Выпущен sudo-1.7.2: добавлена поддержка технологии Vitela/Quest Authentification Services, VAS/QAS

>sudo su

Часто использую, когда лень пасс вводить, а рута срочно надо.
Пойду под гентту чтоли соберу.

>>sudo su

Шоб вас, а.

>>Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом.

никогда не думал, что это недостаток юникс

>>Так, что обман sudo-защиты может быть выполнен посредством запуска командного интерпретатора или другой универсальной программы из программ, допущенных к выполнению с правами привелигированного пользователя (sudo csh или sudo su). 

какой ужас :)

между прочим, штатный разработчик OpenBSD ;)

бить по рукам за такие новости. давайте ещё расскажем про su, раз упомянули, потом про каждого разработчика, что он писал, в чём учавствовал, раскрутим дальше цепь. по сути новости что? QAS? где описание, что это такое.

+1

>sudo su

Непонял где тут недостаток. Кто заставляет разрешать su или sh в /etc/sudoers?

Настоящая проблема - это запоминание пароля. Вредоносный скрипт может ожидать пока юзер воспользуется sudo и введёт свой пароль, после чего внедриться в систему. Поэтому на моей машине /etc/sudoers девственно чист. И я бы совсем удалил эту брешь, если бы не зависимости.

В моей системе его нет и не надо. Чем оно лучше su -c?

Гораздо страшнее скрипт, меняющий $PATH (например, через .bashrc) и подсовывающий юзеру свою версию sudo или su >_<

Поэтому у меня даже в юзерском хомяке
-rw-rw-r-- 1 root root 309 2009-04-28 19:09 .bashrc
-rw-r--r-- 1 root root 376 2008-01-28 20:39 .bash_profile

>Чем оно лучше su -c?

1. Не нужно заморачиваться с кавычками :)
2. Не требует знания рутового пароля.

На самом деле это очень эффективный инструмент для выдачи юзерам повышенных прав на _некоторые_ задачи. Почитайте ман.

А правильно ли делать через него все, по убунтовской моде - пожалуй, спорный вопрос.

Я, например, десктоп админю через sudo, а на серваках сразу после логина делаю su (ибо, в лучших традициях, рутовый логин по ssh запрещен).

> Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management"

Ололо, реклама. One ring to rule them all, причем из винды. Должно быть наоборот.

Новость можно было урезать до двух предложений.
>поддержка Quest Authentication Services (QAS), продукта компании Quest Software Inc. - средства управления правами пользователей UNIX/Linux из Active Directory. Девиз продукта Quest Authentication Services гласит: "One Identity, One Directory, One Point of Management"

Правда, после этого она приобретает отчетливый душок г.нопиара.

Чо бы только ни делали, лишь бы залатать анус Линуксу! Но на старом одеяле новые заплатки не держатся...

окей. :)

>непривелигированного
Слово происходит от "привелигии"?

>Один из недостатков программы sudo следует из особенностей UNIX - наследование прав дочерним процессом.
Эээ, то есть эту особенность ЮНИКС лучше отключить? Ну чтобы недостатков у судо не было?

новость срочно к выпиливанию лобзиком. какая-то смесь дурного ликбеза и рекламы (пропиетарного?) продукта.

nnz, отвечаю тебе, как наиболее грамотному собеседнику, на мой взгляд.

1. Девиз продукта QAS приведен с целью напомнить про лозунг НСДАП: "Ein Volk, ein Reich, ein Fuhrer" ("Один Народ, одно Государство, один Вождь"). см. ru.wikipedia.org/wiki/Фюрер

2. Новость не дорабатываю, чтобы помочь новичкам разобраться - что к чему, и не создавать им ложных иллюзий "отрихтованной" новостью.

3. Из новости ясно видно - с чем сталкиваются обычные разработчики обычного свободного программного обеспечения. Как говорится, новое - это хорошо забытое старое.

У меня sudo практически не используется по историческим причинам, посмотрел его с целью запустить QEMU с поддержкой сети через сетевой интерфейс TUN, который настраивается скриптом с правами root'а (qemu -net tap,script=qemu-ifup.sh ...).

У каждого - свои особенности настройки системы. :)

про .login и .profile не в курсе? и про chsh?
на самом деле, организовать грамотную защиту от потенциальных червей весьма не просто, и всего не предусмотреть.

>про .login и .profile не в курсе?

Неа. Можно цитату из манов, где написано, что баш их использует?
(Других шеллов на компе не держу, ибо нефиг зоопарк устраивать.)

Возможно, он имел ввиду _потенциальную_ уязвимость, по причине забывчивости системного администратора, не создавшего .bash_profile или .bash_login:

man 1 bash

--noprofile

Do not read either the system-wide startup file /etc/profile or any of the personal
initialization files ~/.bash_profile, ~/.bash_login, or ~/.profile. By default,
bash reads these files when it is invoked as a login shell (see INVOCATION below).

....

When bash is invoked as an interactive login shell, or as a non-interactive shell with the
--login option, it first reads and executes commands from the file /etc/profile, if that
file exists. After reading that file, it looks for ~/.bash_profile, ~/.bash_login, and
~/.profile, in that order, and reads and executes commands from the first one that exists
and is readable. The --noprofile option may be used when the shell is started to inhibit
this behavior.

Либо, системного администратора, допустившего возможность запуска /bin/bash --login:

....

If bash is invoked with the name sh, it tries to mimic the startup behavior of historical
versions of sh as closely as possible, while conforming to the POSIX standard as well.
When invoked as an interactive login shell, or a non-interactive shell with the --login
option, it first attempts to read and execute commands from /etc/profile and ~/.profile,
in that order. The --noprofile option may be used to inhibit this behavior. When invoked
as an interactive shell with the name sh, bash looks for the variable ENV, expands its
value if it is defined, and uses the expanded value as the name of a file to read and exe■
cute. Since a shell invoked as sh does not attempt to read and execute commands from any
other startup files, the --rcfile option has no effect. A non-interactive shell invoked
with the name sh does not attempt to read any other startup files. When invoked as sh,
bash enters posix mode after the startup files are read.

> QAS

это технология "вас из дас", по-русски более известная как "кто-там". способна довести неавторизованного пользователя до обморока. теперь и в sudo.

Имея некоторый опыт работы с системой PAM + LDAP и Samba + NSS + WINS + ADS, полагаю, что навара от "поддержки" 24x7 у компании Quest Software не меньше, чем у разработчиков программ, использующих LDAP.
* Sun Microsystems - OpenDS;
* Red Hat - Fedora Directory Server/389;
* Microsoft - Active Directory;
....

Более полный список LDAP-серверов, http://en.wikipedia.org/wiki/List_of_LDAP_software:
....
· Apache Directory Server
· Apple Open Directory
· CA Directory from CA, Inc. (formerly eTrust Directory)
· eB2Bcom View500
· 389 Directory Server (formerly Fedora/Red Hat Directory Server)
· IBM Tivoli Directory Server
· Mandriva Directory Server
· MXMS, from Atos Origin
· M-Vault, from Isode Limited
· Microsoft Active Directory
· Novell eDirectory
· OneLDAP An LDAP gateway to standard protocols like POP3 and IMAP.
· OpenDS
· OpenLDAP
· Openwave LDAP Directory Server
· Oracle Internet Directory
· Penrose - a Java-based Virtual Directory Server.
· Siemens DirX
· SIDVault
· Symlabs Virtual Directory Server a high performance C-based Virtual Directory Server.
· Sun Java System Directory Server
· tinyldap
· UnboundID Directory Server

Очень напоминает две стопки книг:
- первая - учебники и руководства по технологии J2EE; (Directory Service)
- вторая стопка - несколько книг по Ruby; (децентрализованное хранение реквизитов доступа);

Я почему этот вопрос задал - обыскал весь ман по башу и не нашел слова '.login'. '.profile' искать не стал, а зря. Спасибо :)

В тексте новости маловато примеров использования sudo, а параметры командной строки вообще не перечислены, автору незачёт.

Не за что - появилась возможность - подсказал. Поиск по man'у - прямая наклонная черта (слева от Shift'а).

Это моя третья где-то по счету подтвержденная новость. На необычные (нескучные) статьи (в том числе и новостные) часть читателей отвечает неконструктивно (см. предыдущего оратора), поскольку тон статьи не укладывается в картину их мировосприятия, и они пытаются вытеснить эти воспоминания с помощью агрессии. :) Обычно - на новости, связанные с безопасностью (самим по-себе внутренне противоречивым объектом) и на сообщения, связанные с государственным управлением (тут дело в эмоциональных переживаниях, заботе о "всеобщем благе", расходящимся с благом отдельных индивидов - меня, в частности). :)

fixed, смысл заголовка не поменялся.

А мне RSS (по которому ты, я так понимаю, пришел сюда со своего сайта) не понравился. Кстати, сайт твой в текстовом режиме смотреть неудобно.

спасибо за замечание, теперь текстовым и мобильным браузерам отдается другая версия.

>Поиск по man'у - прямая наклонная черта (слева от Shift'а).

Дожил. Старого вимщика учать работать в less :'(

> sudo su

вот вы мне объясните, зачем делать это, если есть sudo -s или sudo bash... это ж на один процесс больше

>средства управления правами пользователей UNIX/Linux из Active Directory
НЕ ХОТЕТЬ
Не дай б-г чтобы мне понадобилась такая штука.

По твоему сайту я уже понял, что ты - программист. Ибо лениво писать на html. :)

Может быть, в целях увеличения количества человеческих особей, производящих подобные программные продукты (su, sudo, bash)?