Názory k článku
Používat sudo nebo ne?
-
čenda (neregistrovaný)Používám sudo pro zvíšení bezpečnosti systému hlavně přede mnou samým. Provozuji pár servříků, ale i to by stačilo pro několik bezesných nocí při neuváženém použití roota. Hlavně mě to vždycky upozorní na to co dělám. Musim zadat heslo. Jinak bych klidně udělal i toto rm -r / , samozřejmě pod rootem, když bych ho někdy musel použít.
-
still (neregistrovaný)Momentalne iba tak, alebo si mozes vytvorit inu binarku, ktora vlastne nespravi nic ine ako "cat /etc/shadow" a tej binarke nastavis suid bit a spustis ju cez ten skript.
To co som napisal vyssie je absolutne blbe pouzivat ako root, avsak pri urcitych operaciach, ktore je potrebne vykonavat ako iny uzivatel (predpokladom je co najmenej prav a vedomie moznosti spustenia inymi uzivatelmi), tak je mozne aj takyto shell vytvorit a spustat skripty ako dany uzivatel.
a inak.. pouzivat suid pre skripty je blbost uz len kvoli tomu, ze dane opravnenia neziska skript, ale interpret, ktory dany skript vykonava. A nemyslim, ze je nejaky interpert napisany tak dokladne, aby mu mohol byt prideleny suid bit (ci uz s pravami roota, alebo inymi). Pri vyvojy aplikacii, ktore budu mat dany suid bit nastaveny sa kladie maximalny doraz na bezpecnost a aby aplikacia nevykonala, co i len omylom/chybou, nieco ine, pre co povodne nebola napisana. -
miro (neregistrovaný)<cite>pri urcitych operaciach, ktore je potrebne vykonavat ako iny uzivatel (predpokladom je co najmenej prav a vedomie moznosti spustenia inymi uzivatelmi), tak je mozne aj takyto shell vytvorit a spustat skripty ako dany uzivatel</cite> - to sice ano, ale IMHO zároveň nepůjde dost dobře zabránit userům, aby si spustili přímo ten suidovaný shell a v něm pak už můžou cokoli. Takže (jestli tomu dobře rozumím) na BFU je to docela dobrý, ale pro pokročilého uživatele je to totéž, jako kdybych mu dal heslo na roota.
-
still (neregistrovaný)"predpokladom je co najmenej prav" - to som nemyslel najmenej prav uzivatela, ktory to bude spustat, ale uzivatela s ktoreho opravneniami sa dany shell bude spustat. suid bit nesposobuje, ze sa dany program spusta s pravami root-a, ale ze sa spusta s pravami vlastnika suboru.
Existuje zopar situacii, pri ktorych je ziadane, aby sa niektore akcie vykonavali vzdy s pravami urciteho uzivatela a aby vsetci uzivatelia mali k takymto upravam rovnaky pristup. (treba vsak velmi dobre zvazovat taketo situacie)
btw.. suid, sudo, a su - su velmi zranitelne riesenia v unixoch a preto s nimi treba narabat s najvacsou opatrnostou. -
Sten (neregistrovaný)A v tuhle chvíli klidně můžete uživatelům umožnit přihlásit se jako root bez hesla :)
Jinak samozřejmě správné řešení by bylo:
$ sudo grep /tmp/a /etc/sudoers
Password:
ALL ALL=NOPASSWD: /tmp/a
$ cat /tmp/a
#!/bin/sh
if [ "$(whoami)" != "root" ]; then
exec sudo "$0" "$@"
fi
rm -rf /
$ /tmp/a -
anonymní"tak som si nainstaloval Ubuntu, kde je pouzivanie sudo preferovane (resp. odporucane v roznych navodoch aj komunitou),"
No, znam spoustu Ubuntistu, kteri pouzivaji kombinaci "sudo su" :-), coz se me osobne zda docela humorny. Proc pouzivat "su", kdyz uz samotny "sudo" me prepne do roota? Nechapu, proc se prepnout pod roota a pak jeste pod rootem spoustet "su", aby me to preplo znovu do roota? Nevim, kdo v ubuntu na tohle prisel:-) Pokud nekdo vite, poucte me, v cem je to lepsi, nez "sudo -i" (pripadne "sudo -s"). Diky.
