forum.opennet.ru

"В sudo устранена уязвимость, позволяющая переписать файл на ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "В sudo устранена уязвимость, позволяющая переписать файл на ..."	+/–
Сообщение от Аноним (-), 01-Июн-17, 22:43
> хватило бы env_keep+=DISPLAY - это-то совершенно безобидно. Во-первых, не безобидно. Запускать в иксах что попало от рута — дело рискованное, и это давно уже запретили везде, где только можно. Тот же pkexec такое разрешает только для избранных программ, заранее прописанных в конфиге. Во-вторых, править sudoers ради однократного запуска программы, да ещё и не на моей системе, — нет уж, увольте. К тому же такой возможности просто нет. Есть возможность запустить sudo -E, это работает везде, где есть sudo. Альт? Ну что ж, фиг с ним, с альтом, по крайней мере пока на нём юзеров не заведётся.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В sudo устранена уязвимость, позволяющая переписать файл на ..., opennews, 01-Июн-17, 00:17 [смотреть все]

Чем su не угодил не понимаю людей ставящих на пк левый бесполезный софт , Аноним, 01-Июн-17, 00:19 (3) //
- Впрочем как и sekinux , Аноним, 01-Июн-17, 00:21 (5)
- Зачем логины разные, когда есть root , grsec, 01-Июн-17, 00:34 (7) //
  - Так и работаем ls -l which init lrwxrwxrwx 1 root root 9 Jan 1 02 31 sbi, Аноним, 01-Июн-17, 01:35 (12) //
    - А ходил бы в shell или ещо лучше в ash ещо б быстрее стала , VINRARUS, 01-Июн-17, 05:10 (16)
    - Если хотите сразу в bash, то просто в параметрах grub добавьте init bin bash , Аноним, 01-Июн-17, 07:27 (21)
      - ну да, верно если забыл пароль от LUKS -- то всегда поможет старый добрый dd i, X3asd, 01-Июн-17, 08:46 (28)
    - systemd приd порядок навеd , Аноним, 01-Июн-17, 13:48 (62)
      - su там уже исправили , так что да, ждём объявления от Рыжего, что судо в таком , Аноним, 01-Июн-17, 21:17 (116)
      - sudod coming soon QRcode httpd , Аноним, 01-Июн-17, 21:29 (117)
        
        Там и так удод на удоде , Crazy Alex, 01-Июн-17, 22:30 (119)
  - Т е сидеть от рута - плохо, а сидеть от пользователя имеющего права рута - гуд , Др Анон, 06-Июн-17, 14:18 (129) //
    - pkexec же есть при желании , Аноним, 07-Июн-17, 02:32 (130)
- Не понимаю людей, сравнивающих системы контроля доступа и обычную программу для , Аноним, 01-Июн-17, 00:43 (9) //
  - Улучшая Ваше понимание людей, сравнивающих системы контроля доступа и обычную п, Аноним, 01-Июн-17, 12:18 (48) //
    - У меня претензий нет вообще к sudo, просто выше писали про сравнение su sudo во, Аноним, 01-Июн-17, 16:12 (85)
      - Но у каждой медали - две стороны И именно по этому в топике - пролом через sudo, _, 01-Июн-17, 16:57 (93)
        
        Вы имеете в виду то, что чем проще велосипед, тем он надежнее и более предсказуе, vi, 01-Июн-17, 20:22 (113)
        
        Рыжий же уже вроде как высказал своё фи насчёт su и забацал замену , Аноним, 01-Июн-17, 21:13 (115)
        
        Да и пусть с ним, и дай Бог ему здоровья Он стахановец по коду Да и встряску б, vi, 01-Июн-17, 23:25 (122)
- Может это из-за ubuntu Там sudo популярен, во всех мануалах он используется для, turbo2001, 01-Июн-17, 03:23 (14) //
  - Думаю, виноват латинский алфавит, так как во всех мануалах sudo набирают буквами, Аноним, 01-Июн-17, 03:59 (15) //
    - _руки_ же - , _, 01-Июн-17, 16:58 (94)
- Для su нужно знать пароль рута , Аноним, 01-Июн-17, 07:02 (18) //
  - Забавно, что в Suse для sudo тоже нужно знать пароль рута , анон, 01-Июн-17, 09:59 (30) //
    - Если настроить его по-человечески, то не нужно , Аноним, 01-Июн-17, 10:08 (32)
    - У вас какой-то неправильеный Suse Наверное он делает неправильный sudo , Аноним, 01-Июн-17, 10:19 (35)
    - Default targetpw - во всех линуксах нынче, кроме redhat-derivatives Потому что, пох, 01-Июн-17, 12:41 (50)
      - Где-то и головой думали, что в пакет класть without-password, бишь по ключу , Michael Shigorin, 01-Июн-17, 13:07 (56)
        
        Зачем потёр коммент со ссылкой на unixforum А если конкретно, то опрос о su и s, Аноним, 01-Июн-17, 14:19 (66)
        
        Не видел Возможно, нарвались на автомодератора из-за ссылки -- особенно если п, Michael Shigorin, 01-Июн-17, 15:26 (73)
        
        Lessons are learnt и подул на воду Ну а с другой стороны, лучше пере , _, 01-Июн-17, 17:02 (95)
        
        человек, настроивший ключи, вполне сможет и сам включить Я предпочитаю персональ, пох, 01-Июн-17, 14:58 (69)
        
        Ну так uid 0 может быть у более чем одного персонализованного логина , Michael Shigorin, 01-Июн-17, 15:48 (79)
        Сразу видно, кто не дочитал документацию OpenSSH до конца Штатным способом можн, Аноним, 01-Июн-17, 16:30 (87)
        
        а, очередные пыонэры с неспокойными ручонками нахреначили очередное ненужно Нет,, пох, 01-Июн-17, 17:59 (99)
      - В Дебьяне нет по умолчанию , Аноним, 01-Июн-17, 14:10 (65)
        
        вау, глянул пакет - похоже они выбросили в какой-то момент все свои самодельные , пох, 01-Июн-17, 15:23 (71)
        
        Давайте как-то иначе обобщать grep root etc sudoers rpm -qf etc sudoerssud, Michael Shigorin, 01-Июн-17, 15:25 (72)
        5 минут на настройку единожды потратить не судьба Как маленькие, честное слово , Аноним, 01-Июн-17, 15:33 (74)
        
        мы используем дистрибутивы, а не наколенный аналог lfs, ровно потому, что они вы, пох, 01-Июн-17, 15:59 (83)
        
        В REHL редко что-то меняют Там пакеты старее, чем в Debian Если ты про всяк, Аноним, 01-Июн-17, 17:26 (96)
        
        ты не в теме Пакеты в центосе ровно те же самые что в rhel, с опозданием на две, пох, 01-Июн-17, 18:13 (101)
        
        Хз, в центе пакеты посвежее бывают Но может я действительно не знаю, потому что, Аноним, 01-Июн-17, 18:26 (103)
        
        Скачал из пакета свежий конфинг За почти 6 лет ничего не изменилось Defaults en, Аноним, 01-Июн-17, 18:28 (104)
        
        Да-да, вот он, ваш прекрасный редхатовский sudoers https bugzilla redhat com , Аноним, 01-Июн-17, 15:44 (78)
        
        да, ужасная страшная катастрофа - у парашутистов-торопыг ломается nopasswdэто,кс, пох, 01-Июн-17, 16:09 (84)
        
        Это не только NOPASSWD ломает, это много чего ломает Если хочешь использовать s, Аноним, 01-Июн-17, 16:45 (89)
        
        совсем не хочу Я и говорю - не люди это были, а роботы туповатые , пох, 01-Июн-17, 18:17 (102)
        
        Да, роботы Нет, не туповатые Просто роботы, которые не хотят эмулировать польз, Аноним, 01-Июн-17, 19:34 (112)
      - Чего-о Вообще-то только в suse, которая к редхату никакого отношения не имеет З, Аноним, 01-Июн-17, 15:41 (77)
- Дейсвительно Давайте уж как в венде Одной учётки администратора хватит всем Т, Аноним, 01-Июн-17, 07:21 (19) //
  - Похвально, конечно, что ты читаешь - мало кто читает в наше время Однако мне чи, Аноним, 01-Июн-17, 11:08 (40) //
    - Надо Очень много надо И, главное, не ставь Gentoo на любую mission critial сис, F, 01-Июн-17, 11:36 (45)
      - да ладно, пусть себе ставит Я когда вижу генту в таком месте - сразу расслабляю, пох, 01-Июн-17, 12:58 (55)
    - А у меня Gentoo и sudo По куче причин - от просто хорошей привычки до нескольки, Crazy Alex, 01-Июн-17, 11:54 (46)
    - Книжки умные ты тоже не читаешь Понятно Читать ему не надо В Генте у тебя может, Аноним, 01-Июн-17, 13:20 (58)
  - Следующий уровень http www opennet ru openforum vsluhforumID3 73378 html 19, Michael Shigorin, 01-Июн-17, 13:09 (57) //
    - Захватывающе Каждый раз Испугаться и бежать прочь, вспоминая привычные строч, Andrey Mitrofanov, 01-Июн-17, 15:12 (70)
- Тебя заминусила школота, у которой первый линукс уже использовал sudo, и не заст, Аноним, 01-Июн-17, 11:03 (39) //
  - sudo есть почти во всех крупных дистрах Первое что я сделал - как раз настроил , Аноним, 01-Июн-17, 13:40 (61)
  - Это как это Его что, из POSIX выкинули Или в каких-то дистрибутивах настолько , Аноним, 01-Июн-17, 15:53 (80)
- на десктопе без sudo никуда на сервер при помощи sudo можно делегировать пользо, user455, 01-Июн-17, 13:29 (60) //
  - Есть Иди учи матчасть man sudoers, anonymous, 01-Июн-17, 14:40 (67) //
    - дружище, я думаю матчасть я знаю лучше тебя по крайней мере не хуже точно sudo, user455, 04-Июн-17, 20:43 (126)
facepalm Ещё и strtok ом поди , Аноним, 01-Июн-17, 01:11 (11) //
- Вот не надо ехидничать, не посмотрев исходники https github com millert sudo c, Онононононим, 01-Июн-17, 06:48 (17) //
  - Field 7 is the tty dev 0 if no tty Since the process, Аноним, 01-Июн-17, 07:31 (23)
- Нет strtok_s вполне безопасно разбирать , Аноним, 01-Июн-17, 07:25 (20) //
  - Нет такой функции Есть strrok_r POSIX Она потокобезопасна и реентабельна , Аноним, 01-Июн-17, 07:29 (22) //
    - s-суффиксы это то, что Непросохт продвигает в стандарт, не , Какаянахренразница, 01-Июн-17, 07:39 (24)
      - Да, действительно спутал Товарищ выше прав , Аноним, 01-Июн-17, 08:07 (25)
    - реентерабельная, Аноним, 01-Июн-17, 13:51 (63)
а какой вообще правильный способ получения этих данных из ядра , Нанобот, 01-Июн-17, 09:17 (29) //
- для большинства - никакого В смысле, не нужно это никому Для такой специфичной ш, пох, 01-Июн-17, 09:59 (31) //
  - да хрен с этим большинствомкак мне, в случае необходимости, программно узнать pp, Нанобот, 01-Июн-17, 11:13 (41) //
    - а причем тут sudo и этот баг с pid rss все по прежнему, как двадцать лет назад -, пох, 01-Июн-17, 12:26 (49)
      - Я пытался поставить себя на место разработчиков sudo и понять, что можно было бы, Нанобот, 01-Июн-17, 18:31 (105)
        
        так им не ppid надо для sudo, которая существует на свете много дольше, чем лину, пох, 01-Июн-17, 19:06 (106)
  - Как самый минимум - с sudo не надо на каждый чих вводить пароль, при этом можро , Crazy Alex, 01-Июн-17, 12:08 (47) //
    - Ну на самом деле я немного не согласен Я после 10 ввода ввожу уже на автомате , Аноним, 01-Июн-17, 14:57 (68)
      - на сервере - есть такое дело, да Но речь изначально шла об убунтах локалхостах,, Crazy Alex, 01-Июн-17, 16:54 (92)
        
        Будешь удивлён - на локалхосте Просто автоматом уже набираю для apt, например, Аноним, 01-Июн-17, 17:39 (97)
        следующей введённой командой должна быть sudo bash сколько уже можно вводить эт, Ordu, 03-Июн-17, 12:53 (124)
  - gt оверквотинг удален Аналоги sudo есть С тем же функционалом и без неведомо, Аноним, 01-Июн-17, 14:04 (64) //
    - ну собери себе sudo без неведомой херни, я вот понятия не имею, как выглядит и г, пох, 01-Июн-17, 15:39 (75)
    - http git altlinux org people ldv packages p sudo git, Michael Shigorin, 01-Июн-17, 15:41 (76)
      - Этот ваш альтовский sudo давным-давно поломан Описанные в мане опции не работаю, Аноним, 01-Июн-17, 15:55 (81)
        
        А именно Ну не набрасывать же тень на плетень, как это делаете Вы , Michael Shigorin, 01-Июн-17, 15:59 (82)
        
        -E например Остальное не проверял, потому что не нужно было , Аноним, 01-Июн-17, 16:51 (90)
        
        P S И не надо рассказывать, что -E 8212 это дыра Во-первых, дырой оно было , Аноним, 01-Июн-17, 16:53 (91)
        
        ваще-то - дыра Проблема что опция доступна пользователю, а оверрайд, блокирующи, пох, 01-Июн-17, 19:12 (107)
        
        Вот и именно, что если дать дураку sudo 8212 он найдёт способ отстрелить себе, Аноним, 01-Июн-17, 19:31 (111)
        
        А теперь покажите пальцем место в мане из этого пакета, где эта опция описана , Michael Shigorin, 01-Июн-17, 17:46 (98)
        
        Когда ставил 7 версию 8212 была Что, убрали Ну и ладно, всё равно живых пол, Аноним, 01-Июн-17, 18:03 (100)
        
        ну-ка, ну-ка, с этого места поподробнее - это у кого у нас такие скрипты Не an, пох, 01-Июн-17, 19:13 (108)
        
        Нет, не ansible Если интересует предмет моей боли 8212 это скрипт запуска GU, Аноним, 01-Июн-17, 19:28 (110)
        
        хха, если бы так - хватило бы env_keep DISPLAY - это-то совершенно безобидно За, пох, 01-Июн-17, 21:03 (114)
        Во-первых, не безобидно Запускать в иксах что попало от рута 8212 дело риско , Аноним, 01-Июн-17, 22:43 (120)
        ну так не запускай что попало и от рута - полагаем, вы уже прослушали лекцию си, пох, 03-Июн-17, 15:55 (125)
        А какой красавец писал GUI-приложение с рутовыми привилегиями вместо привилегиро, Michael Shigorin, 05-Июн-17, 17:41 (127)
        а смысл Если запускать его в trusted окружении читай, из под собственного юзер, пох, 05-Июн-17, 23:22 (128)
      - sudoedit зачем-то починен, а не выброшен нафиг - , пох, 01-Июн-17, 16:14 (86)
    - Опенята клепали же свой аналог doas, была новость Не тыкал, не знаю даже, порти, Аноним, 01-Июн-17, 21:31 (118)
      - вам мало roaming в sshd и насквозь гнилой libressl, чтобы понять, что это будет , пох, 01-Июн-17, 22:50 (121)
Как можно запретить выполнение команды конкретному пользователю, например ls не , Аноним, 01-Июн-17, 10:31 (37) //
- rbash или подобное, может быть , Andrey Mitrofanov, 01-Июн-17, 10:35 (38)
- selinux, однако точнее rbac, Аноним, 01-Июн-17, 12:50 (52)
Очень красивый метод описан Не какое-то там осточертевшие переполнение, а краси, mumu, 01-Июн-17, 12:51 (54)
Зачем его используют на локалхосте Есть же su , iZEN, 01-Июн-17, 13:24 (59)
А чего все так возбудились-то Если я правильно понял, то нужен физический досту, Гость, 01-Июн-17, 19:19 (109)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру