https://www.opennet.me/openforum/vsluhforumID3/111380.html В утилите sudo (https://www.sudo.ws/), применяемой для организации выполнения команд от имени других пользователей, выявлена (http://www.openwall.com/lists/oss-security/2017/05/30/16) опасная уязвимость (https://www.sudo.ws/alerts/linux_tty.html) (CVE-2017-1000367 (https://security-tracker.debian.org/tracker/CVE-2017-1000367)). Проблема позволяет переписать любой файл в системе, например, /etc/shadow, и проявляется только если пользователю делегировано выполнение определённых привилегированных операций в /etc/sudoers, в системе включен SELinux и sudo собран с поддержкой SELinux.<br>Уязвимость устранена в обновлении sudo 1.8.20p1 (https://www.sudo.ws/), а также в пакетах дистрибутивов RHEL 6/7 (https://access.redhat.com/errata/RHSA-2017:1382), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1456884), Ubuntu (https://www.ubuntu.com/usn/usn-3304-1/), Debian (https://security-tracker.debian.org/tracker/CVE-2017-1000367), SUSE (https://www.suse.com/support/update/announcement/2017/suse-su-20171450-1/) и openSUS https://www.opennet.me/openforum/vsluhforumID3/111380.html#130 Tue, 06 Jun 2017 23:32:56 GMT pkexec же есть при желании...<br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#129 Tue, 06 Jun 2017 11:18:44 GMT &gt; Зачем логины разные, когда есть root. <br><br>Т.е. сидеть от рута - плохо, а сидеть от пользователя имеющего права рута - гуд?<br>Тот же пароль пользователя с приставкой sudo. Может кто расскажет в чём соль этого sudo?<br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#128 Mon, 05 Jun 2017 20:22:37 GMT &gt; А какой красавец писал GUI-приложение с рутовыми привилегиями вместо привилегированного<br>&gt; хелпера? <br><br>а смысл? <br>Если запускать его в trusted окружении (читай, из под собственного юзера на собственных иксах, где нет левых клиентов), гораздо надежнее вручную дернуть su, чем полагаться на хелпер (который могут и поломать, и попытаться запустить без спросу другие).<br>Хотя, разумеется, это не стильно,не модно и не молодежно, и скорее всего речь о какой-нибудь хрени двадцатилетней давности, еще на osf/motif. (хотя, хотя... а скажите-ка, у нас вайршкварк-то уже обзавелся подобным хелпером?) <br><br>&gt; (интересно, слышал ли этот экземпляр про MIT-MAGIC-COOKIE и дальше со всеми вытекающими)<br><br>ну, я, собственно, на это и намекал.<br>впрочем cat .Xauthority &gt; /root/.Xauthority - всегда так делаем!<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#127 Mon, 05 Jun 2017 14:41:20 GMT &gt; Нет, не ansible. Если интересует предмет моей боли &#8212; это скрипт запуска <br>&gt; GUI-приложения с рутовыми привилегиями (то есть нужна переменная DISPLAY,<br>&gt; которую sudo нещадно ликвидирует).<br><br>А какой красавец писал GUI-приложение с рутовыми привилегиями вместо привилегированного хелпера? (и нет, не пытающего опять-таки запустить всю ту хрень от рута)<br><br>(интересно, слышал ли этот экземпляр про MIT-MAGIC-COOKIE и дальше со всеми вытекающими)<br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#126 Sun, 04 Jun 2017 17:43:47 GMT дружище, я думаю матчасть я знаю лучше тебя. по крайней мере не хуже точно. sudoers использую очень активно. <br><br>я в своем сообщении написал про sudoers<br><br>&gt; на сервер при помощи sudo можно делегировать пользователю выполнение некоторых комманд. не очень гибко и удобно, но тем не менее.<br><br>и плохо понимаю при чем тут sudoers в принципе. обсуждали разницу между sudo и su - . <br><br>в sudoers для админа как правило выставлено выполнение _любых_ комманд от рута. и в этом случае разницы никакой нет, что ты выполняешь деструктивную команду с суду, либо без суду от рута. <br><br>я могу сделать эксепшн для удаления только корня, но указать эксепншы для всех деструктивных действий я не могу. засим указывать их не имеет смысла. <br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#125 Sat, 03 Jun 2017 12:55:44 GMT &gt; Во-первых, не безобидно. Запускать в иксах что попало от рута <br><br>ну так не запускай что попало и от рута - "полагаем, вы уже прослушали лекцию системного администратора, что тут можно, а что нельзя".<br><br>&gt; и это давно уже запретили везде, где только можно<br><br>никто этого специально не запрещал, оно само сломалось с тех пор, как появились display managers (надо ж как-то изолироваться от других пользователей).<br><br>&gt; К тому же такой возможности просто нет. Есть возможность запустить sudo -E<br><br>эмм... тогда возвращаемся к исходной теме- раз тебе не дали такую возможность, значит, и -E, гораздо более опасную, тебе оставили просто по ошибке, не зная о такой фиче или как ее отключать. Нет -E - нет ошибок, как хорошо (голосом фошизда-без-лопаты из metroLL).<br><br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#124 Sat, 03 Jun 2017 09:53:54 GMT &gt; каждое написанное sudo тоже напоминает, что...<br><br>следующей введённой командой должна быть sudo bash: сколько уже можно вводить этот долбаный sudo.<br><br>&gt; напоминает, что надо перепроверить, что делаешь.<br><br>use PS1, Luke. Раскрась руту приглашение ко вводу в shell так, чтобы оно резало глаза. Воткни туда что-нибудь красненькое, обязательно \$ в конце, чтобы видеть # вместо $. Не надо делать рутовый PS1 слишком длинным -- всё же удобство редактирования команд важно, но ярким и "опасно" выглядящим -- обязательно. И сигналы ACHTUNG! ACHTUNG! твой мозг будет получать не тратя время на ввод команды sudo.<br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#122 Thu, 01 Jun 2017 20:25:52 GMT &gt;&gt; Одно здесь хорошо, очередную дырочку закрыли! А так как аналогов sudo не <br>&gt;&gt; очень много (ИМХО), и велосипедить в данном секторе будут только самые <br>&gt;&gt; отъявленные (или самые одаренные), то такие нужные и важные инструменты как <br>&gt;&gt; su и sudo потихонечку "оттачиваются"!<br>&gt; Рыжий же уже вроде как высказал своё фи насчёт su и забацал <br>&gt; замену.<br><br>Да и пусть с ним, и дай Бог ему здоровья. Он стахановец по коду. Да и встряску болоту тоже дает. А то как говорят, одна голова хорошо, ... Ведь, двигается ведь прогресс. А то, что там где то вендорлок, так вон на хорошо удобренной почве например Devuan (и прочие) возрос! Так что все хорошо! По моему, последнее предложение банальщина, какая то ;)<br> https://www.opennet.me/openforum/vsluhforumID3/111380.html#121 Thu, 01 Jun 2017 19:50:39 GMT &gt; Опенята клепали же свой аналог doas,<br><br>вам мало roaming в sshd и насквозь гнилой libressl, чтобы понять, что это будет еще хуже, чем sudo?<br>(особенно, когда попытаешься отвязать от общего чудо-проекта - включая вот ровно обсуждаемые грабли. Они линуксоспецифичны, сюрприз, да?)<br><br>