Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-10-15 11:10:44

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

To wredne sudo

Pech chciał, że wczoraj zainstalowałem sudo na moim Debianie. Pamiętam jak kiedyś mądrzy twórcy Debiana i Slackware zawsze ostrzegali przed sudo i Patrick Volkerding mówił iż sudo to mało bezpieczne rozwiązanie. W Debianie i Slacku nie ma sudo, no chyba, że samemu je sobie zainstalujemy. Oczywiście to zagrożenie w sudo o którym mówił Patrick jest innym zagrożeniem niż to w moim linku.
https://www.sudo.ws/alerts/minus_1_uid.html

Ostatnio edytowany przez xfce5 (2019-10-15 11:20:47)

Offline

 

#2  2019-10-15 13:00:10

  jawojx - Użytkownik

jawojx
Użytkownik
Zarejestrowany: 2012-10-11

Re: To wredne sudo

Sudo jak to sudo, ma swoje wady. Ale jeżeli masz repozytoria security, a powinieneś je mieć, to paczka od rana jest załatana w Debianie 9/10.

CVE-2019-14287

Trzeba sprawdzić, czy łata działa.

Offline

 

#3  2019-10-15 13:30:18

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: To wredne sudo

Problem z sudo jest taki, że dominuje „ubuntowa”, ryzykowna konfiguracja — poprawnie skonfigurowane sudo powinno umożliwiać tylko ściśle sprecyzowane czynności dla każdego użytkownika z osobna, każdego hosta etc. Nic poza tym.

Samo w sobie sudo nie jest jakimś specjalnie większym zagrożeniem.

Offline

 

#4  2019-10-15 17:29:51

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: To wredne sudo

Na logikę wydaje mi się, że jak nie używasz sudo i siedzisz w konsoli na roocie, to gdy odejdziesz od swojego systemu ktoś obcy może mieć dostęp do twojego konta root, czyli do wszystkiego. Oczywiście jak ma fizyczny dostęp, gdy mieszkasz w akademiku itp. Z sudo jest lepiej dlatego, że musisz hasłem potwierdzić. W niektórych dystrybucjach jednak jest tak, że gdy użyjesz raz sudo to jeszcze przez kilka minut możesz wpisać sudo su i wchodzisz na roota, mają tak standardowo skonfigurowane sudo. Dopiero po kilku minutach sudo su ponownie zapyta o hasło. Jest to bardzo wygodne, ale mało rozsądne pod względem bezpieczeństwa.

Offline

 

#5  2019-10-15 17:45:24

  blind - Użytkownik

blind
Użytkownik
Zarejestrowany: 2011-10-19

Re: To wredne sudo

xfce5 napisał(-a):

W niektórych dystrybucjach jednak jest tak, że gdy użyjesz raz sudo to jeszcze przez kilka minut możesz wpisać sudo su i wchodzisz na roota, mają tak standardowo skonfigurowane sudo. Dopiero po kilku minutach sudo su ponownie zapyta o hasło. Jest to bardzo wygodne, ale mało rozsądne pod względem bezpieczeństwa.

Zawsze możesz sobie to wyłączyć, tak by sudo pytało o hasło za każdym razem, dodając do sudoers wpis:

Kod:

Defaults    timestamp_timeout=0

Ja tak mam, bo dla mnie sudo to przede wszystkim zabezpieczenie bym jakiejś głupoty z uprawnieniami roota nie zrobić. W domu i tak jestem rootem swojego komputera, więc czy będę wpisywać hasło roota czy też dodam się do grupy sudo i będę wpisywać swoje hasło nie ma dla mnie większego znaczenia z punktu widzenia bezpieczeństwa. Jednak jak sudo mnie zapyta o hasło, to zawsze mogę się zastanowić, czy na pewno chciałem zrobić to co robię. W przypadku su można łatwo zapomnieć, że się wykonuje polecenie jako root i zrobić przez pomyłkę jakąś głupotę.

Ostatnio edytowany przez blind (2019-10-15 17:46:37)


"Po drugie: w to co robisz uwierz i włóż w to serce."

Offline

 

#6  2019-10-15 17:52:01

  xfce5 - Użytkownik

xfce5
Użytkownik
Zarejestrowany: 2019-07-25

Re: To wredne sudo

Dokładnie tak jak piszesz, dlatego ja też instaluje sudo.

Offline

 

#7  2019-10-15 18:04:02

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: To wredne sudo

Ustawcie sobie w konfiguracji shell'a root zmienną TMOUT:

Kod:

export TMOUT="$(( 60*5 ))";

I po 5 minutach nieaktywności (brak wpisania polecenia przez ten czas), system cię wyloguje automatycznie z root'a. Ja używam tego głównie na TTY, bo tam zapominam się często wylogować. :]

A i tu macie jeszcze ograniczenie SU do określonego user'a w systemie, tak jakby ktoś narzekał że każdy może z su korzystać — no to nie może. xD

Ostatnio edytowany przez morfik (2019-10-15 18:07:47)

Offline

 

#8  2019-10-15 18:14:24

  blind - Użytkownik

blind
Użytkownik
Zarejestrowany: 2011-10-19

Re: To wredne sudo

morfik napisał(-a):

A i tu macie jeszcze ograniczenie SU do określonego user'a w systemie, tak jakby ktoś narzekał że każdy może z su korzystać — no to nie może. xD

O, to jest bardzo ciekawe. Nie wiedziałem że tak się da. Żeby jednak miało to jakiś sens, to trzeba by wyłączyć możliwość zalogowania się na konto roota, a nie jestem do końca przekonany, czy to dobry pomysł.

Ostatnio edytowany przez blind (2019-10-15 18:16:00)


"Po drugie: w to co robisz uwierz i włóż w to serce."

Offline

 

#9  2019-10-15 18:27:48

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: To wredne sudo

Przecie jak chcesz ograniczyć ludziom logowanie się na konto root, to nie możesz wyłączyć logowania się na root -- to chyba się wzajemnie wyklucza.... xD

Ostatnio edytowany przez morfik (2019-10-15 18:30:45)

Offline

 

#10  2019-10-15 18:43:07

  blind - Użytkownik

blind
Użytkownik
Zarejestrowany: 2011-10-19

Re: To wredne sudo

morfik napisał(-a):

Przecie jak chcesz ograniczyć ludziom logowanie się na konto root, to nie możesz wyłączyć logowania się na root — to chyba się wzajemnie wyklucza.... xD

No dobra, to jaki jest sens w ograniczaniu dostępności komendy su, skoro aby z niej skorzystać trzeba znać hasło, a znając hasło możemy się po prostu zalogować na dane konto bez korzystania z su? :)


"Po drugie: w to co robisz uwierz i włóż w to serce."

Offline

 

#11  2019-10-15 19:17:28

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: To wredne sudo

@blind:
Przecież tu mowa o innych użytkownikach systemu. Można im to zwyczajnie zablokować. Czego nie rozumiesz?

Offline

 

#12  2019-10-15 21:00:51

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: To wredne sudo

Tu chodzi raczej o to, że jak ktoś ma fizyczny dostęp do kompa i zna hasło root, to może np. z poziomu TTY się zalogować bezpośrednio na root podając hasło. No może. Ale co z systemami, gdzie masz np. zdalny dostęp via SSH? Rzadko kto daje możliwość logowania się bezpośrednio root'owi via SSH, więc w takim przypadku jakiś inny user się musi zalogować w systemie, a dopiero potem próbować zalogować na root i tu wchodzi ograniczenie do tych user'ów, którzy mogą to robić.

Kiedyś było jeszcze /etc/securetty [1] , które dawało możliwość określenia gdzie root może logować się bezpośrednio. Ale tego pliku już w debianie nie ma, bo odeszli do tego mechanizmu ostatnio. Ale dawał on możliwość wyłączenia logowania się root nawet na TTY. I wtedy mając dostęp fizyczny i znając hasło root nie miałbyś możliwości się bezpośrednio zalogować w systemie. xD

[1]: https://manpages.debian.org/unstable/manpages/securetty.5.en.html

Ostatnio edytowany przez morfik (2019-10-15 21:02:42)

Offline

 

#13  2019-10-15 21:04:22

  blind - Użytkownik

blind
Użytkownik
Zarejestrowany: 2011-10-19

Re: To wredne sudo

Jeśli chodzi o SSH to się zgadzam. W takim wypadku ma to jak najbardziej sens.


"Po drugie: w to co robisz uwierz i włóż w to serce."

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)