Спустя 9 лет после формирования ветки 1.8.x опубликован новый значительный выпуск утилиты sudo 1.9.0, используемой для организации выполнения команд от имени других пользователей...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52950
Повременю пока обновляться, подожду пару минорных релизов, а то мало ли
Не опеннет, а логи apt-cache какие то ... новости то где? Заколебали уже с этими "обновился пакет ..."
Согласен
> Не опеннет, а логи apt-cache какие то ... новости то где? Заколебали
> уже с этими "обновился пакет ..."он в этот раз так "обновился", что лучше бы быть об этом в курсе.
>Передаваемый чрез переменную окружения SUDO_COMMAND список аргументов командной строки теперь обрезается до 4096 символови как теперь жить с таким ограничением?
использовать alias наверное
День за днём, мало по малу...
И сколько новых багов, репрессий и выпиливаний на сей раз принесли?
>1 Передаваемый чрез переменную окружения SUDO_COMMAND список аргументов командной строки теперь обрезается до 4096 символов.
да просто п-ц какой-то.
Сислог отменили, миллиард каких-то "плагинов", свистелок, перделок - в софтине которая обязана быть простой как палка.И даже форк не сделать - поляна напрочь загажена невменько из опенбсд с их мертворожденным doass.
P.S. и похоже таки надо готовиться к переходу инфраструктуры на работу от рута по ключам. Потому что полагаться на этот бесконечнодырявый п-ц могут только девляпсики. Те самые которые sudo su.
Так тебя никто и не обязывает тащить судо в свой вантуз. Используй там нативные иструменты.
В докере судо не нужен. А значит судо не нужен везде.
Ну или докер не нужен
Спасибо, о великий анонимус! Я тут посчитал, что мы можем отказаться от докера и деплоить сервисы в традиционные, милые всем виртуалки без богомерзких, этих вот, контейнеров.
Итак, переезжаем с нынешних 40 машин на 60000. Сейчас обрадую руководство, что нашёл прекрасный вариант сэкономить средства, и техподдержке сообщу, что всё станет намного проще. Никаких этих самых кубернетесов, авторестарта сервисов. И наконец-то появится возможность чистить переполненные диски на всего-лишь 60000 машинах.
А вообще виртуалки - это не серьёзно. У настоящих мужиков - везде физические сервера. Ну это будет второй шаг миграции.
> переезжаем с нынешних 40 машин на 60000Вы деплоите ELF-бинарники по 10 Гб на контейнер, что ли?
> наконец-то появится возможность чистить переполненные диски на всего-лишь 60000 машинах
Действительно, зачем рушить один сервис путём исчерпания свободного места, когда точно таким же образом можно обрушить сразу тысячи?
- Это не эльфы. Но и жирнее 10ГБ.
> Действительно, зачем рушить один сервис путём исчерпания свободного местаСвободного места предостаточно, с виртуалками такого размера и в таком количестве - позволить можем. В отличии от массового администрирования многочисленной мелочи.
> В отличии от массового администрирования многочисленной мелочиА порнография с операторами, ингрессами, терраформами, хелм-чартами и прочей модной обвязкой над обвязкой над обвязкой, которую не то что внедрять — следить за ней не успеваешь, конечно, ни разу не администрирование и ни разу не бесконечной мелочи.
А потом мы удивляемся тому, что у девопсов «место в виртуалках заканчивается».
Следить - успеваем. Внедряем то, что надо. Не внедряем того, что не надо.
Единожды написаный ингресс - будет работать как ингресс, хельм-чарты - тоже. Операторы - ещё не применяли, нужна причина/повод.
Терраформ для кубернетеса??? Наверное ты ещё много других страшных слов знаешь.> А потом мы удивляемся тому, что у девопсов «место в виртуалках заканчивается».
Именно у меня, на тех 40 виртуалках - не заканчивается, почему - читаем выше.
> Терраформ для кубернетеса??? Наверное ты ещё много других страшных слов знаешь.Ну да, мне повезло, что для меня это только страшные слова! А то, бывало, заглянешь в какой-нибудь модный чатик, так там через сообщение гордо именующие себя ДевСекЧатОпсами каждый день такими микроскопами в контейнеры запихивают всё, от БД и прометеусов до прочих CNCF-костылей.
Потом они не смотря на все трудности пытаются в докере сервис перезапустить без перезапуска контейнера.
Это, видимо, "старички", психологически травмированные OpenVZ и LXC и уверенные, что в каждом контейнере должна работать полноценная система с инитом, кроном, syslog, udev и так далее.
Всегда старались разнести сервисы, а тут наоборот всё на один хост пихают для "надёжности" наверно.
Да, старая добрая традиция — 100 хилых железок, на каждой свой сервис, смерть железки = смерть сервиса.
А гадкие людители смузи вместо этого берут 10 мощных железок, и если одна дохнет, сервисы с неё раскидываются по остальным.
Начальство смотрит на ценник аренды 100 мест в ДЦ... и старые добрые админы оказываются без работы.
> А вообще виртуалки - это не серьёзно. У настоящих мужиков - везде физические сервера.в целом так и есть. В блаженной памяти 2009м у нас все так и было - да, stateless (паааачти, ну как всегда) архитектура, да, linear scaling (почти ;) , централизованное управление, но... опачки - одна нода = один физический сервер. Потому что и одного было иногда маловато.
Авторы докера, к счастью, тогда еще школу не закончили.
P.S. и что вам мешает "деплоить сервисы" в виде - сервисов, без ненужной обмазки "контейнерами" ?
Они от этого ни меньше жрать (они больше жрать), ни лучше работать - не стали.
> без ненужной обмазки "контейнерами" ?Там выше - написано
> Они от этого ни меньше жрать (они больше жрать), ни лучше работать - не стали.Стали меньше жрать, ибо меньше прослоек. Стали лучше работать. Повысилась плотность размещения сервисов. Всё это - выше написано.
вот так - модные современные девляпсы даже не поняли."Стали меньше жрать, ибо меньше прослоек."
выбросить ненужный доскер - это "больше прослоек", ну надо же.
> выбросить ненужный доскер - это "больше прослоек", ну надо же.а нудануда... и перейти на виртуалки.
Хотя только 60000 серверов, как зивещали диды, спасут от прослоек.
>> выбросить ненужный доскер - это "больше прослоек", ну надо же.
> а нудануда... и перейти на виртуалки.нет, все же девляпс- это диагноз. Где-то рядом с кретинизмом.
Вот такие они - аргументы обиженного поха.
Нет, его главный аргумент — наличие достаточного количества времени, чтобы задрaчивать плюсики на своих комментариях и минусики на остальных :)
Нн-н-но… ЗАЧЕМ, сенпай?! Он что, совсем бака?
я как то всегда считал, что один процесс запускающий внутри еще один это увеличение нагрузки. а теперь вот оно как все законы физики отменили и дополнительная нагрузка и запуск десяток докеров это энергия из вакуума. нет я конечно читал что сама физика пространства такое позволяет, но не в виртуале же)))) ахаха да уж новое поколение после ЕГЭ нифига не знают и живут в альтернативной реальности.
> я как то всегда считал, что один процесс запускающий внутри еще один это увеличение нагрузкину, вообще-то, тоже неправильно считал.
В юниксе один процесс запускающий внутри еще один - остается одним (новым) процессом. А docker-daemon/containerd/кто там у них сегодня в камасутре сверху, я уже запутался - он один на хост, вреда от него не то чтоб ноль, но мало.
Накладные расходы там другого плана - все эти бесконечные наслоения layered fs, бесполезные и бессмысленные копии tmpfs и прочего шлака в каждом контейнере отдельно, лишние проверки и так далее. Про ужасающий процесс сборки этого дерьма уже и говорить не приходится.
В "неправильных" (коих большинство) - еще собственная убогая реализация замены init вместе со скриптами, собственные убогие реализации cron, перпендикулярные системному и т д.
> Накладные расходы там другого плана - все эти бесконечные наслоения layered fs, бесполезные и бессмысленные копии tmpfs и прочего шлака в каждом контейнере отдельно, лишние проверки и так далее.Можно в цифрах, какое замедление это даёт относительно не-контейнерного приложения? Хотя бы 0.1% наберётся (спойлер: нет).
> Про ужасающий процесс сборки этого дерьма уже и говорить не приходится.
Действительно, это ужасно, когда для воспроизводимой сборки достаточно Dockerfile и контекста, а какие версии gcc, libc и dev-пакетов установлены на системе сборщике — пофиг.
> Можно в цифрах, какое замедление это даёт относительно не-контейнерного приложения?
> Хотя бы 0.1% наберётся (спойлер: нет).спойлер: этому дятлу и в голову не пришло - померять.
> Действительно, это ужасно, когда для воспроизводимой сборки
требуются инструменты, нахрен для сборки ненужные - но тщательно "воспроизводящие" всю ту нелепость, что была наверчена на локалхосте у разработчика. Потому что он сам не знает, почему шаг вправо/шаг влево - ничего не работает.
Более того, дятел-разработчик даже не в курсе, что из этого на самом деле ему требовалось - уже не один раз при разборке "достаточного" докерфайла я выкидывал из него сотни мегабайт ненужного мусора (особенно впечатляющ оказался onlyoffice - там целые репо были ненужны для работы).
> а какие версии gcc, libc и dev-пакетов установлены на системе сборщике — пофиг.
потому что ими все равно не соберется. А какими собиралось - не знает разработчик - он втащил из хз чьих реп хз что и хз каких версий. Кстати, две из них больше недоступны в интернете, поэтому пересобрать у тебя не получится.
Но ты и не п-ди мне тут про "воспроизводимые сборки" - ничего ты и никогда не воспроизводил. docker run some-trash - и пусть себе качает с докерхлама что ни попадя. Авось подойдет под задачу, да?
Только у меня для тебя плохая новость - у подобных альтернативно-одаренных разработчиков есть еще умение скачать хз что хз откуда прямо в ENTRYPOINT. Подумаешь, чудо-контейнер стартует по пол-дня, если, конечно, ему вообще доступен интернет, а в интернетах еще остался именно этот хлам.
> В блаженной памяти 2009м у нас все так и былоВ блаженной памяти 1964м у нас все так и было... Никакого ненужного тайм-шеринга. Одна задача - один мейнфрейм. Пока она там молотит - все пусть подождут.
P.S. и что вам мешает "выполнять программы" в виде - программ, без ненужной обмазки "операционными системами" ?
Они от этого ни меньше жрать (они больше жрать), ни лучше работать - не стали.
>> В блаженной памяти 2009м у нас все так и было
> В блаженной памяти 1964м у нас все так и было... Никакого ненужногоой, ну конечно же мир ИТ с 2009 изменился ну прямо так же, как с 64го. Нет, ну я понимаю - для вас да, вы успели школу начать и кончить, видимо...
Железный аргумент, чо.
Не надо его обижать. У него действительно незавидная участь.
Если бы мне в 2020 пришлось админить железо из 1964, я бы тоже злой был.
> Не надо его обижать. У него действительно незавидная участь.
> Если бы мне в 2020 пришлось админить железо из 1964, я бы
> тоже злой был.ты когда придется - не забудь мне сказать, я тебя заменю. Если бы мне доверили железо из 1964 - я был бы счастлив.
Там почти все можно было еще починить и исправить, даже если сломано физически. И при этом альтернативно-одаренные к разработке даже близко не подпускались, поэтому исправлять приходилось только то и тогда, когда тебе действительно требовалось сделать нечто необычное.
> P.S. и что вам мешает "выполнять программы" в виде - программ, без ненужной обмазки "операционными системами" ?
> Они от этого ни меньше жрать (они больше жрать), ни лучше работать - не стали.На 5 с плюсом!
> P.S. и что вам мешает "выполнять программы" в виде - программ, без ненужной обмазки "операционными системами" ?"Поколение пепси" так не умеет, увы. Им подавай ядро, инит, драйверы, планировщик...
> P.S. и что вам мешает "деплоить сервисы" в виде - сервисов, без ненужной обмазки "контейнерами" ?Невозможность осилить ни единого способа пакетирования и отслеживания зависимостей, кроме make install/pip install в доскерфайле промежуточного контейнера, построенного на основе взятого с хаба ZverContainer.
Оставь их, это уже навсегда.
> Невозможность осилить ни единого способа пакетирования и отслеживания зависимостей, кроме
> make install/pip install в доскерфайле промежуточного контейнера, построенного на основетебе срочно на курсы по разработке докера. Так - сегодня только лохи делают!
> взятого с хаба ZverContainer.
нет, досюда все верно - но вот в этом месте надо завернуть ВСЕ в tar, и новый контейнер (тот что на докерхаб) выложить
FROM scratch
COPY shittar /Сейчас ТАК принято! Это экономит массу места на очень дорогих дисках, сурьезно затрудняет работу хакеров, а заодно прячет все неумешество под коврик.
> Оставь их, это уже навсегда.
Мне тут рассылка от выгульщиков собак приходила - они как-то работают, не смотря на карантин.
Тетка, которая на них работает (внезапно, наткнулся через общую знакомую) говорила что кидает их при этом (давая прямой телефон клиентам, что наглухо, конечно же запрещено) уже пару лет - и ничего, никаких проблем.Думаешь, стоит попробоваться? Есть одно (сомнительного качества выборки) итальянское исследование, что немножко и от коровавирусов помогает.
> тебе срочно на курсы по разработке докера. Так - сегодня только лохи делают!Билеты продаёшь? ;-)
> Мне тут рассылка от выгульщиков собак приходила - они как-то работают, не смотря на карантин.
> Думаешь, стоит попробоваться?Я бы в твоём возрасте, наверное, не рискнул. Уж лучше собирать вебинары и пересказывать за деньги вот эти вот подсмотренные «лудшие проезводственные практики доскер». Сейчас жуть как много контор развелось, продающих курсы по модным технологиями — видать, прибыльное это дело.
> Билеты продаёшь? ;-)не, пока морально не готов.
Личинку короеда я, положим, могу без проблем сожрать живьем, причем - разжевав. Но живую лягушку?! Фу-фу-фууу...
> Я бы в твоём возрасте, наверное, не рискнул.
думаешь, этому бизнесу что-то угрожает? Конкурентов не будет - та девочка на другом конце дефаултсити работает, мы не пересекаемся, я уточнял.
> Сейчас жуть как много контор развелось, продающих курсы по модным технологиями
> видать, прибыльное это делодля продавцов-то конечно прибыльное. В смысле - владельцев этих контор. А для тех кто медленно и печально жует лягух на публике - вряд ли. И телефончик оставлять клиентам - тут не прокатит, вот в чем беда.
> думаешь, этому бизнесу что-то угрожает?Я скорее про эпидемиологическую ситуацию.
>> думаешь, этому бизнесу что-то угрожает?
> Я скорее про эпидемиологическую ситуацию.говорят, постоянно имеющие дело с собаками и кошками в среднем заболевают менее тяжело - поскольку их коронавирусы похожи. Правда, исследование на выборке в 100 человек.
Мне больше удивительно, что услуга востребована. "Шарик единственная собака в многоэтажке. Шарик сегодня гулял 60 раз."
Не пинди, дегенеративные! В конечном счёте все всегда упирается в железо. И с докером потери производительности всегда будут. И чем больше омноконтейнеров, тем больше будут потери.ЗЫ: докер и производные это Ява 21-го века.
> Не пинди, дегенеративные! В конечном счёте все всегда упирается в железо. И с докером потери производительности всегда будут. И чем больше омноконтейнеров, тем больше будут потери.Вопрос только в количестве. Полпроцента от уровня "сpём в систему" — не очень критично.
> Спасибо, о великий анонимус! Я тут посчитал, что мы можем отказаться от докера и деплоить сервисы в традиционные, милые всем виртуалки без богомерзких, этих вот, контейнеров.Чyвак, виртуалки — это дополнительный слой абстракции, вносящий тормоза. Причём не эфемерные, как у докера, а вполне ощутимые.
> А вообще виртуалки - это не серьёзно. У настоящих мужиков - везде физические сервера.
Именно. Нужно запилить новый сервис — достаётся со склада резервный сервак, и команда специально обученных сисадминов едет в ДЦ ставить его в предварительно закупленное место в стойке. После чего конфигурирует, не отходя от этой же стойки (удалённая работа — признак девляпсины).
чувак - ты _феерический_ кретин.> Именно. Нужно запилить новый сервис — достаётся со склада резервный сервак
по другому - феерические кретины, оставшись без любимого единственного понимаемого ими доскера - не умеют, и им в пустую бошку даже не приходит, что это возможно.
Побейся ей об стол, а? Ну может хоть немножко ума туда войдет?
Сервак со клада достается, когда и если не хватает процессорной мощности. Вообще-то, если у тебя она есть лишняя - непонятно, какого хрена мы за нее платим. Поэтому для нового сервиса, вероятнее всего, таки придется. Но доскеры тут - не нужны абсолютно и ни для чего.
Кроме одного единственного - равные тебе интеллектом "разработчики" тоже ничего кроме доскера не могут и не хотят. А умных нанять нельзя, им невозможно подсунуть "копроративные ценности" вместо зарплаты.
P.S. "тормоза" от виртуалок в реальной работе - тоже существуют и измеримы только в фантазиях кретинов. Тормоза "overlay fs" в отличие от них - вполне измеримы. Поскольку первое писали программисты, а второе - программисты-докера-в-докере-под-докером.
> Чyвак, виртуалки — это дополнительный слой абстракции, вносящий тормоза. Причём
> не эфемерные, как у докера, а вполне ощутимые.https://ru.wikipedia.org/wiki/Аппаратная_виртуализация
Не благодари.
а вот кстати - понадобилось надысь для отладки одного (очередного антидокерного но вопрос не в том) убожества ldconfig запустить в контейнере. И как мы без sudo (и, надо думать, su девляпсу тоже "нинуна") делать это будем? (да, в этом плане контейнер как надо контейнер, работает от юзера)
man docker-exec, см. ключ -uВы вообще когда-нибудь докер видели?
> man docker-exec, см. ключ -uниработаит. Девляпс, интересно, сможет сообразить, почему?
> Вы вообще когда-нибудь докер видели?нет, где там мне. Это ж только вчерашним недокодерам на пихоне доступно!
>>>And my personal favorite: Python support for plugins, which enables you to easily extend sudo using Python code instead of coding natively in C.
фаааак :-(
но походу sudo_logsrvd не совсем вместо сислога, это демон для централизованной записи логов для sudoreplay.
> В состав включён фоновый процесс sudo_logsrvd, предназначенный для централизованного ведения логов с других систем.Ждём читалку QR-кодов, и тогда sudo будет готов сразиться с systemd на равных.
Не принижайте возможности systemd! Он гораздо более избыточн^W функциональный
sudo работает над тем, чтобы сократить разрыв.
че как маленький - сам запили, на пихоне! Уже ж можно!Только чур по взрослому, без трусов - не самому скриптовать, а подтянуть зависимостей зависимостей для нескучной библиотечки, этак сотню-другую!
Мы победим этого сцыстемде с его дурацкой сишечкой!
Лучше на Жеесичке, для не него можно гоораздо больше разных npm-чиков подтянуть, да с бекдорчиками.
Пришли Тоду патч - он наверняка с удовольствием запилит.
Зачем, запили JS на Пайтоне, остальное подтянут. :)
> Зачем, запили JS на Пайтоне, остальное подтянут. :)таак, кажется, я знаю чем буду заниматься на пенсии (или в принудительном отпуске без права покидать квартиру)!
>Добавлена возможность разработки плагинов для sudo на языке Python,
>которая включается при сборке с опцией "--enable-python";Уязвимости для судо теперь можно писать на питоне. Удобно.
это не дыра! Это технологическое отверстие!
Перешёл на opendoas и не жалею.
Перешел на FreeDOS, вoобще не знаю линуксопроблем
Исправлена опечатка «opendoas» - нажмите 'отменить' - поиск думает за Вас очевидно!
как-то пол года назад решил пробовать, но после того как для себя делал пометки в виде комментариев в его конфиге на русском языке его начало не по детски колбасить, то есть на сколько я понял doas при разборе своего конфига не мог нормально разбирать utf8 символы
если #пробел - doas: Authorization failed, если ##пробел - все работает.
> если #пробел - doas: Authorization failed, если ##пробел - все работает.дайте угадаю - авторы "супербезопастной" подделки под sudo не выбросили в помойку одно из наиболее вредных (я уж молчу про реализацию!) изобретений - "#include"
И напарываются на ваши рюйске буквы (я бы, правда, отдельно убивал тех кто в технические конфиги лезет со своим 1С)
#пробел и коммент на родном английском работают - это же очевидно!
естествено - оно обламывается на символе который не символ.Но единственная причина парсить _комментарии_ - include.
Не угадал:$ man doas.conf | grep -i include
$$ man doas | grep -i include
$
> Не угадал:что ж оно там тогда в комментариях _парсит_, вместо скипнуть строку, и как вообще такой код можно было умудриться написать?!
>> Не угадал:
> что ж оно там тогда в комментариях _парсит_, вместо скипнуть строку, и
> как вообще такой код можно было умудриться написать?!Не знаю.
У меня в OpenBSD 6.7 не воспроизвелось, проверил вот сейчас.
#, далее что пробел, что сразу слова на русском - всё работает.
Ну т.е. следующий запуск doas не приводит к ругани.Но если что-то такое таки имеет место, то это выглядит как какая-то очень странная и наркоманская проблема, да.
Да, Вы правы, дело в локали окружения, при добавлении keepenv все работает и с #пробел коммент.
> Да, Вы правы, дело в локали окружения, при добавлении keepenv все работает
> и с #пробел коммент.Я не могу быть прав или не прав, потому что я ничего толком не утверждал ;)
У меня описанная проблема не воспроизвелась, о чём я и сообщил. Если есть надёжный способ воспроизвести неадекватное поведение - имхо, лучше бы донести это до разработчиков doas.
Ваш коммент и то что doas отвечала на английском направили меня в doas.conf. У меня Arch и doas не создает doas.conf автоматом. Я добавил строку permit persist keepenv :(группа) в /etc/doas.conf и все заработало. persist - не вводить пароль некоторое время.
ха, вот еще словил прикол$ touch аноним
$ ls аноним
аноним
$ sudo ls аноним
аноним
$ doas ls аноним
''$'\320\260\320\275\320\276\320\275\320\270\320\274'
$ doas ls аноним
ls: невозможно получить доступ к 'аноним': Нет такого файла или каталога
$ doas ls аноним
аноним
не создал файл
> ха, вот еще словил приколну это еще более-менее понятно
> $ doas ls аноним
> ''$'\320\260\320\275\320\276\320\275\320\270\320\274'locale срезалась. Так и должно быть, мало ли что ты в LANG напихал - прецеденты со срывом стека через него - были.
В doas.conf в строке нет keepenv - вот и срезается...
После touch лишнее ls, нужно верить, что фал создан - это очевидно!
Из комментариев выяснилось:есть doas - замена sudo в OpenBSD (с 5.8 ещё), в Arche это пакет opendoas, после установки создать /etc/doas.conf след. содерж.: permit persist keepenv :ваша группа
Всем спасибо!
вот не надо так делать.Это действительно потенциальная дыра.
Запуская что-то от рута - потрудись уж выставить окружение конкретно для того что запускаешь, и только то что на самом деле необходимо, а не тащить из своего шелла весь хлам, даже не взглянув, что именно тащишь.
Согласен, задача была чтоб doas выводила на языке окружения, если "не тащить из своего шелла весь хлам", то /etc/doas.conf след.содержания:permit persist :группа
permit setenv {LANG=ru_RU.UTF-8} :группаСпасибо за комментарий!
Лучше так:permit persist :группа
permit setenv { LANG=ru_RU.UTF-8 } :группане поставил {пробел
ок, спасибо, работает
сделал себе так
permit persist :wheel
permit setenv { LANG=ru_RU.UTF-8 } :wheel
Если группа та же, можно и в одну строкуpermit persist setenv { LANG=ru_RU.UTF-8 } :группа
Или указать конкретного пользователя через пробел без двоеточия:permit persist setenv { LANG=ru_RU.UTF-8 } пользователь
в атрибутах doas.conf лучше убрать чтение для прочих, чтобы было-rw-r----- (640)
если запускать doas mc -ну многим надо- добавьте через пробел переменную XAUTHORITYpermit persist setenv { LANG=ru_RU.UTF-8 XAUTHORITY=/home/юзер/.Xauthority } юзер
иначе, doas mc запустится, но будет сообщение Invalid MIT-MAGIC-COOKIE-1 key
> Перешёл на opendoas и не жалею.Если он имеет какое-то отношение к OpenBSD-шному doas, возможно, пожалеть ещё придётся.
Как у них дела с безопасностью — недавние новости наглядно показали.
Очевидно Вы хотели сказать FreeBSD "недавние новости наглядно показали" У OpenBSD только 2 пробоины, чем они гордятся.
sudo update sudo
sudo apt upgrade sudo
> sudo_logsrvdКакой-то адский велосипед. Зачем каждой утилите иметь свой собственный демон? Кому нужны логи, тот использует сборщики логов. Нафига тут отдельный процесс, в котором последующие 10 будут ошибки то и дело находить?
Вот видишь - ребята обеспечили себя работой на десять лет. А тебя завтра сократят - кризис, зачем ты вообще нужен если и так в общем все неплохо работа...ой, в суду опять рутовая дыра, срочно возвращайся на рабочее место - надо апгрейдить все конь-тейнеры, мы хз как.Нет, что-что, а на недостаток работы можно не жаловаться - их трудами.
>> sudo_logsrvd
> Какой-то адский велосипед. Зачем каждой утилите иметь свой собственный демон? Кому нужны
> логи, тот использует сборщики логов. Нафига тут отдельный процесс, в котором
> последующие 10 будут ошибки то и дело находить?man sudoreplay
ты видишь лишь рябь на поверхности. Загляни глубже.
Скоро этот фатальный недостаток будет найден Поттерингом, после чего будет запилено systemd-sudod. Такое же, но другое.
> ты видишь лишь рябь на поверхности. Загляни глубже.
> Скоро этот фатальный недостаток будет найден Поттерингом, после чего будет запилено systemd-sudod.
> Такое же, но другое.как будто кого-то при этом еще жалко?!
В *bsd, к счастью, не разломанная Встолманом версия su, которой (безпарольно, естественно) пользоваться сравнительно безопасно.
В чём суть претензий к su?
> В чём суть претензий к su?Встолмана в детстве гнобили админы в универе - не позволяли загадить все ресурсы shared системы своим ценным барахлом (а возможно и просто п-дили в коридоре). За это он им сделал кастрированную su, которая и используется повсеместно.
И насмерть стоял чтоб ее ненароком не починили обратно (попытки были).В *bsd нет ничего неправильного в root::0:0::0:0:Charlie &:/root:/bin/csh
(нет, это не означает что любой васян тут же станет рутом - в отличие от страдальцев с gnuтой подделкой)Неудобно, когда админов больше одного, но жить можно.
> ты видишь лишь рябь на поверхности. Загляни глубже.
> Скоро этот фатальный недостаток будет найден Поттерингом, после чего будет запилено systemd-sudod.
> Такое же, но другое.С разморозкой!
https://lists.freedesktop.org/archives/systemd-devel/2018-Ju...
> this option is a big step towards a more secure system, doing so is likely to break numerous pre-existing UNIX tools,
> in particular su and sudo.https://github.com/systemd/systemd/issues/825
> Long story short: "su" is really a broken concept. It will given you kind of a shell, and it's fine to use it for that, but it's not a full login, and shouldn't be mistaken for one. (Великий Рыжий)
Что за помешательство с питон и жсон?. Зачем этой программе вести логи других программ?Адский комбайн.
> Что за помешательство с питон и жсон?. Зачем этой программе вести логи
> других программ?
> Адский комбайн.оно с 2010го года примерно такое - когда Тодд окончательно кукухой двинулся. Боится отстать от прогресса - отпихнут же ж молодые-прыткие умельцы в sudo su.
А до этого было насквозь дырявым.
>> Что за помешательство с питон и жсон?. Зачем этой программе вести логи
>> других программ?
>> Адский комбайн.
> оно с 2010го года примерно такое - когда Тодд окончательно кукухой двинулся.
> Боится отстать от прогресса - отпихнут же ж молодые-прыткие умельцы в
> sudo su.
> А до этого было насквозь дырявым.У меня такое чуйство, что разработки боится, что его программу схавает система. Вот и приделывает новые омнофичи в надежде, что этого не произойдёт. А это произойдёт, такова идея системы. Лет 5-7 ещё.
Запомните этот твит.
>[оверквотинг удален]
>>> других программ?
>>> Адский комбайн.
>> оно с 2010го года примерно такое - когда Тодд окончательно кукухой двинулся.
>> Боится отстать от прогресса - отпихнут же ж молодые-прыткие умельцы в
>> sudo su.
>> А до этого было насквозь дырявым.
> У меня такое чуйство, что разработки боится, что его программу схавает система.
> Вот и приделывает новые омнофичи в надежде, что этого не произойдёт.
> А это произойдёт, такова идея системы. Лет 5-7 ещё.
> Запомните этот твит.Системда, это гуглокалвиатура пытается "думать$ " за юзера.
Всё правильно она вам подсказывает. Системда — это не новая идея, в мире *BSD понятие «базовой системы» существует уже сто лет в обед.
> Всё правильно она вам подсказывает. Системда — это не новая идея, в
> мире *BSD понятие «базовой системы» существует уже сто лет в обед.Где системда и где базовая сиатема.? У тебя уже уплротость в 0.5 поцеринга
>> Всё правильно она вам подсказывает. Системда — это не новая идея, в
>> мире *BSD понятие «базовой системы» существует уже сто лет в обед.
> Где системда и где базовая сиатема.? У тебя уже уплротость в 0.5
> поцерингаэто не упртость, это [не]знание предмета.
Обана. В sudo телеметрию завезли?
нет, но ты можешь написать плагин.(ненужно sudoreplay, еще один потенциальный вектор атаки - с нами с того самого 2010, когда Тодд поехал окончательно, начав накручивать фичи поверх улучшизмов поверх расширений того, что должно быть, наоборот, максимально компактным и жестко ограниченным - тем более с уже тогда существовавшей печальной историей бесконечных уязвимостей и проблем)
overengineering какой-то.
Такую базовую и часто используемую утилиту наоборот надо оптимизировать и минимизировать бы...Ай да портировать runas :)
не вэлетит - runas is a command in the Microsoft Windows и License Proprietary
> Ай да портировать runas :)дык, su у нас и так (пока) есть. А doass с ее нескучными скобочками - да нунафиг.
К тому же она самими авторами давно портирована. Чем им вполне разумный (в отличие от реализации) синтаксис sudoers не понравился - видимо, "лишь бы не так же".