https://www.opennet.ru/openforum/vsluhforumID3/108355.html В дерево портов FreeBSD добавлена утилита doas (http://www.freshports.org/security/doas/), представляющая собой упрощённый аналог программы sudo, позволяющий выполнять команды от имени другого пользователя. Утилита развивается в недрах проекта OpenBSD в ответ на усложнение современных выпусков sudo, которые не отвечают требованиям OpenBSD по безопасности и зависимостям. <br><br><br>Портирование (https://github.com/slicer69/doas) не обошлось без казуса - спустя несколько часов после публикации порта, в нём была обнаружена критическая уязвимость (https://github.com/slicer69/doas/issues/2), позволяющая (https://twitter.com/mordin_/status/746372693071642624) выполнить привилегированные операции, даже если был указан неверный пароль пользователя. Т.е. любой пользователь, указанный в секции "permit" в файле doas.conf может выполнить любые допустимые команды, указав любые символы в ответ на запрос пароля. Проблема была вызвана ошибкой (https://github.com/slicer69/doas/commit/720db7212167f05bcdcbb495147ef35b1e55d45c) в ко https://www.opennet.ru/openforum/vsluhforumID3/108355.html#52 Thu, 07 Jul 2016 23:50:26 GMT &gt; Мне в sudo не нравится первое ALL в sudoers. Прописывать его всегда <br>&gt; нуэжно и кроме значения ALL что то указывать бессмысленно. localhost оно <br>&gt; не понимает.<br>&gt; Нельзя, точнее бессмысленно, писать: <br>&gt; [code]user localhost=NOPASSWD:COMMANDS_LIST <br>&gt; user ALL=COMMANDS_LIST[/code] <br>&gt; А если вместо localhost, указать hostname сервера, то подключаясь по SSH с <br>&gt; явно другого хоста, sudo всё ровно выполняет это правило. То есть <br>&gt; указывать хост отличный от ALL обессмыслено. Как с этим в doas? <br><br>Там свой конфиг, без этой &#171;фичи&#187;, которая была актуальна в эпоху тотального монтирования /etc по NFS.<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#51 Thu, 07 Jul 2016 23:49:34 GMT &gt;[оверквотинг удален]<br>&gt; вообше только ядро, которое можно использовать с самыми разными юзермодами. Остальные <br>&gt; отдуваются за свои баги сами.<br>&gt;&gt; Там баг открыт самим автором.<br>&gt; Быстро поднятый маздай не считается упавшим?<br>&gt;&gt; Эдакая "самореклама" еще одного портировщика, но уже для линукса: <br>&gt; Пусть этот портировщик себе оставит все эти качественные продукты жизнедеятельности, где <br>&gt; авторы даже не удосуживаются запустить свой код и проверить два тривиальных <br>&gt; юзкейса: правильный пароль и неправильный. Ладно там еще сложные баги в <br>&gt; продвинутых фичах, но вот не поймать такое еще до релиза на <br>&gt; публику - это фэйл.<br><br>Релиза, вообще-то, ещё не было.<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#50 Thu, 07 Jul 2016 23:48:09 GMT &gt;&gt; Было бы печальнее, если бы эта плюха не была бы найдена в <br>&gt;&gt; первый час. А так, значит, что не всё ещё потеряно, и <br>&gt;&gt; сообщество ещё в состоянии скорректировать ошибки индивидуалов.<br>&gt; На месте сообщества было бы разумно объявить такую программу глубоко экспериментальной <br>&gt; альфой, непригодной для практического применения. Чтобы люди понимали что автор в <br>&gt; момент написания был невменяем и аудит может потребовать значительное время.<br><br>Какую такую? В оригинальном doas банально нет поддержки PAM, это в FreeBSD её прикрутили.<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#49 Thu, 07 Jul 2016 23:45:49 GMT &gt;[оверквотинг удален]<br>&gt; меньшей user base и соответственно меньшей верифицированности?<br>&gt; хотя, конечно, sudo и от рождения-то была не фонтан (в частности и <br>&gt; пресловутый pam - так же как в этой do-ass, добавлен туда <br>&gt; далеко не сразу, и не с первой попытки без существенных косяков <br>&gt; - я помню как ковырнул, ужаснулся, и пару лет жил без <br>&gt; sudo), а наверчивание на нее все новых и новых нужных непойми <br>&gt; кому приблуд (на, пардон, _security_ утилиту, которая обязана быть как можно <br>&gt; более простой) лучше ее не сделало.<br>&gt; Но я бы нынче смотрел в сторону хака sudo по образцу libressl, <br>&gt; а не в сторону портирования поделий из openbsd.<br><br>x/0<br><br>Ничего, что автор doas &#8212; один из основателей LibreSSL? <br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#48 Thu, 07 Jul 2016 23:43:52 GMT &gt; Бывает. Строк кода много, разрабов мало, тех кто смотрит этот код ещё <br>&gt; меньше.<br><br>Что &#171;бывает&#187; &#8212; согласен. А вот насчёт &#171;строк кода много&#187; &#8212; это в doas-то?<br><br>&lt;pre&gt;$ wc -l doas.c doas.h parse.y <br> 475 doas.c<br> 23 doas.h<br> 324 parse.y<br> 822 total&lt;/pre&gt;<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#47 Mon, 04 Jul 2016 04:53:30 GMT &gt; Т.е. можно сказать "пингвинячье качество как есть" только из-за того, что оно <br>&gt; есть в репах дистров пингвина?<br><br>У пингвинов нет никаких заскоков с базовыми системами и прочим. Линукс это вообше только ядро, которое можно использовать с самыми разными юзермодами. Остальные отдуваются за свои баги сами.<br><br>&gt; Там баг открыт самим автором.<br><br>Быстро поднятый маздай не считается упавшим?<br><br>&gt; Эдакая "самореклама" еще одного портировщика, но уже для линукса: <br><br>Пусть этот портировщик себе оставит все эти качественные продукты жизнедеятельности, где авторы даже не удосуживаются запустить свой код и проверить два тривиальных юзкейса: правильный пароль и неправильный. Ладно там еще сложные баги в продвинутых фичах, но вот не поймать такое еще до релиза на публику - это фэйл.<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#46 Mon, 04 Jul 2016 04:45:25 GMT &gt; Тут обычная опечатка, которую заметили и исправили моментально. А там серьезная уязвимость... <br><br>Спору нет, вход без знания пароля под правами рута - серьезная уязвимость. Но вот не заметить ее можно только если ни разу не запускать свой код. Автор наверное использовал putty.exe и UAC вместо doas.<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#45 Tue, 28 Jun 2016 11:07:01 GMT &gt; Ну и стоило оно того?<br><br>Да.<br><br>&gt; причем тут квалификация?<br><br>При выборе, среди прочего -- что тянуть, что нет.<br><br>PS: su(8) тоже другой, но иначе. :)<br> https://www.opennet.ru/openforum/vsluhforumID3/108355.html#44 Tue, 28 Jun 2016 09:45:10 GMT Makefile.in &#124; 17 ++--<br> UPGRADE &#124; 12 +++<br> aclocal.m4 &#124; 16 ++--<br> auth/pam.c &#124; 23 ++++-<br> check.c &#124; 18 ++++<br> config.h.in &#124; 3 +<br> configure.in &#124; 35 +++++---<br> defaults.c &#124; 3 +-<br> env.c &#124; 33 +++++--<br> find_path.c &#124; 5 +-<br> logging.c &#124; 5 +-<br> parse.c &#124; 255 ++++++++++++++++++++++++++++++++++++++++++++++++++-----<br> parse.yacc &#124; 13 +++<br> pathnames.h.in &#124; 14 +++<br> rpminst.sudoers &#124; 19 +++++<br> sample.pam &#124; 33 +------<br> sudo.c &#124; 92 ++------------------<br> sudo.control &#124; 17 ++++<br> sudo.h &#124; 1 -<br> sudo.pod &#124; 15 ++--<br> sudoers &#124; 22 ++---<br> sudoers.control &#124; 19 +++++<br> sudoers.man.in &#124; 2 +-<br> sudoers.pod &#124; 9 +-<br> tgetpass.c &#124; 7 +-<br> visudo.man.in &#124; 2 +-<br> visudo.pod &#124; 5 +-<br> 27 files changed, 487 i