Sudo, Возник вопрос Опции

[GreenKaktus]

Ээээ... я извиняюсь дико.
Вот себе поставил KUbuntu там все действия администратора делаются только через команду sudo...
Вот у меня возник вопрос не является ли эта программа дыркой в системе безопасности?????
Почему в убунте считается безопаснее убрать суперпользователя???????

Я перестал вообще понимать что либо...

[redfox]

Можно добавить пользователя 'root' если не хочешь все время вводить команду sudo.
А вообще чтобы каждый пользователь в системе не творил все что захочет надо настроить привелегии sudo.
По умолчанию каждому разрешено все, насколько я знаю..

[GreenKaktus]

Можно добавить пользователя 'root' если не хочешь все время вводить команду sudo.
А вообще чтобы каждый пользователь в системе не творил все что захочет надо настроить привелегии sudo.
По умолчанию каждому разрешено все, насколько я знаю..

ммм... ясно еще один глупый вопрос Если я сейчас зайду в настройки sudo
и запрещу себе все команды что будет?

[redfox]

ммм... ясно еще один глупый вопрос Если я сейчас зайду в настройки sudo
и запрещу себе все команды что будет?

Попробуй, потом расскажешь)

Ты не сможешь выполнять административные действия, пока не поменяешь настройки sudo.

[x0r]

Во первых, man sudo. Во вторых, sudo нужен для того чтобы ты мог выполнять определенные административные действия, доступные только руту. Конфиг лежит в /etc/sudoers. Ты можешь запретить только команды, которые будешь делать через sudo, оно никак не влияет на остальные пользовательские, такие как например ping и тд.

По умолчанию каждому разрешено все, насколько я знаю..

Как раз таки наоборот, в никсах по дефолту, все разрешено только руту.

[redfox]

Как раз таки наоборот, в никсах по дефолту, все разрешено только руту.

в убунте по умолчанию всем разрешено все

[adcm]

Но только через sudo.

[x0r]

Намек на то что убунта не никсы? Там просто рутовский акк по дефолту юзается и все. Не может такого быть, чтобы всем было разрешено все. Возможно ты имеешь ввиду, что через sudo любому юзеру разрешены ALL команды, в это я еще могу поверить.

[Lexxus]

в убунте по умолчанию всем разрешено все

Ничего там не разрешено, дальше папки home ты все равно не уйдешь.
А если хочешь выйти, то пожалуйста пароль давай... или пшол на фиг

Вот себе поставил KUbuntu там все действия администратора делаются только через команду sudo...

Установи консоль супер-пользователя... там sudo не надо вводить

(я лично пользуюсь или sudo bash или sudo su)

[GreenKaktus]

Намек на то что убунта не никсы? Там просто рутовский акк по дефолту юзается и все. Не может такого быть, чтобы всем было разрешено все. Возможно ты имеешь ввиду, что через sudo любому юзеру разрешены ALL команды, в это я еще могу поверить.

Да это я и имел ввиду собс-но

Вскрыть бубунту без файрвола и с такими настройками sudo легче чем венду

В общем ушел настраивать sudo

Установи консоль супер-пользователя... там sudo не надо вводить

(я лично пользуюсь или sudo bash или sudo su)

Мое личное мнение не должно у пользователя быть прав даже на установку программ...
В общем надо один раз все настроить и сидеть так.
И шобы никаких консолей с правами рута доступно не было :-)

Сообщение отредактировал GreenKaktus - 25.06.2008, 13:29

[Lexxus]

не должно у пользователя быть прав даже на установку программ...

А у тебя и нет никаких прав, установку может делать только root

[GreenKaktus]

А у тебя и нет никаких прав, установку может делать только root

sudo apt-get install mysql-server дальше пароль пользователя при чем тут root?

[x0r]

Попробуй сделай тоже самое только без sudo. И вообще, чтобы не было безсмысленных разговоров, выложика сюда свой sudoers

[Lexxus]

sudo apt-get install mysql-server дальше пароль пользователя при чем тут root?

в том то и вся соль, что только sudo
а sudo = root (или же действие от рута)

[GreenKaktus]

Попробуй сделай тоже самое только без sudo. И вообще, чтобы не было безсмысленных разговоров, выложика сюда свой sudoers

Дома буду в воскресение обязательно выложу.
В общем-то смысл темы и был в том чтобы спросить у людей разбирающихся как
ПРАВИЛЬНО настроить sudo чтобы работать было безопасно и удобно. Вот например x0r мне оч. интересно что написано там у тебя

[x0r]

Чтобы правильно настроить sudo, надо понять для чего оно нужно. А нужно оно для того, чтобы у простого юзера могла быть возможность выполнять рутовские команды, например, вырубить комп, смотировать флешку или сидюк. Без соответсвующих настроек в /etc/fstab, монтировать разделы может только рут. В настройке sudo нет ничего сложного и особенного, ты просто разрешаешь юзеру или группе юзеров выполнять определенные команды уровня рута не давая им рутовский пароль, т.е они его не знают и поэтому крепче спят.
У меня на ноуте, 2 учетки -- одна рутовская и одна рабочая. Рутовская была нужна всего пару раз на этапе настройки после установки и редактирования /etc/sudoers, чтобы дописать туда свой основной аккаунт и, так как это мой домашний ноут и никто пароля от моего акка не знает, разрешить себе все рутовские команды. Таким образом получается, что я не сижу под рутом (что считается дурным тоном по понятным причинам) имея юзеровский UID и GID, все процессы соответсвенно запущенные мной (не через sudo) будут тоже юзеровскими, но имею возможность полностью контролировать и настраивать систему через sudo без знания пароля рута (допустим что я его не знаю... забыл там или еще что-то).

Код

# User privilege specification
root    ALL=(ALL) ALL
x0r    ALL=(ALL)        NOPASSWD: ALL

Разрешаю себе с любого хоста выполнять все команды без запроса пароля NOPASSWD: ALL
Правило назначения -- что не разрешено, то запрещено.

Я не знаю какая у тебя ситуация, домашняя ли у тебя машина или на работе на ней десяток пользователей, поэтому главное -- не давай им делать sudo *sh =)

[redfox]

Ничего там не разрешено, дальше папки home ты все равно не уйдешь.
А если хочешь выйти, то пожалуйста пароль давай... или пшол на фиг
Установи консоль супер-пользователя... там sudo не надо вводить

(я лично пользуюсь или sudo bash или sudo su)

там кажется что-то типа этого прописано.
ALL ALL=(ALL) ALL
И при 'sudo command' используется пароль самого пользователя, а не рута. Записи Рута попросту нет в системе по умолчанию. Я не слежу за Убунтой, но так было в версии 7.06.
Так что такие вот дыры по умолчанию.

[Lexxus]

а при чем тут дыры?!
Ubuntu 7.06 - никогда не существовало.

[LыSыЙ]

Не наю, как у кого, а у меня (Ubuntu 7.10) так:

Код

# User privilege specification
root    ALL=(ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

Соответственно, кто в группе админов - тот и может судоить... А на моем ноуте такой юзер один - Я.

Так что никаких дыр безопасности по умолчанию там нет...

[adcm]

А все ли прочитали [более-менее] официальный документик по этому поводу?

https://help.ubuntu.com/community/RootSudo

Сообщение отредактировал adcm - 1.09.2008, 19:15