Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-07-24 19:44:25

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Uprawnienia Sudo

Domyślnie użytkownik sudo posiada uprawnienia bliskie rootowi. Jeśli chodzi o mnie, domślnie pracuję na koncie sudo gdyż jest to niezbędne do obsługi zewnętrznych partycji.
Jak prawidłowo zminimalizować uprawnienia SUDO?

Offline

 

#2  2014-07-24 20:04:19

  ilin - Palacz

ilin
Palacz
Skąd: PRLu
Zarejestrowany: 2006-05-03

Re: Uprawnienia Sudo


Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Polski portal Debiana

Offline

 

#3  2014-07-24 20:06:15

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Uprawnienia Sudo

Poza tym nie ma czegoś takiego jak użytkownik sudo, ani konto sudo.

Widocznie nie wiesz o czym w ogóle piszesz.

Offline

 

#4  2014-07-24 22:06:31

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Uprawnienia Sudo

Ale za to jest grupa sudo :D

Offline

 

#5  2014-07-25 00:27:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Uprawnienia Sudo

Zminimalizować uprawnienia sudo?
Kompletna bzdura, to program, która ma umożliwiać administrowanie systemem, z tego powodu musi mieć maksymalne uprawnienia.
Jak nie pasuje, możesz go odinstalować, albo wywalić siebie z grupy sudo, wheel, admin,  czy jak tam masz skonfigurowane, i nie będziesz miał żadnego prawa do użycia sudo.

Jak koniecznie chcesz dozbroić sudo, to zainteresuj się ustawieniami PAM dla sudo, tam można używać np dodatkowego uwierzytelnienia przez pam_usb, pam_fingerprint, pam_bluetooth i chyba z 50 innych możliwości.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2014-07-27 15:27:43

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Uprawnienia Sudo

Do administrowania systemem jest ROOT a nie sudo. Domyślny użytkownik powinien mieć zawsze minimalne możliwe uprawnienia, niezbędne jedynie do sprawnego użytkowania systemu co nie = administrowaniu. Dotyczy to z resztą nie tylko linuxów ale też windowsów.
W moim przypadku to sprawne użytkowanie to obsługa wolumenów truecrypta oraz aplikacji yumi. Tam program pyta zawsze o haslo sudo, nawet jesli nie ma w tej grupie żadnego usera. Jesli otworzysz tc w trybie root, to kazdy plik przeniesiony do systemu jako root ma prawa własności root i z tego własnie powodu potrzebuje sudo. Nie chce by użytkownik sudo mógł wprowadzać jakiekolwiek zmiany administracyjne.

Offline

 

#7  2014-07-27 15:33:56

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Uprawnienia Sudo

man sudoers zaliczone czy dalej teoretyzujesz?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#8  2014-07-28 16:57:35

  ramsi1986 - Użytkownik

ramsi1986
Użytkownik
Skąd: Oldschool Admin
Zarejestrowany: 2011-04-17

Re: Uprawnienia Sudo

alfa444 napisał(-a):

Do administrowania systemem jest ROOT a nie sudo. Domyślny użytkownik powinien mieć zawsze minimalne możliwe uprawnienia, niezbędne jedynie do sprawnego użytkowania systemu co nie = administrowaniu. Dotyczy to z resztą nie tylko linuxów ale też windowsów.
W moim przypadku to sprawne użytkowanie to obsługa wolumenów truecrypta oraz aplikacji yumi. Tam program pyta zawsze o haslo sudo, nawet jesli nie ma w tej grupie żadnego usera. Jesli otworzysz tc w trybie root, to kazdy plik przeniesiony do systemu jako root ma prawa własności root i z tego własnie powodu potrzebuje sudo. Nie chce by użytkownik sudo mógł wprowadzać jakiekolwiek zmiany administracyjne.

Kolego,
SUDO to nie użytkownik, to aplikacja, taka mała, ułatwiająca życie adminom aplikacja. SUDO = Super User DO. Dzięki niej możesz wykonywać polecenia w systemie jako inny użytkownik, nawet jako root. Jeśli chcesz sobie ograniczyć dostęp do poleceń z prawami roota, to w pliku /etc/sudoers otwieranym przez polecenie visudo (jako root) konfigurujesz listę poleceń, którą Twój user będzie mógł uruchomić z prawami roota, domyślnie własnemu userowi daje się takie oto prawa:

Kod:

{user} ALL=(ALL:ALL) ALL

co daje możliwość uruchomienia dowolnej komendy jako root po wpisaniu hasła. Ja osobiście używam czegoś takiego:

Kod:

ramsi ALL=(ALL:ALL) NOPASSWD:ALL

co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.
A zatem to co chcesz osiągnąć, to w swoim pliku /etc/sudoers dodać odpowiednie wpisy mówiące, że Twój user nie będzie mógł uruchamiać wszystkiego jak popadnie.

NIE MA USERA SUDO !!!!!!!!!


Laptop: Lenovo R400 / Intel Core2Duo P8400 2,26 Ghz / 4GB RAM / 160GB SATA3 / Debian SID
Blacha: Intel Core i7-3820 / 32GB RAM / 128GB SSD / 500GB SATA3 7200RPM / Win 7

NIE OSZUKUJMY SIĘ... DEBIAN MA TYLKO JEDNĄ WERSJĘ ==> UNSTABLE (SID)

Offline

 

#9  2014-07-28 17:23:42

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Uprawnienia Sudo

ramsi1986 napisał(-a):

Ja osobiście używam czegoś takiego:

Kod:

ramsi ALL=(ALL:ALL) NOPASSWD:ALL

co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.

IMHO kiepski pomysł.

Offline

 

#10  2014-07-28 20:18:40

  ramsi1986 - Użytkownik

ramsi1986
Użytkownik
Skąd: Oldschool Admin
Zarejestrowany: 2011-04-17

Re: Uprawnienia Sudo

yossarian napisał(-a):

ramsi1986 napisał(-a):

Ja osobiście używam czegoś takiego:

Kod:

ramsi ALL=(ALL:ALL) NOPASSWD:ALL

co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.

IMHO kiepski pomysł.

Dlaczego? Pamiętaj, że sudo używasz dopiero jak już jesteś zalogowany do systemu, a nie z zewnątrz, więc autoryzację przechodzisz w momencie logowania do systemu. Oczywiście jeśli ktoś jest przeczulowny na punkcie security, to na pewno powyższy wpis mu się nie spodoba :P ale zakładając, że do mojego prywatnego lapka wjazdu z zewnątrz nie ma, to i ja nie mam się czym przejmować :)


Laptop: Lenovo R400 / Intel Core2Duo P8400 2,26 Ghz / 4GB RAM / 160GB SATA3 / Debian SID
Blacha: Intel Core i7-3820 / 32GB RAM / 128GB SSD / 500GB SATA3 7200RPM / Win 7

NIE OSZUKUJMY SIĘ... DEBIAN MA TYLKO JEDNĄ WERSJĘ ==> UNSTABLE (SID)

Offline

 

#11  2014-07-28 20:38:59

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Uprawnienia Sudo

ramsi1986 napisał(-a):

ale zakładając, że do mojego prywatnego lapka wjazdu z zewnątrz nie ma, to i ja nie mam się czym przejmować :)

Zależy co masz na swoim kompie. Jakieś Skype, dropboksy, gierki na wine, flashe itd.

Offline

 

#12  2014-07-28 20:54:37

  ramsi1986 - Użytkownik

ramsi1986
Użytkownik
Skąd: Oldschool Admin
Zarejestrowany: 2011-04-17

Re: Uprawnienia Sudo

yossarian napisał(-a):

Zależy co masz na swoim kompie. Jakieś Skype, dropboksy, gierki na wine, flashe itd.

Najlepszym zabezpieczeniem komputera jest świadomy użytkownik :)


Laptop: Lenovo R400 / Intel Core2Duo P8400 2,26 Ghz / 4GB RAM / 160GB SATA3 / Debian SID
Blacha: Intel Core i7-3820 / 32GB RAM / 128GB SSD / 500GB SATA3 7200RPM / Win 7

NIE OSZUKUJMY SIĘ... DEBIAN MA TYLKO JEDNĄ WERSJĘ ==> UNSTABLE (SID)

Offline

 

#13  2014-07-29 08:11:52

  Red_Fedora - Użytkownik

Red_Fedora
Użytkownik
Skąd: Piękna kraina nad Sierpienic
Zarejestrowany: 2013-06-03

Re: Uprawnienia Sudo

Tylko że pozostawienie takiego okna nie jest zbyt mądrym pomysłem. Takie coś zdecydowanie skróci ci czas na spenetrowanie systemu. Z resztą chwalenie się takim czymś może przyciągnąć gimbohakera.


http://static1.wikia.nocookie.net/__cb20130812121419/nonsensopedia/images/2/2b/Pinkie_pie.gif
Po co myśleć racjonalnie? Najważniejsze jest to by było zabawnie!

Offline

 

#14  2014-07-29 11:28:45

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Uprawnienia Sudo

ramsi1986 - może i ty jako człowiek przechodzisz ale wszystkie aplikację mają ten proces gdzieś. xD Taki się uruchomi i wykona "sudo coś tam" nie ma hasła i może sobie robić co mu się podoba, to gorzej niż na windows. :] Jeśli już chcesz sobie administrować systemem przez sudo to sobie wpisz "sudo su" i podaj hasło -- będziesz zalogowany do momentu wylogowania. Choć ja tam i tak wolę normalne "su -", a sudo używam tylko do okrajania uprawnień.

Offline

 

#15  2014-07-29 15:37:58

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Uprawnienia Sudo

Jak ktoś nie lubi klepać hasła, to najlepiej sudo zapiąć do pam-usb.
Żaden bot ani haker przez internet mojego  pendraka do portu nie wsadzi. xD

Proste i skuteczne.
http://forums.debian.net/viewtopic.php?f=16&t=110813

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-07-29 15:38:19)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2014-07-29 16:15:49

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Uprawnienia Sudo

Fajny bajer, ja sobie na to popatrzę później. xD

Offline

 

#17  2014-08-30 09:05:25

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Uprawnienia Sudo

A czy da się ustawić żeby truecrypt albo yumi przy montowaniu partycji nie wołał hasła dla sudo?

Offline

 

#18  2014-08-30 09:37:18

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Uprawnienia Sudo

Dopisz sobie to do regułek sudo:

Kod:

%truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt

A potem się dodaj do tej grupy.

Offline

 

#19  2014-09-17 14:09:41

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Uprawnienia Sudo

Próbowałem tak i pytał o hasło mimo to.
Czy zamiast tego, nie mogę dodać:

Kod:

%sudo ALL=(root) NOPASSWD:/usr/bin/truecrypt

To działa. Czy jest to błąd/zagrożenie dla bezpieczeństwa?

Offline

 

#20  2014-09-17 14:35:15

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Uprawnienia Sudo

ALL w drugiej kolumnie oznacza wszystkie hosty na świecie, nie wiem, czy dokładnie o to chodziło. ;)
Zamiast ALL daj tam lepiej taką nazwę hosta, jaką masz ustawioną w systemie (wyświetlaną komendą hostname).


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#21  2014-09-17 15:24:02

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Uprawnienia Sudo

Większość ludzi w domu i tak ma jednego kompa za natem i z fw broniącym cnoty pc, także co za różnica? xD Poza tym, te regułkę skopiowałem skądś bo już nie używam tc. Ja sobie dorobiłem ten alias co tam kiedyś gdzieś wrzuciłeś, by rozróżniać które ALL jest od czego. xD I teraz mam linijki wyglądające tak:

Kod:

...
Host_Alias HOSTY = localhost,morfikownia
...
morfik     HOSTY = (root) NOPASSWD: /usr/sbin/pbuilder
...

Offline

 

#22  2014-10-11 23:38:17

  alfa444 - Użytkownik

alfa444
Użytkownik
Zarejestrowany: 2014-03-25

Re: Uprawnienia Sudo

Jak ustawić by zwykły użytkownik (nienależący do grupy sudo) mógł uruchomić program normalnie wymagający uprawnień sudo?

Ostatnio edytowany przez alfa444 (2014-10-18 21:46:41)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)