Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2019-10-15 11:10:44
xfce5 - 
Użytkownik
- xfce5
- Użytkownik
- Zarejestrowany: 2019-07-25
To wredne sudo
Pech chciał, że wczoraj zainstalowałem sudo na moim Debianie. Pamiętam jak kiedyś mądrzy twórcy Debiana i Slackware zawsze ostrzegali przed sudo i Patrick Volkerding mówił iż sudo to mało bezpieczne rozwiązanie. W Debianie i Slacku nie ma sudo, no chyba, że samemu je sobie zainstalujemy. Oczywiście to zagrożenie w sudo o którym mówił Patrick jest innym zagrożeniem niż to w moim linku.
https://www.sudo.ws/alerts/minus_1_uid.html
Ostatnio edytowany przez xfce5 (2019-10-15 11:20:47)
Offline
#2 2019-10-15 13:00:10
jawojx - Użytkownik
- jawojx
- Użytkownik
- Zarejestrowany: 2012-10-11
Re: To wredne sudo
Sudo jak to sudo, ma swoje wady. Ale jeżeli masz repozytoria security, a powinieneś je mieć, to paczka od rana jest załatana w Debianie 9/10.
CVE-2019-14287
Trzeba sprawdzić, czy łata działa.
Offline
#3 2019-10-15 13:30:18
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: To wredne sudo
Problem z sudo jest taki, że dominuje „ubuntowa”, ryzykowna konfiguracja — poprawnie skonfigurowane sudo powinno umożliwiać tylko ściśle sprecyzowane czynności dla każdego użytkownika z osobna, każdego hosta etc. Nic poza tym.
Samo w sobie sudo nie jest jakimś specjalnie większym zagrożeniem.
Offline
#4 2019-10-15 17:29:51
xfce5 - Użytkownik
- xfce5
- Użytkownik
- Zarejestrowany: 2019-07-25
Re: To wredne sudo
Na logikę wydaje mi się, że jak nie używasz sudo i siedzisz w konsoli na roocie, to gdy odejdziesz od swojego systemu ktoś obcy może mieć dostęp do twojego konta root, czyli do wszystkiego. Oczywiście jak ma fizyczny dostęp, gdy mieszkasz w akademiku itp. Z sudo jest lepiej dlatego, że musisz hasłem potwierdzić. W niektórych dystrybucjach jednak jest tak, że gdy użyjesz raz sudo to jeszcze przez kilka minut możesz wpisać sudo su i wchodzisz na roota, mają tak standardowo skonfigurowane sudo. Dopiero po kilku minutach sudo su ponownie zapyta o hasło. Jest to bardzo wygodne, ale mało rozsądne pod względem bezpieczeństwa.
Offline
#5 2019-10-15 17:45:24
blind - Użytkownik
- blind
- Użytkownik
- Zarejestrowany: 2011-10-19
Re: To wredne sudo
xfce5 napisał(-a):
W niektórych dystrybucjach jednak jest tak, że gdy użyjesz raz sudo to jeszcze przez kilka minut możesz wpisać sudo su i wchodzisz na roota, mają tak standardowo skonfigurowane sudo. Dopiero po kilku minutach sudo su ponownie zapyta o hasło. Jest to bardzo wygodne, ale mało rozsądne pod względem bezpieczeństwa.
Zawsze możesz sobie to wyłączyć, tak by sudo pytało o hasło za każdym razem, dodając do sudoers wpis:
Kod:
Defaults timestamp_timeout=0
Ja tak mam, bo dla mnie sudo to przede wszystkim zabezpieczenie bym jakiejś głupoty z uprawnieniami roota nie zrobić. W domu i tak jestem rootem swojego komputera, więc czy będę wpisywać hasło roota czy też dodam się do grupy sudo i będę wpisywać swoje hasło nie ma dla mnie większego znaczenia z punktu widzenia bezpieczeństwa. Jednak jak sudo mnie zapyta o hasło, to zawsze mogę się zastanowić, czy na pewno chciałem zrobić to co robię. W przypadku su można łatwo zapomnieć, że się wykonuje polecenie jako root i zrobić przez pomyłkę jakąś głupotę.
Ostatnio edytowany przez blind (2019-10-15 17:46:37)
"Po drugie: w to co robisz uwierz i włóż w to serce."
Offline
#6 2019-10-15 17:52:01
xfce5 - Użytkownik
- xfce5
- Użytkownik
- Zarejestrowany: 2019-07-25
Re: To wredne sudo
Dokładnie tak jak piszesz, dlatego ja też instaluje sudo.
Offline
#7 2019-10-15 18:04:02
morfik - Cenzor wirtualnego świata
Re: To wredne sudo
Ustawcie sobie w konfiguracji shell'a root zmienną TMOUT:
Kod:
export TMOUT="$(( 60*5 ))";
I po 5 minutach nieaktywności (brak wpisania polecenia przez ten czas), system cię wyloguje automatycznie z root'a. Ja używam tego głównie na TTY, bo tam zapominam się często wylogować. :]
A i tu macie jeszcze ograniczenie SU do określonego user'a w systemie, tak jakby ktoś narzekał że każdy może z su korzystać — no to nie może. xD
Ostatnio edytowany przez morfik (2019-10-15 18:07:47)
Offline
#8 2019-10-15 18:14:24
blind - Użytkownik
- blind
- Użytkownik
- Zarejestrowany: 2011-10-19
Re: To wredne sudo
morfik napisał(-a):
A i tu macie jeszcze ograniczenie SU do określonego user'a w systemie, tak jakby ktoś narzekał że każdy może z su korzystać — no to nie może. xD
O, to jest bardzo ciekawe. Nie wiedziałem że tak się da. Żeby jednak miało to jakiś sens, to trzeba by wyłączyć możliwość zalogowania się na konto roota, a nie jestem do końca przekonany, czy to dobry pomysł.
Ostatnio edytowany przez blind (2019-10-15 18:16:00)
"Po drugie: w to co robisz uwierz i włóż w to serce."
Offline
#9 2019-10-15 18:27:48
morfik - Cenzor wirtualnego świata
Re: To wredne sudo
Przecie jak chcesz ograniczyć ludziom logowanie się na konto root, to nie możesz wyłączyć logowania się na root -- to chyba się wzajemnie wyklucza.... xD
Ostatnio edytowany przez morfik (2019-10-15 18:30:45)
Offline
#10 2019-10-15 18:43:07
blind - Użytkownik
- blind
- Użytkownik
- Zarejestrowany: 2011-10-19
Re: To wredne sudo
morfik napisał(-a):
Przecie jak chcesz ograniczyć ludziom logowanie się na konto root, to nie możesz wyłączyć logowania się na root — to chyba się wzajemnie wyklucza.... xD
No dobra, to jaki jest sens w ograniczaniu dostępności komendy su, skoro aby z niej skorzystać trzeba znać hasło, a znając hasło możemy się po prostu zalogować na dane konto bez korzystania z su? :)
"Po drugie: w to co robisz uwierz i włóż w to serce."
Offline
#11 2019-10-15 19:17:28
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: To wredne sudo
@blind:
Przecież tu mowa o innych użytkownikach systemu. Można im to zwyczajnie zablokować. Czego nie rozumiesz?
Offline
#12 2019-10-15 21:00:51
morfik - Cenzor wirtualnego świata
Re: To wredne sudo
Tu chodzi raczej o to, że jak ktoś ma fizyczny dostęp do kompa i zna hasło root, to może np. z poziomu TTY się zalogować bezpośrednio na root podając hasło. No może. Ale co z systemami, gdzie masz np. zdalny dostęp via SSH? Rzadko kto daje możliwość logowania się bezpośrednio root'owi via SSH, więc w takim przypadku jakiś inny user się musi zalogować w systemie, a dopiero potem próbować zalogować na root i tu wchodzi ograniczenie do tych user'ów, którzy mogą to robić.
Kiedyś było jeszcze /etc/securetty [1] , które dawało możliwość określenia gdzie root może logować się bezpośrednio. Ale tego pliku już w debianie nie ma, bo odeszli do tego mechanizmu ostatnio. Ale dawał on możliwość wyłączenia logowania się root nawet na TTY. I wtedy mając dostęp fizyczny i znając hasło root nie miałbyś możliwości się bezpośrednio zalogować w systemie. xD
[1]: https://manpages.debian.org/unstable/manpages/securetty.5.en.html
Ostatnio edytowany przez morfik (2019-10-15 21:02:42)
Offline
#13 2019-10-15 21:04:22
blind - Użytkownik
- blind
- Użytkownik
- Zarejestrowany: 2011-10-19
Re: To wredne sudo
Jeśli chodzi o SSH to się zgadzam. W takim wypadku ma to jak najbardziej sens.
"Po drugie: w to co robisz uwierz i włóż w to serce."
Offline