Пароль рута можно поменять и без sudo вообще.

Если рут ССЗБ, то он должен страдать

vipw -s и вписывай любой пароль, как система от этого защитит?

правкой хеша на известный тебе ?

На системах, где судо настроен подобным образом, root аккаунт в принципе не используется и пароль у него пустой.

Ты предлагаешь в судо запретить смену пароля руту, но оставить весь остальной полный доступ к системе?

при запуске su (сам знаешь чем отличается от sudo -s) спрашивается пароль рута
Почему из коробки так не сделано на sudo -s ? Печальных сценариев развития становится на прядок меньше.

sudo есть root, root не ограничен ничем, всё правильно. Да и /etc/shadow вручную поправить можно.

/etc/shadow внучную поправить можно.

при условии, что у тебя есть права записи в этот файл.

Почему из коробки так не сделано на sudo -s ?

Потому что так можно вообще у root не ставить пароль, а работает исключительно из своего пользователя-«администратора».
Но так сделано не везде по умолчанию. Например, в openSUSE таки спрашивается пароль root.

У root они есть.

Что плохого в том, чтобы поменять пароль рута?

Если раздел не шифрованный, загрузка с внешнего носителя решает вопрос.

Почему из коробки так не сделано на sudo -s

Потому что можно запустить sudo bash и там уже passwd или sudo perl и из него дернуть passwd. И вообще я писал к тому, что нету смысла запрещать менять пароль рута, если и так есть полный доступ к системе.

при условии, что у тебя есть права записи в этот файл.

есть права

Киевстар, я в шоке :)) там говорят, есть страны, в которых у людей «есть права» :) Остальные в шоке или запасаются попкорном.

в openSUSE таки спрашивается пароль root.

из коробки а арче нет
если после установки системы, установки пароля рута , создания юзера и установки пароля юзера сделать sudo -s и ввести пароль юзера - то пароль меняется без запроса старого
Это огорчает в сценарии, когда кто-то сломал учётку, но не сломал рута и у учётки нет прав записи в /etc/shadow, а при sudo -s спрашивается пароль рута, которого мы не знаем, т.е. приплыли.
А так получается ..

А если ты его не знал, или знал пароль только от учетки, то ССЗБ, нечего давать рута и sudo, кому попало.

есть право или права записи — это для тебя большая разница ?
Смысл онного ты понял, зачем придираться к словам ?
только потому, что это Лор ?

Зачем ты ему сказал... Все пропало.

это всё относится к ситуации

когда кто-то сломал учётку, но не сломал рута и у учётки нет прав записи в /etc/shadow, а при sudo -s спрашивается пароль рута, которого мы не знаем, т.е. приплыли.

А так получается ..

За две звезды он мог привыкнуть к тому, что Talks жесток.

только потому, что это Лор ?

ДаПотому что это не бином Ньютона, права эти :)

А, вот в чём твоя ошибка: эта «учётка» и есть root, просто завуалированный, в этом концепция sudo.

из коробки в арче нет

Ну так сделай, это Arch, в конце концов.

Видимо, иллюзии отстаются дольше - судя по вопросам.

Печальных сценариев развития становится на прядок меньше.

Это будет секурити в стиле майкрософт: в ие в iframe нельзя установить куку в целях безопасности, но ее можно установить в том же iframe с помощью ajax :)

чтобы поменять пароль рута?

Чтобы поменять пароль рута не зная его при этом ?
Решето например.

Вопрос в том, правильно ли это

неправильно, потому что бесполезно. тебе ничего не мешает поменять хэш пароля в /etc/shadow, который и так должен быть доступен на запись для работы passwd

отстаются

и этот человек что-то писал про правильность написания слов ..

Какая разница, знаешь ты пароль рута или нет. Если ты админ, ты можешь всё. Если ты не админ - зачем тебе sudo -s?

Как хорошо живется без настроенного sudo.

ШТОААА? Опечатки под вечер - обычное дело, если ты не валялся на пляже кверху брюхом (и не перебрал там коктейлей)... А немножко работал. Я тебе открою большую тайну: я нигде не писал тебе про правильность написания слов :) Я тебе про права писал (к файлу, или «где-то в далеких странах», как в треде по ссылке), которые для одних проблема, для других - не особо.

после повышения прав до рута очевидно она есть

А если раздел шифрованный и доступ к нему имеет только кто-то ещё ?
И даже с root правами, но не зная пароля рута и пароля на расшифровку как тогда ?
Это конечно сферическая безопасность в вакууме, когда на каждый чих в /etc требуется пароль рута (можно таймаут поставить или что-то ешё )

Вопрос в том, правильно ли это, давать менять пароль при этом не спрашивая старый ?

Конечно. С uid 0 можно сменить пароль в том числе и редактированием секторов физического носителя, но удобнее это делать через passwd. Смысла ограничивать второе при возможности сделать первое — нет. MAC — другая, независимая от этого тема.

А если ты его не знал, или знал только пароль от учётки ?

Учётки в группе wheel или какая там в твоём дистрибутиве? Советую скурить man sudoers.

можно поменять пароль рута не зная его.
но на мой взгляд сама система не должна давать даже отдалённого намёка на выстрел себе в ногу.

как ты себе представляешь это?
rm -rf /etc тоже запретить? vi /etc/shadow запретить?
fdisk запретить? всё запретить?
может просто не надо давать sudo идиотам?

А если раздел шифрованный

А ключ от него — в RAM, которую можно спокойно читать. И вообще, смонтированный шифрованный раздел не отличается от нешифрованного. А несмонтированным он быть не может.

какой именно раздел? тот, на котором / работающей системы? в таком случае у рута есть полный доступ к /etc/shadow. если имеется ввиду / не той системы, что работает - без пароля на расшифровку вопрос ещё неактуален, а с паролем - уже неактуален.

а если сделать так, что для его монтирования нужно вводить пароль ?
для изменения информации в нём, нужно вводить пароль ?
для просмотра информации тоже пароль ?

sudo сделано для запуска отдельных команд от рута. Какой смысл спрашивать «секурно ли это», если ты запускаешь от рута командный интерпретатор?

отдельный /etc

man sudoers, быстро и решительно.

а если сделать так, что для его монтирования нужно вводить пароль ?

/etc? Поздравляю, ты сломал половину гнутого окружения.

для просмотра информации тоже пароль ?

И вторую половину, включая сам passwd, тоже.

Напомни, какую проблему мы решаем

Ну тут остаётся только перед вводом пароля тоже пароль требовать, а то мало ли...

отдельный /etc

/etc/fstab находится... внутри /etc. Нет, это можно обойти (довольно штатно), но напомни мне, что за непроблему мы решаем.

есть свои сценарии развития, когда для запуска командного интерпретатора от рута нужно вводить пароль рута. Речь о том, что поведение из коробки иначе и в вопрос в том, правильно ли это.

сделал мой вечер )

есть свои сценарии развития, когда для запуска командного интерпретатора от рута нужно вводить пароль рута

sudo -s
apt-get remove sudo
ln -s /bin/su /usr/bin/sudo
exit

[/thread]

единственный момент - можно не давать руту писать в /etc/shadow без наступления дополнительного условия (проверки бинарником passwd пароля на совпадение), НО тогда 1) все содержимое пакета shadow придется закрыть от рута для избежания подмены с целью выдачи нужного сигнала, 2) ситуация должна соответствующе обрабатываться ядром и поддерживаться ФС (тут неуверен). п.1 выглядит довольно абсурдно, учитывая что рут этот пакет и устанавливает. возможно внедрение доп.проверок бинарника passwd ядром, но тогда придется корректировать код ядра, чтобы поддержать каждый чих в коде passwd - а это уже полный бред

Речь о том, что поведение из коробки иначе

Из какой коробки? Ты пользуешься пиратским линуксом или вообще убунтой (где пароля рута тупо нет (не путать с пустым)). Либо настроил сам.

впрочем все это бред, так как рут может описать нужные махинации ещё до логина в инит-скрипте, перезапустить систему и получить песональный доступ ко всему и без каких-либо паролей. т.е. shadow даже не начнёт работу

Зачем нужен инит-скрипт, когда есть доступ к записи в initrd? inb4 его нет: создать — тоже можно.