Používat sudo nebo ne?

Používám sudo pro zvíšení bezpečnosti systému hlavně přede mnou samým. Provozuji pár servříků, ale i to by stačilo pro několik bezesných nocí při neuváženém použití roota. Hlavně mě to vždycky upozorní na to co dělám. Musim zadat heslo. Jinak bych klidně udělal i toto rm -r / , samozřejmě pod rootem, když bych ho někdy musel použít.

Ridim se heslem, dokud chodim berle nepotrebuji. A smazat si takhle server, tak si jeste budu rikat dobre mi tak :-)

Souhlasím s Váma.
Někdy ovšem sudo potřebujete, protože vývojáři kernelu odmítají rozchodit suid bit pro skripty.
Asi mají nějaké "kostlivce ve skříni".

sudo cp /bin/sh /bin/sh_suid
sudo chmod +s /bin/sh_suid

$ cat /tmp/a
#!/bin/sh_suid
rm -rf /

:-)

??? To má být workaround chybějící podpory suid pro skripty? A k čemu tam je ten řádek $ cat /tmp/a ?

Asi tak nejak. To cat je na znazornenie vypisu nejakeho suboru.
A btw. je to ukazka tej najvacsej bezpecnostnej diery do systemu - dovod preco sa suid pre skripty nepouziva ;-)

Aha, takže když bych chtěl ve skriptu provést něco, co může jen root (např. cat /etc/shadow, tak musí suid dostat binárka reprezentující daný shell (tedy např. /bin/bash). Hm, tak to vážně pro skripty nejde suid dost dobře použít :-) (nebo aspoň nevím jak).

Momentalne iba tak, alebo si mozes vytvorit inu binarku, ktora vlastne nespravi nic ine ako "cat /etc/shadow" a tej binarke nastavis suid bit a spustis ju cez ten skript.
To co som napisal vyssie je absolutne blbe pouzivat ako root, avsak pri urcitych operaciach, ktore je potrebne vykonavat ako iny uzivatel (predpokladom je co najmenej prav a vedomie moznosti spustenia inymi uzivatelmi), tak je mozne aj takyto shell vytvorit a spustat skripty ako dany uzivatel.

a inak.. pouzivat suid pre skripty je blbost uz len kvoli tomu, ze dane opravnenia neziska skript, ale interpret, ktory dany skript vykonava. A nemyslim, ze je nejaky interpert napisany tak dokladne, aby mu mohol byt prideleny suid bit (ci uz s pravami roota, alebo inymi). Pri vyvojy aplikacii, ktore budu mat dany suid bit nastaveny sa kladie maximalny doraz na bezpecnost a aby aplikacia nevykonala, co i len omylom/chybou, nieco ine, pre co povodne nebola napisana.

<cite>pri urcitych operaciach, ktore je potrebne vykonavat ako iny uzivatel (predpokladom je co najmenej prav a vedomie moznosti spustenia inymi uzivatelmi), tak je mozne aj takyto shell vytvorit a spustat skripty ako dany uzivatel</cite> - to sice ano, ale IMHO zároveň nepůjde dost dobře zabránit userům, aby si spustili přímo ten suidovaný shell a v něm pak už můžou cokoli. Takže (jestli tomu dobře rozumím) na BFU je to docela dobrý, ale pro pokročilého uživatele je to totéž, jako kdybych mu dal heslo na roota.

"predpokladom je co najmenej prav" - to som nemyslel najmenej prav uzivatela, ktory to bude spustat, ale uzivatela s ktoreho opravneniami sa dany shell bude spustat. suid bit nesposobuje, ze sa dany program spusta s pravami root-a, ale ze sa spusta s pravami vlastnika suboru.
Existuje zopar situacii, pri ktorych je ziadane, aby sa niektore akcie vykonavali vzdy s pravami urciteho uzivatela a aby vsetci uzivatelia mali k takymto upravam rovnaky pristup. (treba vsak velmi dobre zvazovat taketo situacie)

btw.. suid, sudo, a su - su velmi zranitelne riesenia v unixoch a preto s nimi treba narabat s najvacsou opatrnostou.

A v tuhle chvíli klidně můžete uživatelům umožnit přihlásit se jako root bez hesla :)

Jinak samozřejmě správné řešení by bylo:
$ sudo grep /tmp/a /etc/sudoers
Password:
ALL ALL=NOPASSWD: /tmp/a
$ cat /tmp/a
#!/bin/sh

if [ "$(whoami)" != "root" ]; then
exec sudo "$0" "$@"
fi

rm -rf /
$ /tmp/a

spravne. a pokud uz potrebuju opravdu nejaka omezeni, bezel tu pekny serial o selinuxu.

ked som zacal s linuxom tak som si nainstaloval Ubuntu, kde je pouzivanie sudo preferovane (resp. odporucane v roznych navodoch aj komunitou), tak som si zvykol na tento sposob a vsetko robim cez sudo.

úplně všechno snad ne :-)

heh no vsetko co potrebuje root pristup :)

Je to dobré, pokud neznáte sudo -i a sudo -s ... já jsem doteď neznal.

no asi proto že tam root nemá heslo, tak nevím jak by jsi chtěl použít su.

Ja sudo nepouzivam a som spokojny... Ak do niecoho dojebabrem tak mam zalohu pred zmenou a pri zadavani prikazu ich este raz pre istotu skontrolujem...

v titulku ma byt *bez sudo :p (pre chytrakov ze som sa preklikol a pritom kontrolujem prikazy dvakrat... toto je diskusia tu to az tak kontrolovat netreba :)

dobry je si zvyknout psat za prikazem mezeru

Mas na mysli nieco taketo: iptables -L | less ???lebo presne tak zapisujem prikazy... :)

Proste nez zmacknu enter, tak napisu mezeru. Vetsinou se stava, ze kdyz napisete blbe prikaz, tak vam to dojde se stiskem enteru, ale takhle se stiskem mezery, takze je cas si ten enter rozmyslet.

Prosim vas linuxaci jdete do sebe, proc pouzivat takovou hlinu jako sudo kdyz je tu RBAC?

Oni vam do vaseho distra nedodali kernel s RBAC? Upgradujte na Solac!