В какой степени вы ограничиваете вашего пользователя в системе на десктопе?

Использую sudo/doas с паролем

Работаю под рутом

я ж программист, у меня все порты нараспашку, все разрешено, что только можно

Ограничиваю права своего пользователя мандатным контролем доступа

Дефолтый SELinux - это видимо оно?

Оно, но только при условии, что не были применены меры повышения привилегий пользователя (например sudo).

А можно избиратели этого варианта ещё расскажут, нафига пароль?

нафига пароль?

как сделать так что бы sudo было без пароля?

ясно, понятно

а мне не понятно - расскажи?

Использую sudo/doas с паролем

Голосовать нужно за самый верхний подходящий вариант

И меня ещё упрекали, что это я людей в своих опросах единицами измерения запутываю :)

Привилегии.

sudo visudo
username ALL=(ALL:ALL) NOPASSWD: ALL

Прикалываешься? Или в гугле забанили? :)

Прикалываешься?

стремный велосипед.

Ясное дело стремный. Зачем вообще убирать там пароль я хз. Смысл тогда в sudo?

Чем 4 и 5 пункты отличаются? Что ты там снижать собрался? etc спрятать?

Спроси у избирателей этих вариантов.

Ты прикалываешься? Как отвечать на опрос если непонятно чем его варианты отличаются?

Тем и отличаются, что в одном случае используются только UNIX Permissions, а во втором мандатный контроль доступа.

Я не про 6 пункт спросил.

Опять же, то и значит. Либо дефолт, либо что-то ограничено. Например noexec на хомяк.

noexec это не unix permissions а опции монтирования.

unix permissions это то что у юзера нет прав на запись в /etc или в чужой home и оно везде и так есть

В принципе да, можно подправить будет.

Другими словами, я считаю, что для приведения опроса в подтверждаемый вид вот эту вот приписку про самый верхний вариант надо убрать и вместо неё сделать нормальный мультивыбор.

Не уверен, что это хорошее изменение, но подправил опрос.

Использую sudo/doas с паролем

…если в системе есть нормально настроенный sudo из коробки, например, в моей домашней Manjaro KDE он есть. В тех же системах, где его надо настраивать руками, я как ленивая скотина вместо этого…

Использую отдельный аккаунт рута, но привилегии пользователя стандартные (не снижены)

Другими словами, работаю под обычным пользователем, если нужны административные действия — открываю соседнюю вкладку konsole или qterminal, делаю там su, проделываю необходимые действия и выхожу.

This:

(не снижены)

Работаю под рутом, конечно. Ничтожный риск случайно снести кусок домашней системы не стоит многолетней дебильной возни по вставлению палок в колеса самому себе.

Основого пользователя особо не ограничиваю, использую sudo с паролем для получения рут прав. А вот программы и игры, которым не доверяю, запускаю под отдельным пользователем или в песочнице (bubblewrap).

у меня все порты нараспашку

Попрошу уточнить: на какой слог ставить ударение?

У меня обычный пользователь + рут, sudo не установлено вообще. А чего пользователя еще дополнительно ограничивать, он и так неплохо ограничен.

sudo да и всё. Но иногда su - потому что в sudo по таймеру пароль слетает и надо его снова вводить. Но sudo это вродь как наоборот расширение прав пользователя, но да ладно.

Всё это слишком сложно. Либо su, либо ядерная консоль.

К тому же необходимости делать бэкапы и изолировать опастную информацию от особо дырявого решета это не отменяет.

В какой степени вы ограничиваете вашего пользователя

В вопросе явная шизофрения с раздвоением личности. Можно я не буду участвовать в опросе?

нафига пароль?

Чтобы успеть подумать. Иногда бывают опечатки и Enter на автомате, а так есть лаг перед повторным вводом.

Отсутствуют пароли вообще, только у рута, но я им не пользуюсь.

Часто размышляю над подобным, может тоже стоит попробовать.

Ну а чего тут размышлять? Мы же о домашней системе. Все ценные данные на ней лежат в хомяке или рядом, и их ты можешь похерить всегда, как ты учетку ни ограничивай. А системные данные, похерить которые может только привилегированный юзер, во-первых, фуфло ничтожное, восстанавливаемое за тьфу времени, и во-вторых, ты к ним все равно, когда надо, лезешь рутом (и, соответственно, беспрепятственно херишь, если угораздит).

На многоюзерских или удаленных системах - там ладно, нарезка юзеров еще имеет хоть какой-то смысл. Но на одноюзерском локалхосте..?

А что еще может случиться? Малварь из Фаерфокса дотянется до корня и украдет мой /bin/bash?

Опция NOPASSWD в /etc/sudoers. Некоторые утилиты запускаю именно так.

я отказываюсь давать уточнение на Ваш запрос))

Ну вот, например, nmap требует рута, какой-нибудь btrfs df тоже требует рута. Но сам по себе навредить не может, тогда запускаем через sudo без ввода пароля.

И ты на каждую команду вводишь пароль? Или твой workflow полагается на непредсказуемо появляющийся запрос пароля?

И ты на каждую команду вводишь пароль?

Нет, только для которых требуется повышения привилегий. Речь же про sudo? Ввод пароля теоретически дает время избежать ошибки, это предположение, если что.

sudo с паролем, и то потому что руки не доходят его убрать. Дома не вижу смысла с чем-то заморачиваться. И так всё самое важное делаю под юзером и всё приватное можно прочитать из под него же. Да и риски минимальны, если тебя не надо кому-то таргетировать. Но это ещё заслужить надо.

Слегка понюхав манду мандатный доступ под Астрой, не могу представить, чтобы кто-то по своей воле использовал ЭТО для своего пользователя. Это для того, чтобы уже после того, как всё настроил, разрешить тупому юзеру тыкать две дозволенные кнопки в режиме киоска и ничего больше.

Да, целиком согласен, просто видимо как-то не сумел выскочить из паттерна, что мол надо так и эдак, ну и gdm, ЕМНИП, не пускает в гуй под рутом.

В общем, в результате мой юзер, да, по сути вообще ничем не ограничен – никаких selinux, паролей, pam-ов, кейрингов, ограничений на файловые системы, короче везде, где натыкаюсь на эту гребанную секурность – сразу ищу способ её прибить.

То есть вот столько геморроя вместо того, чтобы тупо сидеть под рутом 🤦‍♂️

gdm

Идем далее: нафига на одноюзерской системе графический login manager?
(тем более стремное гномоговно, которое с каких-то херов берется указывать тебе, что делать со своим компом)

Иногда пригождается для переключения пользователей (создал юзера, потестил, удалил) или ДЕ, и вообще удобная вещь – умеет автологин, например.

Ну, тут я заложник обстоятельств: так сложилось, что было интересно оседлать Шапку в качестве домашней системы, и мне это удалось, даже очень-очень, ну, а gnome, gdm, NM и тд там очень хорошо готовят, жаль таким добром разбрасываться (осторожно, возможен сарказм).

Работаю под пользователем, но когда нужен рут, то либо логинюсь в отдельном tty, либо через su.