Forum Debian Users Gang

alfa444 · 2014-07-24 19:44:25

Domyślnie użytkownik sudo posiada uprawnienia bliskie rootowi. Jeśli chodzi o mnie, domślnie pracuję na koncie sudo gdyż jest to niezbędne do obsługi zewnętrznych partycji.
Jak prawidłowo zminimalizować uprawnienia SUDO?

ilin · 2014-07-24 20:04:19

http://dug.net.pl/tekst/63/przewodnik_po_sudo/h/sudo

yossarian · 2014-07-24 20:06:15

Poza tym nie ma czegoś takiego jak użytkownik sudo, ani konto sudo.

Widocznie nie wiesz o czym w ogóle piszesz.

Pavlo950 · 2014-07-24 22:06:31

Ale za to jest grupa sudo :D

Jacekalex · 2014-07-25 00:27:31

Zminimalizować uprawnienia sudo?
Kompletna bzdura, to program, która ma umożliwiać administrowanie systemem, z tego powodu musi mieć maksymalne uprawnienia.
Jak nie pasuje, możesz go odinstalować, albo wywalić siebie z grupy sudo, wheel, admin, czy jak tam masz skonfigurowane, i nie będziesz miał żadnego prawa do użycia sudo.

Jak koniecznie chcesz dozbroić sudo, to zainteresuj się ustawieniami PAM dla sudo, tam można używać np dodatkowego uwierzytelnienia przez pam_usb, pam_fingerprint, pam_bluetooth i chyba z 50 innych możliwości.

alfa444 · 2014-07-27 15:27:43

Do administrowania systemem jest ROOT a nie sudo. Domyślny użytkownik powinien mieć zawsze minimalne możliwe uprawnienia, niezbędne jedynie do sprawnego użytkowania systemu co nie = administrowaniu. Dotyczy to z resztą nie tylko linuxów ale też windowsów.
W moim przypadku to sprawne użytkowanie to obsługa wolumenów truecrypta oraz aplikacji yumi. Tam program pyta zawsze o haslo sudo, nawet jesli nie ma w tej grupie żadnego usera. Jesli otworzysz tc w trybie root, to kazdy plik przeniesiony do systemu jako root ma prawa własności root i z tego własnie powodu potrzebuje sudo. Nie chce by użytkownik sudo mógł wprowadzać jakiekolwiek zmiany administracyjne.

ethanak · 2014-07-27 15:33:56

man sudoers zaliczone czy dalej teoretyzujesz?

ramsi1986 · 2014-07-28 16:57:35

alfa444 napisał(-a):
Do administrowania systemem jest ROOT a nie sudo. Domyślny użytkownik powinien mieć zawsze minimalne możliwe uprawnienia, niezbędne jedynie do sprawnego użytkowania systemu co nie = administrowaniu. Dotyczy to z resztą nie tylko linuxów ale też windowsów.
W moim przypadku to sprawne użytkowanie to obsługa wolumenów truecrypta oraz aplikacji yumi. Tam program pyta zawsze o haslo sudo, nawet jesli nie ma w tej grupie żadnego usera. Jesli otworzysz tc w trybie root, to kazdy plik przeniesiony do systemu jako root ma prawa własności root i z tego własnie powodu potrzebuje sudo. Nie chce by użytkownik sudo mógł wprowadzać jakiekolwiek zmiany administracyjne.

Kolego,
SUDO to nie użytkownik, to aplikacja, taka mała, ułatwiająca życie adminom aplikacja. SUDO = Super User DO. Dzięki niej możesz wykonywać polecenia w systemie jako inny użytkownik, nawet jako root. Jeśli chcesz sobie ograniczyć dostęp do poleceń z prawami roota, to w pliku /etc/sudoers otwieranym przez polecenie visudo (jako root) konfigurujesz listę poleceń, którą Twój user będzie mógł uruchomić z prawami roota, domyślnie własnemu userowi daje się takie oto prawa:

Kod:

{user} ALL=(ALL:ALL) ALL

co daje możliwość uruchomienia dowolnej komendy jako root po wpisaniu hasła. Ja osobiście używam czegoś takiego:

Kod:

ramsi ALL=(ALL:ALL) NOPASSWD:ALL

co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.
A zatem to co chcesz osiągnąć, to w swoim pliku /etc/sudoers dodać odpowiednie wpisy mówiące, że Twój user nie będzie mógł uruchamiać wszystkiego jak popadnie.

NIE MA USERA SUDO !!!!!!!!!

yossarian · 2014-07-28 17:23:42

ramsi1986 napisał(-a):
Ja osobiście używam czegoś takiego:
Kod:
ramsi ALL=(ALL:ALL) NOPASSWD:ALL
co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.

IMHO kiepski pomysł.

ramsi1986 · 2014-07-28 20:18:40

yossarian napisał(-a):
ramsi1986 napisał(-a):
Ja osobiście używam czegoś takiego:
Kod:
ramsi ALL=(ALL:ALL) NOPASSWD:ALL
co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.
IMHO kiepski pomysł.

Dlaczego? Pamiętaj, że sudo używasz dopiero jak już jesteś zalogowany do systemu, a nie z zewnątrz, więc autoryzację przechodzisz w momencie logowania do systemu. Oczywiście jeśli ktoś jest przeczulowny na punkcie security, to na pewno powyższy wpis mu się nie spodoba :P ale zakładając, że do mojego prywatnego lapka wjazdu z zewnątrz nie ma, to i ja nie mam się czym przejmować :)

yossarian · 2014-07-28 20:38:59

ramsi1986 napisał(-a):
ale zakładając, że do mojego prywatnego lapka wjazdu z zewnątrz nie ma, to i ja nie mam się czym przejmować :)

Zależy co masz na swoim kompie. Jakieś Skype, dropboksy, gierki na wine, flashe itd.

ramsi1986 · 2014-07-28 20:54:37

yossarian napisał(-a):
Zależy co masz na swoim kompie. Jakieś Skype, dropboksy, gierki na wine, flashe itd.

Najlepszym zabezpieczeniem komputera jest świadomy użytkownik :)

Red_Fedora · 2014-07-29 08:11:52

Tylko że pozostawienie takiego okna nie jest zbyt mądrym pomysłem. Takie coś zdecydowanie skróci ci czas na spenetrowanie systemu. Z resztą chwalenie się takim czymś może przyciągnąć gimbohakera.

morfik · 2014-07-29 11:28:45

ramsi1986 - może i ty jako człowiek przechodzisz ale wszystkie aplikację mają ten proces gdzieś. xD Taki się uruchomi i wykona "sudo coś tam" nie ma hasła i może sobie robić co mu się podoba, to gorzej niż na windows. :] Jeśli już chcesz sobie administrować systemem przez sudo to sobie wpisz "sudo su" i podaj hasło -- będziesz zalogowany do momentu wylogowania. Choć ja tam i tak wolę normalne "su -", a sudo używam tylko do okrajania uprawnień.

Jacekalex · 2014-07-29 15:37:58

Jak ktoś nie lubi klepać hasła, to najlepiej sudo zapiąć do pam-usb.
Żaden bot ani haker przez internet mojego pendraka do portu nie wsadzi. xD

Proste i skuteczne.
http://forums.debian.net/viewtopic.php?f=16&t=110813

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-07-29 15:38:19)

morfik · 2014-07-29 16:15:49

Fajny bajer, ja sobie na to popatrzę później. xD

alfa444 · 2014-08-30 09:05:25

A czy da się ustawić żeby truecrypt albo yumi przy montowaniu partycji nie wołał hasła dla sudo?

morfik · 2014-08-30 09:37:18

Dopisz sobie to do regułek sudo:

Kod:

%truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt

A potem się dodaj do tej grupy.

alfa444 · 2014-09-17 14:09:41

Próbowałem tak i pytał o hasło mimo to.
Czy zamiast tego, nie mogę dodać:

Kod:

%sudo ALL=(root) NOPASSWD:/usr/bin/truecrypt

To działa. Czy jest to błąd/zagrożenie dla bezpieczeństwa?

Jacekalex · 2014-09-17 14:35:15

ALL w drugiej kolumnie oznacza wszystkie hosty na świecie, nie wiem, czy dokładnie o to chodziło. ;)
Zamiast ALL daj tam lepiej taką nazwę hosta, jaką masz ustawioną w systemie (wyświetlaną komendą hostname).

morfik · 2014-09-17 15:24:02

Większość ludzi w domu i tak ma jednego kompa za natem i z fw broniącym cnoty pc, także co za różnica? xD Poza tym, te regułkę skopiowałem skądś bo już nie używam tc. Ja sobie dorobiłem ten alias co tam kiedyś gdzieś wrzuciłeś, by rozróżniać które ALL jest od czego. xD I teraz mam linijki wyglądające tak:

Kod:

...
Host_Alias HOSTY = localhost,morfikownia
...
morfik     HOSTY = (root) NOPASSWD: /usr/sbin/pbuilder
...

alfa444 · 2014-10-11 23:38:17

Jak ustawić by zwykły użytkownik (nienależący do grupy sudo) mógł uruchomić program normalnie wymagający uprawnień sudo?

Ostatnio edytowany przez alfa444 (2014-10-18 21:46:41)

Forum Debian Users Gang

Ogłoszenie

#1 2014-07-24 19:44:25

alfa444 - Użytkownik

Uprawnienia Sudo

#2 2014-07-24 20:04:19

ilin - Palacz

Re: Uprawnienia Sudo

#3 2014-07-24 20:06:15

yossarian - Szczawiożerca

Re: Uprawnienia Sudo

#4 2014-07-24 22:06:31

Pavlo950 - człowiek pasjonat :D

Re: Uprawnienia Sudo

#5 2014-07-25 00:27:31

Jacekalex - Podobno człowiek...;)

Re: Uprawnienia Sudo

#6 2014-07-27 15:27:43

alfa444 - Użytkownik

Re: Uprawnienia Sudo

#7 2014-07-27 15:33:56

ethanak - Użytkownik

Re: Uprawnienia Sudo

#8 2014-07-28 16:57:35

ramsi1986 - Użytkownik

Re: Uprawnienia Sudo

alfa444 napisał(-a):

Kod:

Kod:

#9 2014-07-28 17:23:42

yossarian - Szczawiożerca

Re: Uprawnienia Sudo

ramsi1986 napisał(-a):

Kod:

#10 2014-07-28 20:18:40

ramsi1986 - Użytkownik

Re: Uprawnienia Sudo

yossarian napisał(-a):

ramsi1986 napisał(-a):

Kod:

#11 2014-07-28 20:38:59

yossarian - Szczawiożerca

Re: Uprawnienia Sudo

ramsi1986 napisał(-a):

#12 2014-07-28 20:54:37

ramsi1986 - Użytkownik

Re: Uprawnienia Sudo

yossarian napisał(-a):

#13 2014-07-29 08:11:52

Red_Fedora - Użytkownik

Re: Uprawnienia Sudo

#14 2014-07-29 11:28:45

morfik - Cenzor wirtualnego świata

Re: Uprawnienia Sudo

#15 2014-07-29 15:37:58

Jacekalex - Podobno człowiek...;)

Re: Uprawnienia Sudo

#16 2014-07-29 16:15:49

morfik - Cenzor wirtualnego świata

Re: Uprawnienia Sudo

#17 2014-08-30 09:05:25

alfa444 - Użytkownik

Re: Uprawnienia Sudo

#18 2014-08-30 09:37:18

morfik - Cenzor wirtualnego świata

Re: Uprawnienia Sudo

Kod:

#19 2014-09-17 14:09:41

alfa444 - Użytkownik

Re: Uprawnienia Sudo

Kod:

#20 2014-09-17 14:35:15

Jacekalex - Podobno człowiek...;)

Re: Uprawnienia Sudo

#21 2014-09-17 15:24:02

morfik - Cenzor wirtualnego świata

Re: Uprawnienia Sudo

Kod:

#22 2014-10-11 23:38:17

alfa444 - Użytkownik