LINUX.ORG.RU

В OpenBSD появилась легковесная замена утилите sudo

 , , ,


1

5

В OpenBSD-current (будущий выпуск 5.8) появилась новая команда — doas(1), позволяющая выполнять команды от имени другого пользователя (в том числе и root). Она используется вместо сторонней утилиты Sudo, которая была удалена из базовой системы, но доступна в портах (таким образом, стало легче ее обновлять и с дополнительными опциями вроде поддержки LDAP собирать). Пример конфигурационного файла doas.conf(5):

permit keepenv user

>>> Подробности

★★★★★

Проверено: beastie ()
Последнее исправление: Klymedy (всего исправлений: 2)
Ответ на: комментарий от torvn77

Я уже представил что в русскоязычном мануале творится, если англоязычный так сложно читать.
Здесь проблема именно в самой реализации sudo: утилита сложная, собственно и мануал к ней тоже

I60R ★★
()
Ответ на: комментарий от I60R

Приведённый мной пример вполне понятный,причём настолько что его можно даже не комментировать.
А вместе с тем чтобы его получить пришлось создавать тему на форуме,
и там вот эксперты по sudo меня незатейливо к этому примеру притащили.
А ведь помести авторы мануальника такую простую строчку в примерах
так и не пришлось бы тратить кучу времени на познание истины.
Так что дело именно в мануальнике, а не в сложности sudo как утилиты.
Собственно как язык конфиг sudo похож на /etc/passwd и пр. файлы ранней эпохи,
так что может быть что он не сложен, а просто дитя своего времени,
когда в Linux не сформировалась традиция делать ini или xml подобные конфиги.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

может быть что он не сложен, а просто дитя своего времени

Согласен. Такие вещи непонятны в основном для новичков, как я, а для людей более опытных они могут быть очевидны.
Но в любом случае, упрощение и оптимизация не навредит.
Можно выслать патч с небольшим исправлением в мануале, или как там оно делается…

I60R ★★
()
Ответ на: комментарий от I60R

Вот мы и подошли к самому больному вопросу Русского опенсорса:
кто будет писать багрепорт и оформлять патч?

:)))))

torvn77 ★★★★★
()

Спасибо Майкрософт и АНБ за то что улучшают защищенность самой защищенной ОС!

anonymous
()
Ответ на: комментарий от torvn77

Тот у кого есть желание, тот кто решил проблему, и тот кто умеет писать багрепорты а так же делать патчи.
Увы, я пока не настолько крут

I60R ★★
()
Ответ на: комментарий от Adept_of_shreedom

Блокирование учётной записи. Одно из первых что я делаю на web сервере (естеснвенно предварительно создав новую учётную запись, добавив её в группу sudo).

Смысл в том что пользователь root известен, а неизвестность имени пользователя осложняет брутфорс (превращает этот процесс в деление на ноль).

Для этого sudo не нужен. В /etc/passwd добавляешь еще одну строчку строчку с нулевым id и с именем в стиле gahs8Xic (pwgen в помощь). root-ту возможность удалённого логина отключаешь, а gahs8Xic-у разрешаешь.

Вот и всё.

Правда как выше уже заметили, безопаснее твоя система от этого не станет.

Deleted
()
Ответ на: комментарий от Deleted

В /etc/passwd добавляешь еще одну строчку строчку с нулевым id и с именем в стиле gahs8Xic (pwgen в помощь). root-ту возможность удалённого логина отключаешь, а gahs8Xic-у разрешаешь.

Но зачем так извращаться, если можно это делать стандартными средствами для управления учётными записями?

Adept_of_shreedom
()
Ответ на: комментарий от Adept_of_shreedom

/etc/passwd и есть стандартное средство. Ну или через useradd создать, один хрен.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.