudit не вижу

passwd делает это через pam. Для ALT Linux, например, который хранит пароли в TCB, а не в /etc/passwd, саму утилиту переписывать не пришлось.

Ну это так, к слову.

Я писал как раз о том, что проектирование интерфейса к системным действиям - комплексная задача, и решать её однобоко прописыванием доступа к рутовой команде (чем и занимается sudo) - плохой вариант.

и об этом пишет человек, который предлагает все эти действия делать исключительно через полные права root-аккаунта. ты либо крестик сними, либо трусы надень

/usr/local/bin/shutdown-request

что это? как оно в твоем случае работает?

а второй вариант вообще не интересно, так как тебе сначала надо стать root’ом

Смысл в первую очередь идеологический: юзер не команды раздаёт, а просит систему предоставить ему сервис. Технически это выражается в куче мелких деталей, часть их которых я уже упоминал выше, часть, наверно, нет.

то есть wrapper’ы с suid-битом для вообще всего?

libpam, libaudit не вижу

соболезную. но зачем это сюда писать?

PS: под елкой поищи

PS: под елкой поищи

Тоже не обнаружил. ЧЯДНТ ?

Тоже не обнаружил. ЧЯДНТ ?

боюсь сегодня просто не твой день

и об этом пишет человек, который предлагает все эти действия делать исключительно через полные права root-аккаунта

Есть две кардинально разные ситуации:

1) юзеру нужно сменить пароль или получить ещё какой-то системный сервис, об этом см. выше.

2) системный администратор занимается администрированием (тогда нужны полные рут-права)

что это? как оно в твоем случае работает?

В простейшем случае это suid-root system("/usr/bin/shutdown -h now");, возможно этим можно и ограничиться. Да, я знаю, можно так же через sudo сделать, но через sudo юзеру придётся вникать в детали рутовых команд (аргументы -h now), которые его не касаются, а так же в каком-то случае посложнее уже потеряется гибкость.

а второй вариант вообще не интересно, так как тебе сначала надо стать root’ом

Второй вариант это когда рут предоставил сеанс для скачивания. Юзер им не становился и получил управление только после su.

то есть wrapper’ы с suid-битом для вообще всего?

1) мне кажется список слишком маленький, чтобы использовать оборот «для всего»

2) почему врапперы сразу? в идеале это должно быть интегрировано в систему, работать через нативные бинарники, но как временный костыль врапперы сойдут, и даже sudo сойдёт (вместо suid-бита), но надо не забывать весьма узкие границы его адекватной применимости

3) кроме suid-root есть и другие способы что-то сделать, но в каждом конкретном случае надо индивидуально смотреть

Чем когда я только открыл эту назовем так тему теперь я чуть более тепло отношусь к снапу. Так как многое происходило банально из за моего недопонимания. Памяти для файлов все таки нужно поболее ну и доработать не мешает.
Так же глаза цепляются - при запуске и выключении системы бегут строки лога и на строках со снап невольно есть немалая такая задержка.

А ведь я еще не опробовал флэтпаки и аппимаги…

Ну т.е. других аргументов не будет.

2. системный администратор занимается администрированием (тогда нужны полные рут-права)

очень пошло звучит. как все-таки хорошо, что системные администраторы вымирают, а то срам один

В простейшем случае это suid-root system(«/usr/bin/shutdown -h now»);, возможно этим можно и ограничиться.

согласен, а то у меня реально испанский стыд зашкаливает

sudo юзеру придётся вникать в детали рутовых команд (аргументы -h now), которые его не касаются

где ж ты такого сферического юзера в вакууме найдешь? на linux’е то

1. мне кажется список слишком маленький, чтобы использовать оборот «для всего»

ничего себе маленький - диски, процессы, управление питанием, временем, устройствами, установка программ, обновление системы и так далее

2. почему врапперы сразу? в идеале это должно быть интегрировано в систему, работать через нативные бинарники

напомни пожалуйста как ты к systemd относишься?

Ну т.е. других аргументов не будет.

В смысле? Какие у меня должны быть аргументы? я не медиум и не знаю на чем ты там сидишь - linux ли это до 1997 года, openBSD или героин

linux ли это до 1997 года

Linux 5.10.62 вроде как посвежее будет.

и что говорит ldd /bin/passwd ?

ldd: /bin/passwd: No such file or directory

ldd /usr/bin/passwd

блин. как же ты, бедолага, без PAM? херово

Пока жив, как и один из старейших живых дистров.

Slackware? не знал что там нет PAM. херово это для старейшего дистрибутива

соболезную в общем. ни двухфакторки тебе, ни unlock’а по отпечаткам пальца/фотографии лица