sudo опять опозорились

Да и доступ к docker от юзера не способствует безопасности.

Впрочем, кого это волнует, ведь sudo у всех настроено в режим «разрешать юзеру #1000 всё как руту».

Вот именно. Поэтому уязвимость эта только для bunch of masturbating monkeys, любящих огораживать даже редактирование файлов (я лично не могу себе представить сценарий, при котором разрешается только избирательный sudoedit).

ШЕТЕРО

Я даже не знал, что там такая фича есть — ограничивать, какие файлы можно редактировать, а какие нет.

Впрочем, кого это волнует, ведь sudo у всех настроено в режим «разрешать юзеру #1000 всё как руту».

Ви, пожалуйста, за всех то не говорите.

Ох да, приносим извинения тем, у кого sudo настроено в режим «разрешать юзеру #1000 всё как руту без пароля».

--sarcasm

Обычно этот пользователь и так знает пароль рута. По крайней мере на локалхосте, а на не локалхосте нефиг раздавать полномочия.

Система ограничения доступа, сама по себе - мутная вещь.

Поскольку обычно программные, аппаратные и технические (организационные) решения подгоняются под маразматические т.з.

В целом, всё завязано на конкретный бизнес-процесс. Вне его рамок сложно применять СКУД. На мой взгляд.

Прошу прощения, я не так выразился. Я из немногочисленной группы тех, у кого sudo вообще не настроено.

я не так выразился

sudo вообще не настроено

Вы хотели сказать «не установлено»?)

Как описание бага, так и описание этого «sudoedit» намекают на совершеннейшую кашу в головах авторов сей утилиты.

Это же обычное дело в опенсорсе, потому что разрабатывается по принципу: я сам себе разраб, хочу вот такую фичу, а тестировать буду на своем компе. Архитектура? penetration tests? CI/CD? Не, не слышал. Собственно говоря, самый яркий пример тому - само ядро Linux. Так что это не «у разрабов в голове каша», а «если разраба взломают, у него нет никаких сверхсекретных данных».

Пхиливат.

Кстати! Этим можно пользоваться через браузер? Ну, в смысле, захожу на сайт, а он хулиганит в моей системе. Такое можно? Если нет, то и вообще плевать.

Ох да, приносим извинения тем, у кого sudo настроено в режим «разрешать юзеру #1000 всё как руту без пароля». –sarcasm

Неиронично не понимаю, зачем использовать другой вариант на своем домашнем пк

Не ты один.

Поиграть в сесурити на локалхосте и подрочить, как обычно.

Аналогично, не понимаю смысла в менеджерах паролей. Если тебя уже поломали так, что могут стащить с десктопа .txt с паролями, скорее всего у тебя смогут подсмотреть и мышеклаву с буфером обмена. Смысл этого секса с киипассом? Запомнил пяток русскоязычных фраз длинных, помнишь, что они у тебя в лат раскладке и всё. Удалённо вытащить что-то из твоей головы или с обоев за шкафом физически невозможно.

Смысл этого секса с киипассом? Запомнил пяток русскоязычных фраз длинных, помнишь, что они у тебя в лат раскладке и всё. Удалённо вытащить что-то из твоей головы или с обоев за шкафом физически невозможно.

Смысл в дурацких правилах паролей для сайтов. У каждого они разные. Где-то требуют минимум 10 символов, буквы в разном реестре, специальные символы, где-то специальные символы в принципе запрещают, где-то запрещают одну букву повторять три раза, где-то вообще какой-то черный ящик с индикатором сложности пароля и он не даст тебе задать его, пока не станет зелененьким. От чего эта «сложность» зависит - фиг его знает.

Аналогично и с логинами - где-то тебе его выдают, где-то сам придумываешь, где-то почта вместо логина, где-то по телефону. Ну и сам ещё можешь иметь 2-3 разных логина в сети (твой то на этом сайте уже может быть занят, тогда выбираешь альтернативный), даже в случае почты self@ya.ru и self@yandex.ru по сути разные логины. Уже и не помнишь, где и как зарегался.

В итоге заходишь на очередной сайт, и начинается игра в то, что мол вспомни какой у тебя пароль.

Ну и прикол ещё и в том, что если этот сайтик ломанут, а пароли они там хранят незашифрованными (или пишут в логи, к примеру), то дальше можно эти пароли подбирать к почте или к другим популярным сайтам, где вход осуществляется по почте. Понятно, что пароли нешифрованными (или без соли) мало кто хранит, но четкой уверенности в этом нет, поэтому я для всяких стремных сайтов использую одноразовые пароли.

Ну и если даешь знакомому погонять на своем аккаунте в ММО - тоже есть определенные риски :)

Всякие форумы и прочее неважное у меня тупо запоминается в браузере. Потерялось - восстановил на почту. Хранить же на компе условные пины от кредиток, а потом героически городить сесурити чтобы их не спёрли - это уже психиатрия, матёрый ОКР если точнее.

Разделение на рута и юзера не для того чтобы кредитки не спёрли, а для того, чтобы в случае взлома не было опасности что взломщики перешили тебе биос, добавив в него руткит-супервизор, или например прошивку жёсткого диска. Ну и чистить от последствий надо только юзера, а не всю систему.

Это в теории, на практике, в связи с тем что линукс сам по себе решето, взлом даже огороженного от прав юзера чреват последующим повышением прав до рута, но тем не менее поставить на пути к этому ещё один барьер не помешает.

sudoedit - офигенная фича!
Спасибо за пост, а то бы я о ней не узнал.

А я что-то не могу придумать ни одного полезного применения. Почти все системные демоны, которые читают какие-то конфиги (а для чего ещё оно может быть?) совершенно не рассчитаны на то, что конфиг им пишет непривилегированный юзер, который может вставить в него какую-нить гадость. Например, указать нужный путь к лог-файлу и затем проманипулировать демоном так, чтобы тот в него записал нужные строки. Ну либо просто запорол, устроив таким образом dos-атаку.

А я что-то не могу придумать ни одного полезного применения

Конфиг vim’a не слетает

Неиронично не понимаю, зачем использовать другой вариант на своем домашнем пк

Зачем там вообще sudo? И если оно без пароля, то удобнее просто под рутом сидеть. Что вполне допустимо, потому что на домашнем компе юзер = царь = бог. Разве что у вас юзер и админ это разные личности.

Запомнил пяток русскоязычных фраз длинных

Да-да, сорок тысяч обезьян в жопу сунули банан. Классика!

Есть же podman.

Есть, использую, но чтобы отдать скрипт или докерфайл вовне – приходится проверять под оригинальным докером всё равно. Отличия у них есть.

Что вполне допустимо, потому что на домашнем компе юзер = царь = бог. Разве что у вас юзер и админ это разные личности.

Стандартное заблуждение - отождествлять учётку в passwd и человека-пользователя. Нет, учётка в passwd это не описание человека, это контест доступных прав для того софта, который от неё запускается. У меня например (комп мой личный) 20 юзерских аккаунтов 1000 - 1019. А поскольку ни браузеру, ни играм, ни всяческим редакторам документов, ни прочему прикладному софту рут-права явно не нужны, сидеть под ним конечно не надо.

Ну и sudo тоже не нужно, нужен рут-пароль с логином в него когда надо админить.

Любимые фильмы-песни-книжки, фирменные районные анекдоты и ругательства... Подбирать будешь до тепловой смерти Вселенной.

Я понимаю зачем разделение, просто в линуксе оно сделано неудобно для пекарни. Посмотри, как это разделяется без судо и паролей в шинде. И никакого способа внешней программой нажать на заветную кнопку повышения до админа там как-то не видно.

Как раз в линуксе (без sudo) оно сделано хорошо. А вот виндузятный способ (и sudo, который делает то же самое) - ужасно. «Повышение до админа» это порочная идеология изначально.

Это дроч на эстетику вместо практической пользы. Не разделяю.

Это не эстетика, а наличие барьера безопасности. Без него в разделении смысла нет. Виндузятные же привычки (включая sudo) приводят в итоге к каше в голове и помойке в системе.

В винде uac сделан отвратительно. Непонятно, в каком окне какие права, и неизвестно будут ли права админа наследоваться в новые окна (в разных интерфейсах по-разному).

А ещё в некоторых случаях, например, при записи в C:\Windows\system32 «заветную кнопку» нужно нажимать только локальному пользователю, а при удалённом доступе uac ничего не спросит - пиши что хочешь. Лол, кек, чебурек.

Нет, учётка в passwd это не описание человека, это контест доступных прав для того софта, который от неё запускается. У меня например (комп мой личный) 20 юзерских аккаунтов 1000 - 1019.

В контексте домашнего компа с одним пользователем это шиза. И учетки в юниксе изначально задуманы не для сисюрити задротства, а именно для разграничения физических юзеров.

в юниксе изначально задуманы

Дурацкий аргумент сам по себе. Юникс сдох, какая разница, что и как там было задумано?

Ага, вечно забываю, что линупс это не юникс, это нескучная шинда.

Людям работать надо, а не с клятой виндой воевать. Поэтому люди сделали Линукс.

Домашний комп не означает что тебе плевать на его безопасность. Я вообще не представляю как разумный человек может не уделять ей внимание. Как минимум для игр должен быть отдельный аккаунт без доступа ко всему остальному. Потому что игры систематически если не клозед сорс, то как минимум никем особо не проверяются на наличие если не закладок то хотя бы случайных RCE.

И учетки в юниксе изначально задуманы ... именно для разграничения физических юзеров.

В те времена (70-е) ещё не дошло до массового сознания что источником вредоносной инициативы может быть непроверенный софт. Источником инициативы считали тогда только юзеров - их и отгораживали.

так это не судо, а система разграничения прав в линуксе виновата…

Как минимум для игр должен быть отдельный аккаунт без доступа ко всему остальному.

Можно пойти ещё более параноидальным путём и использовать отдельную железяку для игр. XBox или плойку, к примеру.

Аналогично, не понимаю смысла в менеджерах паролей. Если тебя уже поломали так, что могут стащить с десктопа .txt с паролями, скорее всего у тебя смогут подсмотреть и мышеклаву с буфером обмена.

Примеров, почему менеджер паролей полезен, уйма. Помогает в регистрации и логине на сайтах, разгружает голову от запоминания множества паролей (ведь в голове ещё надо держать пин коды от банковской карты, телефона, пин от банковского приложения, какая-нибудь домашная сигнализация и так далее), минимизирует кол-во сервисов, к которым злоумышленник получает доступ, если хакнет один из паролей / база паролей сайта утечёт. Возможно для тебя не составляет труда скинуть пароль на сайте, но кому-то даже зарегистрироваться сложно, что говорить о восстановлении утерянного пароля.

Ещё как вариант, в менеджере паролей можно хранить пароли родственников, у кого с ними проблема.

Можно отдельную железку, да (только разумеется не перечисленную ерунду, а просто ещё один комп). Но у большинства не разделено, соответственно нужно разделить хотя бы на уровне прав процессов.

Я к чему - если мы понимаем головой полную несекьюрность менеджеров паролей, хватит и txt/xls на десктопе для ровно тех же целей. Хочется через отдельную программу Защищённую Паролем и оно через плагин само классно вставляется на сайтах - это понятно, но это чистая эстетика и вкусовщина имхо, к безопасности отношения не имеет никакого.

Домашний комп не означает что тебе плевать на его безопасность.

Не совсем плевать, но... Я устал на работе от этих менеджеров паролей, 2fa и прочего, я трачу на пляски вокруг этого сесурити больше времени, чем на непосредственно выполнение задач. Я _не_ хочу заниматься тем же, приходя домой и бесплатно. Сесурити дома хороша ровно до тех пор, пока её обеспечение не грузит пользователя лишними действиями. UAC тут идеален.

менеджеров паролей, 2fa и прочего

Это всё не безопасность а костыли для нубов. А вот разделение прав это необходимость.

Ух ё... Займись личной жизнью уже бро :)

Пойми, лично ты на своей пекарне дома можешь хоть отпечатки пальцев сдавать (самому себе) перед каждым apt update && apt upgrade. Для психически здорового человека это оверкилл. Прилагаемые усилия и неудобство просто ничем не окупаются, просто задач таких нет, где бы окупилось. Про хранение пинов от карточек на компе уже говорил - это клиника. Запиши уже эти сраные 4 цифры на обоях и забудь.

Плагины в браузер, пожалуй, не лучшая штука для безопасности, тогда и вправду можно файл со всеми паролями хранить, только пароль от почты в голове держать, иметь пароль на аккаунт и зашифровать диск. Для дома норм.

Как, кстати, шифрование диска относится ко глюкам железа, перебоям питания?

Для психически здорового человека это оверкилл

Для психически здорового человека очевидно, что не стоит запускать сомнительный софт (игры из стима, например) с доступом к чему-то важному (например, пароль от лора, сохранённый в браузере).

отпечатки пальцев сдавать (самому себе) перед каждым apt update && apt upgrade

Что за чушь?

Про хранение пинов от карточек на компе уже говорил - это клиника. Запиши уже эти сраные 4 цифры на обоях и забудь.

Можно хоть в браузере сохранить. Но не надо от юзера с доступом к профилю браузера запускать сомнительный софт, и не надо из того браузера посещать тогда сомнительные сайты. Впрочем, пины не нужны, как и карточки.

Ух ё... Займись личной жизнью уже бро :)

Вот прям сейчас на форуме и занимаюсь.

Никак не относится. Не влияет. Главное ключ не потерять.

Юак практически это и делает, не паря пользователя. Более разнообразно права нарезать само по себе неплохо. Но только, если к этому будет удобный интерфейс со вменяемыми умолчаниями. Иначе это дроч и игры в админа локалхоста с непонятной выгодой.

Ты вот на улицу часто выходишь в каске, бронике и противогазе? А ведь это жизнь может спасти, не то что какие-то там пароли. Но неудобно ведь, да и вероятность попасть под зарин и пули в мирном месте ничтожна.