а правильно ли ?

вобщем даже если и неправильно, изменить что-либо нельзя и в этом нет смысла, таков дизайн

Из какой коробки?

из арчевской.

Наводит на размышления..

Используй LDAP-сервер в бункере. Главное выруби внутреннюю авторизацию еще. Будет все секурьно. Инфа 146%

Прочитал тред, так и не понял, что понимается под выстрелом в ногу? То, что passwd из-под рута не спрашивает пароль? Ну так это логично: рут (и только он) имеет права на запись в /etc/passwd и /etc/shadow, и от получения полного доступа к системе злоумышленником эта мера никак не спасёт.

то, что sudo -s в арче из коробки спрашивает пароль юзера, а не рута
то, что это не только в арче
то, что пароль можно менять на новый не зная старого
хоть все эти вещи обьяснимы и логику создания их понять можно, вопрос в том, правильно ли так делать ?

Это огорчает в сценарии, когда кто-то сломал учётку, но не сломал рута и у учётки нет прав записи в /etc/shadow,

«Сломал» это только применимо только к виндузятникам от виндузятников. У нормальных людей учетки не «ломаются».

хочешь сказать нет способов взлома linux учётки ?
orly ?

Я сегодня добрый и объясняю: sudo нужно в таком режиме, чтобы не выстрелить себе в ногу выполняя свои пользовательские операции от рута. Если не устраивает, всегда можно составить список разрешенных команд.

Это ты про брутфорс?

Если есть физический доступ к машине, то поиметь её можно во всех позах, кроме случая с шифрованием и просто нет смысла заморачиваться с секьюрностью для рута при локальном входе.

Вспомнил. В SELinux можно сделать root как бы и не root совсем :) Т.е. наделить настолько ограниченным кол-вом прав, что вообще почти ничего нельзя будет сделать. Вроде как где-то в сети есть машинка для тестинга взлома selinux и пока никто не взломал.

init=/bin/bash при запуске и меняй сколько влезет.

facepalm.mpg

при условии, что у тебя есть права записи в этот файл.

Если ты sudo -i сделал, у тебя есть root «по постановке».

В изкоробочном арче нет sudo.

|но на мой взгляд сама система не должна давать даже отдалённого намёка на выстрел себе в ногу
Ты ошибся системой и форумом, тебе на винфак

при запуске su (сам знаешь чем отличается от sudo -s) спрашивается пароль рута

Почему из коробки так не сделано на sudo -s ? Печальных сценариев развития становится на прядок меньше.

Наоборот. Единственный сценарий, который от этого исчезает, это «пользователь поменял пароль рута, теперь рут не может войти». Поскольку под рутом будет сидеть только полный идиот, этот сценарий не проходит.

А вот сценарий «два юзера, оба имеют право на sudo (с вводом пароля рута), один из них меняет пароль рута (который он знает), теперь второй не может сделать sudo» в твоём варианте как раз появляется.

после sudo -s и ввода своего пароля, можно поменять пароль рута не зная его

Потеряв голову о волосах не плачут.

Пароль чей?

Если речь про пароль root, то дело в том, что sudo разрешено делать только тем, кто настроен в sudoers как админ. Если кто-то так настроил sudo, значит он доверил пользователю полное управление системой. Если хочется разрешить пользователю выполнять команды от рута, но запретить изменение пароля рута, то надо каким-то образом ограничивать доступ к /etc/shadow самому руту.

не выстрелить себе в ногу

от рута

/0

Тогда надо еще отдельный костыль ставить на:
sudo bash
sudo sh
sudo cp /usr/bin/bash /usr/bin/somethidng ; sudo somethind
...

falcon@debian-box:~$ sudo
bash: sudo: команда не найдена

;-)

Давно заметил, что после sudo -s и ввода своего пароля, можно поменять пароль рута не зная его.

И что с того? Это sudo, причём используемое не по назначению. Не хочешь - не используй его нафиг.

значит это проблема sudo