The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Леннарт Поттеринг представил run0, замену sudo, интегрированную в systemd

29.04.2024 21:39

Леннарт Поттеринг представил утилиту run0, позволяющую выполнять процессы под идентификаторами других пользователей. Новая утилита позиционируется как более безопасная замена программы sudo, реализованная в форме надстройки над командой systemd-run и позволяющая избавиться от применения исполняемого файла с флагом SUID. Утилита run0 включена в состав выпуска systemd 256, который находится на стадии кандидата в релизы.

Отмечается, что смена идентификатора при помощи флага SUID в sudo сопряжена с дополнительными рисками, связанными с тем, что SUID-процесс наследует контекст исполнения, включающий множество свойств, контролируемых непривилегированным пользователем, таких как переменные окружения, файловые дескрипторы, параметры планировщика и привязки cgroup. Часть из подобных свойств автоматически очищается для SUID-процессов ядром, а часть - самим приложением. Тем не менее, в сложных SUID-программах, таких как sudo, продолжают регулярно находить уязвимости, вызванные неаккуратным обращением с внешними данными, на которое может влиять непривилегированный пользователь.

В run0 вместо использования SUID осуществляется обращение к системному менеджеру с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя, создания нового псевдотерминала (PTY) и пересылки данных между ним и текущим терминалом (TTY). Подобное поведение больше напоминает запуск при помощи ssh, чем выполнение при помощи классического sudo. Привилегированный процесс запускается в изолированном контексте, который порождается процессом PID 1, а не процессом пользователя, т.е. не наследует свойства окружения пользователя, за исключением проброса переменной окружения $TERM. Проброс регулируется через список явно разрешённых свойств, вместо попыток запретить опасные свойства (концепция белого списка, вместо чёрного).

Для авторизации и определения возможностей пользователя в run0 используется Polkit. Классический язык описания правил (/etc/sudoers), применяемый в sudo, не поддерживается. Функциональность для запуска программ с другими привилегиями встроена в systemd-run, а команда run0 создаётся как символическая ссылка на systemd-run, при использовании которой предоставляется схожий с sudo интерфейс командной строки.

Из дополнительных возможностей run0 выделяется индикация работы с повышенными привилегиями через установку красноватого фона в терминале и добавление красной точки в заголовок окна. После прекращения выполнения с иными привилегиями точка исчезает, а фон меняется на обычный. Кроме того, run0 поддерживает все опции "systemd-run", например, параметр "--property", через который можно выставить произвольные настройки сервисов systemd (например, "CPUWeight=200 MemoryMax=2G IPAccounting=yes").

  1. Главная ссылка к новости (https://mastodon.social/@pid_e...)
  2. OpenNews: При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, возникла опасная уязвимость
  3. OpenNews: Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов
  4. OpenNews: Первый стабильный выпуск sudo-rs, реализации утилит sudo и su на языке Rust
  5. OpenNews: Уязвимость в sudo, позволяющая изменить любой файл в системе
  6. OpenNews: Обновление sudo 1.9.5 с устранением уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61088-run0
Ключевые слова: run0, sudo, systemd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (195) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Дмитрий (??), 22:02, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +66 +/
    Ну что, кто там ждал SystemdOS? +1 шаг сделан
     
     
  • 2.3, tcpip (??), 22:05, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Есть нормальные альтернативы systemd?
     
     
  • 3.7, Аноним (7), 22:06, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Полным полно, только ты все равно скажешь, что это не альтернативы
     
     
  • 4.12, тыквенное латте (?), 22:11, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    у этих альтернатива - это клон сисьтемдэ, тока чтоб назывался иначе. и даже если бы такое ненужнодэ появилось, они бы ответили "уууу, поделка васяна, а здесь толстая насадка корпорэйт едишн: стильно, солидно".
     
     
  • 5.18, Аноним (18), 22:15, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну почему, если будет что-то более гибкое и функциональное - посмотрим, оценим, применим. Сугубо прагматичный подход должен быть.
     
     
  • 6.23, Аноним (23), 22:16, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кто кому должен? Опять лозунги, вместо реальных действий.
     
     
  • 7.34, Аноним (18), 22:28, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Каких действий ты хочешь? Если будут норм альтернативы - спецы их рассмотрят и  применят, если они действительно круче будут. Но нет же, всё какие-то тайные знания и секретные практики от домашних экспертов предлагаются.
     
     
  • 8.55, дАнон (?), 22:43, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как будто прод это про спецов, а не про бренды и ярлыки ваши спецы сидят на убен... текст свёрнут, показать
     
  • 4.117, noc101 (ok), 02:55, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно насыпать аргументов и название альтернатив?
    А то, сухо както.
     
     
  • 5.162, Аноним123 (?), 10:09, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернатива какому именно функционалу systemd вам нужна?
     
  • 4.189, Аноним (189), 13:29, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Отказ от Линукс?
     
  • 3.8, Аноним (8), 22:07, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, /bin/bash
     
     
  • 4.88, OpenEcho (?), 00:37, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > /bin/bash

    не секьюрно, т.к. он в сеть умеет, лучше уж плэйн /bin/sh ака /bin/dash

     
     
  • 5.113, dollybell (?), 01:45, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не секьюрно, так как он исполнять скрипты умеет. лучше уж плэйн /dev/null.
     
     
  • 6.118, noc101 (ok), 02:56, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уверен и тут найдутся опасности. Тогда уж сразу в окно комп!
     
     
  • 7.126, Аноним (126), 04:52, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тоже несекьюрно, может на голову кому-нибудь прилететь.
     
     
  • 8.174, noc101 (ok), 11:29, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это уже не мои проблемы ... текст свёрнут, показать
     
     
  • 9.266, Аноним (266), 11:57, 02/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть более простое решение просто тогда отнести комп на помойку, чтобы исключить... текст свёрнут, показать
     
     
  • 10.275, noc101 (ok), 02:49, 20/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В линуксе вот нет такого, ага наивная душа... текст свёрнут, показать
     
  • 3.16, Аноним (7), 22:14, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Есть не просто нормальные, а есть превосходящие альтернативы
     
     
  • 4.20, Аноним (18), 22:15, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какие? Кроме sysv
     
     
  • 5.27, Аноним (27), 22:20, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Кроме SysVinit нет и не нужно альтернатив. BSD  и illumos живут без   systemd и нормально.
     
     
  • 6.30, Аноним (-), 22:23, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Кроме SysVinit нет и не нужно альтернатив.
    > BSD и illumos живут без   systemd и нормально.

    Ахаха))
    Ты вначале посмотри как они живут)
    И можно ли вообще назвать это жизнью, особенно солярка.
    Это в лучше случае додыхание, а не жизнь.

     
     
  • 7.33, Аноним (33), 22:27, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пока Ситемда ещё молода, то навороить в ней в конфигах можно не менее трешъ и угар, чем в тех "неразвитых" системах.

    Поэтому нам бы лучше без Системды, пока до конца не отполируют.

     
     
  • 8.43, Аноним (-), 22:33, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то меня терзают смутые сомнения У меня пока наворотить ничего не получилось... текст свёрнут, показать
     
     
  • 9.79, Аноним (33), 00:12, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут как с шелл скриптами Полно изяшных скриптов Полно трэшь простынок Разгреб... текст свёрнут, показать
     
     
  • 10.190, Аноним (189), 13:32, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Разве Мандрива не завершила своё существование распродажей ... текст свёрнут, показать
     
  • 8.45, Аноним (45), 22:35, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    От полирования , говорят, волосы на ладонях вырастают А скорее всего там как... текст свёрнут, показать
     
  • 8.48, Аноним (-), 22:36, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как ее отполировать без интеграции Если ею пользоваться не будут, то там даже б... текст свёрнут, показать
     
     
  • 9.77, Аноним (33), 23:58, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Отполировать для удобства системного оператора А то рекламы много, а работать п... текст свёрнут, показать
     
  • 7.78, Аноним (78), 00:09, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты вначале посмотри как они живут)

    Они может и не очень живут, но это точно не из-за инита. Инит так круче, чем самая последняя версия системд

     
  • 6.36, Аноним (18), 22:29, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе не нужно, мне нужно. И вся остальная индустрия со мной согласна. BSD и иллюмос это не смешно - на локалхосте можешь хоть дос использовать, всем плевать.
     
     
  • 7.44, Аноним (27), 22:34, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >И вся остальная индустрия

    Индустрии что с кормят, то она и проглотит.

     
     
  • 8.67, Аноним (-), 23:04, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Индустрия как раз сама создает запрос И принимает решение, если оно ее устраива... текст свёрнут, показать
     
     
  • 9.73, тыквенное латте (?), 23:23, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в мире розовых поней разве что индустрии нужен СТАНДАРТНЫЙ звуковой сервер инд... большой текст свёрнут, показать
     
     
  • 10.155, Аноним (-), 09:39, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разуй глаза Бизнесу не нужны 100500 звуковых серверов или пакетных менеджеров ... большой текст свёрнут, показать
     
     
  • 11.159, тыквенное латте (?), 09:58, 30/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 11.267, Елыпалы (?), 18:55, 02/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что корпы решили под себя подмять Линукс И индустрия, долго не раздумыва... текст свёрнут, показать
     
  • 7.191, Аноним (189), 13:35, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не всем. Иначе на форумах так громмко не кричали бы )
     
  • 6.210, Аноним (-), 16:15, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме SysVinit нет и не нужно альтернатив. BSD  и illumos живут
    > без   systemd и нормально.

    Солярка так живет что аж кошмар с XML нагородила. А когда оказалось что это тормозно - и с кешированием этого в скулайт. На этом фоне systemd - просто masterpiece of engineering. Во всяком случае обошелся без энтерпрайзятины типа XML и потом костылирования ее тормозов.

    А BSD - в них вообще нет ничего сравнимого с systemctl. За что и пострадают.

     
     
  • 7.225, тыквенное латте (?), 18:08, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А BSD - в них вообще нет ничего сравнимого с systemctl. За
    > что и пострадают.

    они уже страдают. нетбсдшный миксер и/или опенбсдшный sndiod уже перестрадали и артсд, и пшшшаудио, и пайпварю перестрадают. нет ничего сравнимого. :-D

     
  • 6.239, Анонус (?), 23:00, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А разве в Illumos не https://en.wikipedia.org/wiki/Service_Management_Facility вместо init?
     
  • 3.90, Ноним (?), 00:51, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем systemd альтернативы? Идиотическая задача запускать сервисы из init процесса в 2024-ом. Единственная задача init'а — запустить containerd, с этим справится любой однострочник типа minit'а
     
  • 3.120, Аноним (120), 03:40, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Есть нормальные альтернативы systemd?

    OpenRC, runit, s6, dinit.

     
     
  • 4.130, FedoraUser (?), 05:13, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Приведённый список - это простые "пускалки". Всё на что они способны: запуск, остановка, перезапуск.

    systemd даже на этапе проектирования не разрабатывался как очередная простая "пускалка“.

    На текущий момент нет полного аналога systemd, отчасти его можно заменить на подборку нескольких костылей соединённых изолентой.

     
     
  • 5.132, anonymos (?), 05:20, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Именно этим они и хороши!
     
     
  • 6.211, Аноним (211), 16:17, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Именно этим они и хороши!

    Угу. Пока тебе в управление сервак с такими художествами не подвалит по наследству. После чего начинаешь ценить вещи типа systemd-delta, чтобы хотя-бы понимать что именно тебе вообще подсунули.

    А у тех, педальных, этого разумеется нету и в проекте. Так что угрохайте-ка полчасика на колупание по всем закоулкам системы для получения этого же знания. Которое на системе с системдой вот так, списочком, по пунктикам.

     
     
  • 7.226, тыквенное латте (?), 18:12, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Именно этим они и хороши!
    > Угу. Пока тебе в управление сервак с такими художествами не подвалит по
    > наследству. После чего начинаешь ценить вещи типа systemd-delta, чтобы хотя-бы понимать
    > что именно тебе вообще подсунули.

    но ведь системде, стандартизайция, куда х куда х...

    > А у тех, педальных, этого разумеется нету и в проекте. Так что
    > угрохайте-ка полчасика на колупание по всем закоулкам системы для получения этого
    > же знания. Которое на системе с системдой вот так, списочком, по
    > пунктикам.

    У тех давно всё архитектурно разнесено на host и local, что diff'ом можно и разницу глянуть, и патч создать, и раскатать его потом на другой машине чтоб повторить конфигурацию, пока ты будешь дуплиться в бесполезный выхлоп системг-дельта.

     
  • 7.228, Аноним (228), 19:09, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В systemd с каждым релизом куча всяких внутренних изменений Если за ним постоян... большой текст свёрнут, показать
     
  • 5.137, Аноним (120), 05:56, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Приведённый список - это простые "пускалки".

    Это самые настоящие init системы, в отличии от.

    >Всё на что они способны: запуск, остановка, перезапуск.

    А что еще нужно? Пол помыть, покушать приготовить?

    >systemd даже на этапе проектирования не разрабатывался как очередная простая "пускалка“.

    И это плохо.

    >На текущий момент нет полного аналога systemd, отчасти его можно заменить на подборку нескольких костылей соединённых изолентой.

    Какого еще полного аналога?! Такого же комбайна, который рулит сетью, dns, пользователями, хомяками и еще кучей всего?!

    Инит должен быть маленьким и простым, а не лезть туда куда не нужно! В этом плане каждый из списка уделывает всухую у этого комбайна в миллион строк и горой уязвимостей.

     
     
  • 6.144, FedoraUser (?), 08:37, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    systemd не является и не проектировался как простой init!

    Я тебе больше скажу: в недалекой перспективе он ещё больше на себя замкнет.

     
  • 2.39, Аноним (39), 22:31, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кажется, или у этого Леннарта идеи какие-то сомнительные...
     
     
  • 3.81, Аноним (33), 00:15, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее, что не те люди купили...
     
  • 3.131, FedoraUser (?), 05:15, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предложи свою идею и покажи ее реализацию на практике.
     
  • 2.111, Аноним (111), 01:36, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ждем не SystemdOS, а System DOS.
     
     
  • 3.138, Аноним (120), 05:58, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть уже добавит systemG в виндовс и отстанет от линукса.
     

     ....большая нить свёрнута, показать (55)

  • 1.4, Аноним (7), 22:05, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Для авторизации и определения возможностей пользователя в run0 используется Polkit

    Пф-ф-ф, читер

     
     
  • 2.171, Аноним (171), 11:17, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Правила контроля доступа к polkitd пишутся на JS...
     
     
  • 3.192, Аноним (192), 13:36, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Действительно? Мир никогда не будет прежним...
     
  • 3.198, Аноним (198), 14:33, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И что…
     
  • 3.212, Аноним (211), 16:18, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Правила контроля доступа к polkitd пишутся на JS...

    Возможно, ты имел в виду JSON? Есть некоторая разница как бы.

     
     
  • 4.220, Аноним (228), 17:11, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    $ cat /usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules
    // Allows users belonging to privileged group to start gvfsd-admin without
    // authorization. This prevents redundant password prompt when starting
    // gvfsd-admin. The gvfsd-admin causes another password prompt to be shown
    // for each client process using the different action id and for the subject
    // based on the client process.
    polkit.addRule(function(action, subject) {
            if ((action.id == "org.gtk.vfs.file-operations-helper") &&
                subject.local &&
                subject.active &&
                subject.isInGroup ("wheel")) {
                return polkit.Result.YES;
            }
    });
     
     
  • 5.221, Аноним (228), 17:16, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Этот GVFS Admin, кстати, через лазейку в Polkit позволял любому локальному GTK-приложению поднять привилегии до рута. Что-то не найду CVE, опять Редхат информацию про раскрытый бэкдор под ковер спрятал, попутно распространяя антипиар про sudo, но на Опеннете новость есть.
     
     
  • 6.230, Аноним (230), 19:54, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можете тут показать, о чем речь: https://www.cvedetails.com/vulnerability-list/vendor_id-12901/Polkit-Project.h
     
     
  • 7.231, Аноним (231), 21:32, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Access denied
     
  • 7.232, Аноним (231), 21:38, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот коммит, который закрывает дыру: https://gitlab.gnome.org/GNOME/gvfs/-/commit/d8d0c8c40049cfd824b2b90d0cd479140
    Связанную issue с подробностями, они удалили/скрыли.
    Я ошибся, не любому пользователю, а только из wheel/admin группы. Что, впрочем, в некоторых десктопных дистрибутивах равносильно.
     
     
  • 8.233, Аноним (231), 21:51, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот это вообще враньё Агент всегда и везде запускается от пользователя by des... текст свёрнут, показать
     
  • 7.234, Аноним (231), 22:05, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нашёл ссылку в merge-request: https://nvd.nist.gov/vuln/detail/CVE-2019-3827
    По описанию похоже.
     
  • 6.271, mikhailnov (ok), 12:31, 03/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А там никто не делал CVE
     
  • 5.247, Аноним (247), 15:50, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > $ cat /usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules

    ...
    > the subject
    > // based on the client process.
    > polkit.addRule(function(action, subject) {
    >         if ((action.id == "org.gtk.vfs.file-operations-helper")

    Хе, забавно. Реально через libduktape - мелкий движок JS приделали. Но вообще мелкая и не страшная либа так то.

     
     
  • 6.253, Аноним (253), 20:17, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут заявляют, что fnmatch(3) и regexec(3) из sudoers - это сложнА и нИпАнятнА. А тут чуть ли не Тьюринг-полный язык и интерпретатор на Си, в котором один только заголовок на полторы тыщи строк.
     

  • 1.5, Chromium (ok), 22:05, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На run0 работает патч Бармина?
     
     
  • 2.31, Аноним (33), 22:25, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это была вещь, которая покорила сердце одного человека. Он приложил этот патч на Маке, увидел как с рабочего стола исчезают ярлыки... И после душноты Венды он был покорён свежестью и силой таких возможностей, оставленных открытыми в *nix системах.
     
     
  • 3.268, Sem (??), 20:07, 02/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, он предлагал прикладывать этот патч к SCO UNIX
     

  • 1.11, Аноним (7), 22:09, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Только один момент непонятен - чей пароль то вводить надо: юзера или рута?
     
     
  • 2.24, Аноним (24), 22:16, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Хочешь сказать что у тебя они разные?!
     
     
  • 3.37, Аноним (37), 22:30, 29/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да

    мне тоже в первую очередь интересно будет ли аналог

    Defaults rootpw

     
  • 3.92, Аноним (7), 01:00, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно они у меня разные: мой обычный юзеры для работы, рут и пароль на шифрованный раздел - все разные пароли
     
  • 2.133, FedoraUser (?), 05:22, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Зачем тебе на локалхосте активная учётная запись root? Заблокируй root, добавь своего единственного пользователя в группу wheel и после  sudo бла-бла с вводом пароля пользователя.
     
     
  • 3.148, Аноним (228), 09:18, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > добавь своего единственного пользователя в группу wheel

    С учетом все более широкого применения Polkit'а (вон как в сабже), этот совет уже не кажется таким хорошим. Лучше для админки отдельного пользователя завести (или нескольких), и его добавить в группу wheel/admin.

     
  • 3.151, helloworld (?), 09:23, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В итоге дырень ещё больше, если подумать.
     
     
  • 4.216, Аноним (228), 16:54, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В итоге дырень ещё больше, если подумать.

    С учётом, что пользователь сёрфит веб, а в системе установлен Polkit и куча правил, разрешающих всякое всем, кто в группе wheel, то да. Дырень.

     
  • 3.199, Аноним (199), 14:35, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > и после  sudo бла-бла с вводом пароля пользователя

    ты новость читал, на которую отвечаешь? Это обсуждение run0 на замену sudo

     
  • 3.235, василий без диска (?), 22:11, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Заблокируй root ...

    Когда у тебя initrd не сможет по какой-либо причине смонтировать rootfs, и вывалится в login shell с вопросом о вводе пароля рута.

     
     
  • 4.237, Аноним (231), 22:46, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если вывалится до монтирования корня (/), то пароль (/etc/{passwd,shadow}) он, очевидно, не спросит. А если после, можно зайти пользователем.


     
  • 2.215, Аноним (228), 16:51, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > чей пароль то вводить надо: юзера или рута?

    Ничей. Проверка неинтерактивная. В каком-нибудь правиле в одном из сотен скриптов на JS будет написано что-то вроде "разрешить всё всем, кто в группе reddoor", и всех избранных автоматически начнут пускать без фейс-контроля, никто не заметит.


     
     
  • 3.242, scriptkiddis (?), 15:06, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Звучит как что-то очень секурное. Нужно ставить!
     
     
  • 4.254, Аноним (253), 20:25, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужно, оно уже установлено как зависимость systemd.
     
  • 2.264, Пряник (?), 10:32, 02/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    sudo спрашивает пароль пользователя, чтобы не сообщать всем вокруг рутовский пароль

     

  • 1.15, Аноним (18), 22:13, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, надо потыкать. Пока остановился на sudo-rs.
     
  • 1.17, 3draven (ok), 22:14, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Недавно мелькали эксперименты по использованию ссш как судо...так вотоноче Михалыч.
     
  • 1.21, Аноним (21), 22:16, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Это всё замечательно. Но зачем это нужно в системе инициализации?
     
     
  • 2.84, Аноним (84), 00:20, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В системе инициализации не нужно. В системном менеджере скорее нужно т.к. он уже и так единая точка создания сессий. Чес городить ssh на localhost, можно еще несколько тысяч строк отвратительного кода на отвратительном языке написать, а потом чинить годами. Еще и детям останется
     
     
  • 3.109, Аноним (109), 01:31, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поправил: т.к. он уже и так единая точка отказа.
     
  • 2.158, Аноним (198), 09:47, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так оно не в системе инициализации, это отдельная утилита из комплекта systemd.
     

  • 1.26, oficsu (ok), 22:19, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для авторизации и определения возможностей пользователя в run0 используется Polkit. Классический язык описания правил (/etc/sudoers), применяемый в sudo, не поддерживается

    В чём конкретно отличие от pkexec?

     
     
  • 2.82, Аноним (33), 00:16, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В том, что это - сам сделал. :)))
     
  • 2.141, BrainFucker (ok), 08:24, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У pkexec тоже стоит suid.
     

  • 1.38, Самый умный аноним (?), 22:30, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Взлетит
     
     
  • 2.91, pic (?), 00:57, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё как, попробуйте сопротивляться IBM.
    Не можешь остановить, возглавь.
    Старая истина работает.
    Печально.
     
     
  • 3.127, Podman (?), 05:08, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В контейнерах даже процессы из пакетов RHEL прекрасно стартуют без системдна, прикольно да?
     
     
  • 4.142, BrainFucker (ok), 08:25, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А в контейнерах systemd и отказывается работать по дефолту.
     
     
  • 5.244, scriptkiddis (?), 15:08, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Уже нет.
     
  • 3.272, myster (ok), 13:02, 06/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > попробуйте сопротивляться IBM.

    Поттеринг давно в Microsoft работает уже

     

  • 1.46, kuraga (ok), 22:35, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Подобное поведение больше напоминает запуск при помощи ssh

    А 'su - root' не так работает?

     
     
  • 2.263, 1 (??), 10:23, 02/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    su - утилита админа
    sudo - юзверя
    В этом их коренное отличие.
     

  • 1.53, Аноним (53), 22:41, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Всё правильно, только векторов атаки не стало меньше, а стало больше. Линукс не может быть безопасТным по своей концепции.
     
     
  • 2.175, Аноним (171), 11:31, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Всё правильно, только векторов атаки не стало меньше, а стало больше.

    polkitd c контролем доступа на JS сам по себе дырень.

    > Линукс не может быть безопасТным по своей концепции.

    Может, в плоть до уровня "B3" можно безопасность подтянуть. Для начала надо выпилить: systemd, dbus, polkitd+JS, JIT, BPF, ...

     
     
  • 3.200, Аноним (189), 14:45, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > до уровня "B3"

    Это сколько в дюймах?

     

  • 1.61, Аноним (61), 22:52, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Мне больше нравится doas из openbsd, к которому я так привык, что даже в линуксе использую.
     
     
  • 2.87, пауел (?), 00:30, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    главное слово **привык** !!
     
  • 2.123, Аноним (120), 03:49, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я так привык к opendoas, что даже sudo удалил. Но теперь не работает монтирование в veracrypt. Эти ребята жестко привязали veracrypt к sudo.
     
     
  • 3.209, Аноним (209), 16:03, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нафига тебе в линуксе веракрипт?
     

  • 1.65, Асен Тотин (?), 22:56, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Как там у этой поделки с управлением правами через схему LDAP/AD?

    А как насчет неинтерактивного повышения привилегий с использованием SSH ключей, публичная часть которых хранится в LDAP/AD?

    Никак нет, говорите? Тогда и не надо, спасибо. Играйте этим в своих песочницах и не лезьте в старшим.

     
     
  • 2.85, Аноним (33), 00:21, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то, это не должно быть в составе оркестратора запуска.

    Больше похоже, что пилится монолит. В рамках какго-то своего видения и опыта. Когда-нибдуь что-то выкристализуется. Может даже совсем отдельное от остального.

    Но, типа - да, пора десктоп на FreeBSD, пора.  В эти годы на Linux стрёмная движуха.

     
     
  • 3.128, Podman (?), 05:11, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
      Для работы использую хорошо защищённый ARMv7 одноплатник с readonly BootROM, работающий только в текстовой консоли без Xorg, с профилями AppArmor для всех используемых сетевых приложений, запускаемыми под ограниченными учётными записями. На нём установлены только свободные приложения, нужные для работы в роли DevOps инженера. Для аутентификации к нему подключены аппаратные криптографические токены  с неизвлекаемыми приватными ключами RSA4096. Кроме того часть моего оборудования защищена от РЭБ подавления и частично от утечек по побочным каналам типа ПЭМИН.
     
     
  • 4.135, FedoraUser (?), 05:32, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Больше смахивает на речи представителя палаты №6
     
     
  • 5.182, Podman (?), 12:22, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Твой ответ больше смахивает на ответ тех, кто опечален, когда им мешают вредить свои софтовыми закладками.
     
  • 5.202, Аноним (189), 14:49, 30/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.245, scriptkiddis (?), 15:12, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И пох что железо не свободное и фирмварь за тобой палит. Но ты веруй дальше.
     
  • 3.248, Аноним (247), 15:54, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но, типа - да, пора десктоп на FreeBSD, пора.  В эти
    > годы на Linux стрёмная движуха.

    Ога, без дров GPU, вафли, с никаким управлением питанием на ноутах - будет вам десктоп... в виртуалочке. На маздайке или маке поди, как обычно.

     

  • 1.76, wd (?), 23:56, 29/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну если об polkit, то чем оно лучше pkexec?
     
     
  • 2.83, Аноним (84), 00:16, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отсутствием SUID
     
     
  • 3.160, тыквенное латте (?), 10:02, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Отсутствием SUID

    а так, зачем suid, если systemd уже запускается от рута, да. Удобно. И главное - безопасно.

     
     
  • 4.256, Аноним (256), 20:42, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Отсутствием SUID
    > а так, зачем suid, если systemd уже запускается от рута, да. Удобно.
    > И главное - безопасно.

    Если учесть что в SUDO было штуки три вулнов в этом их sudoedit'e (блин, зачем он вообше нужен, до этого даже поттер не допер?!) - там уж чья бы мычала.

     

  • 1.80, jalavan (ok), 00:12, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > в сложных SUID-программах, таких как sudo, продолжают регулярно находить уязвимости

    А в программах которые написал Леннарт Поттеринг их не находят?

     
     
  • 2.246, scriptkiddis (?), 15:13, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нееееттт что ты. Случай с xz? Уххх да когда это было пффф.
     

  • 1.86, RootKiiit (?), 00:23, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пульса,сисьемдя... Там ушла юность, тут проходит зрелость...
    Стареем... Годы летят стрелою...
    Добавим ещё одного юзера в систему - рута можно задать и забыть, у судоера нет прав рута (кто нибудь пробовал под судоером поменять что нибудь в /proc, /sys ?). А этот будет висеть сервисом "ещё до загрузки ядра", если уже не висит... Не делается это так, "с кондачка"...
     
  • 1.89, dynoslug (?), 00:46, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Больше похоже на первоапрельскую шутку.
     
  • 1.93, Аноним (109), 01:04, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разве кто-то сомневался, что дело systemd-xxxd и дальше пойдёт?
     
     
  • 2.96, dynoslug (?), 01:09, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Всем этим можно не пользоваться.
     
     
  • 3.102, Аноним (109), 01:20, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да можно и самим systemd не пользоваться.
     
     
  • 4.203, Zitz (?), 15:06, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Каким образом? Она же является стандартом для обоих дистров.
     
  • 3.194, Аноним (192), 13:54, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Теоретически да, но нет.
     
     
  • 4.201, Zitz (?), 14:47, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Почему?
     

  • 1.95, Skullnet (ok), 01:08, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем? Есть же pkexec.
     
  • 1.98, Аноним (111), 01:14, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помимо всего прочего в сборке systemd используется  meson. Раньше кроскомпилился, а теперь затык какой-то с новой версией meson, даже старую версию systemd собрать невозможно, синтаксис поменялся.
     
     
  • 2.149, Аноним (228), 09:22, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для того на с autoottools на meson повсеместно и переходят. Чтобы у хозяина была возможность плевать на совместимость и ломать всё по любому поводу. Он ведь на "поддержке" зарабатывает. Чего детишкам непонятно?
     
  • 2.165, Аноним (165), 10:36, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня все впорядке между 0.9 и 1.4 все работает.
    Давай конкретнее в чем проблема?
     

  • 1.101, Аноним (109), 01:19, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что мешает тому же sudo начать вести себя аналогичным образом, не копировать окружение пользователя, а создавать временное для выполнения требуемого дествия с чистого листа?
     
     
  • 2.110, vdb (?), 01:32, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Глупый вопрос. Очевидно, что обратная совместимость мешает. Если sudo начнёт себя вести так, как описано, это будет уже не sudo.
     
     
  • 3.114, Аноним (109), 01:56, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну пусть будет sudo2. И кому в нём обратная совместимость нужна? Привыкнут к новому поведению.
     
     
  • 4.187, errandrunner (?), 13:24, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем плодить сущности тогда?
     
     
  • 5.205, Аноним (189), 15:16, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Только в полёти живут самолёти… ?
     
  • 2.154, Аноним (228), 09:29, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он почти так себя и ведёт (только без PID1). С белым списком переменных окружения. Но им сам sudo с SETUID'ом не нравится, поэтому от него пытаются избавиться, заменив его на Polkit.. Который тоже с SETUID'ом.. Погодите-ка.. Oh, shi~
    Выходит, разница только в том, что у sudo другой разработчик, с которым нужно договариваться о приёме закладок, а Polkit уже под Redhat'ом, бэкдорь как хочешь.
     
     
  • 3.188, errandrunner (?), 13:26, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    он не предлагает на pkexec все менять, а просто использовать существующие правила policykit для работы с run0

    в целом, это самый адекватный вариант. и не нужно заново все переписывать, и нет дурацких проблем с suid

    но нытики на этом форуме будут продолжать ныть

     
     
  • 4.214, Аноним (228), 16:41, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > просто использовать существующие правила policykit

    Ага, просто использовать JS-движок для чтения десятков файлов конфигураций на JS, в которых привилегии направо и налево раздаются. Вместо очень сложного текстового файлика sudoers с системными функциями для разбора регулярок, в тех редких случаях, когда они вообще нужны.
    Надеюсь, я "просто" и "сложно" местами не перепутал, дорогой куратор из Redhat/IBM/NSA?

    > и нет дурацких проблем с suid

    Ну как же. pkexec как поставлялся с polkit'ом, с setuid-битом, так и осанется.
    Хотя, какие с sudo ещё проблемы? Если пользователя в sudoers или привилегированные группы не добавлять, то он и так не может повышать привилегии, даже с помощью sudo.


     
     
  • 5.223, errandrunner (?), 17:50, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, просто использовать JS-движок для чтения десятков файлов конфигураций на JS, в которых привилегии направо и налево раздаются.

    ну, как напишешь - так и будут раздаваться. поттеринг что-ли тебе их поставляет?
    тем более, что формат sudoers так и вовсе какая-то страшная эзотерика, там точно черт поймет кто какие пермишены получает

    > pkexec как поставлялся с polkit'ом, с setuid-битом, так и осанется.

    pkexec необязательная часть policykit

     
     
  • 6.227, Аноним (228), 18:26, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > поттеринг что-ли тебе их поставляет?

    В том числе. А так же его друзья, коллеги и руководители. Правила, так-то, с пакетами прилетают, аккурат из редхатовских реп собраные. Я-то разберусь, что с этим делать, конечно, но другие скушают не глядя, а потом сюрприз-сюрприз.

    > формат sudoers так и вовсе какая-то страшная эзотерика

    Ну как разобрался, такая и эзотерика. У меня всё в 'man 5 sudoers' понятно написано. Правила даже указаны на языке формальной грамматики, чтобы не только человек, но и коробка с гайками разобралась.

    > pkexec необязательная часть policykit

    Зато policykit теперь обязательная часть systemd. А тот обязательная часть.. А вместе они принадлежат..

     

  • 1.103, Lyrix (ok), 01:20, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Блин, да когда уже сделают "правый клик -> run as Admin"? :)
     
     
  • 2.143, BrainFucker (ok), 08:30, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так до Поттеринга это было. Помню даже когда устанавливался Krusader, одновременно в меню появлялись две иконки, одна дефолтная, другая красная, которая запускалачь от рута через kdesu. Но потом в современных линуксах что-то сломали и графические приложения перестали толком запускаться под рутом.
     
     
  • 3.196, Lyrix (ok), 14:12, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, kde-rootactions-servicemenu до сих пор есть, через polkit работает.
     

  • 1.105, Аноним (105), 01:22, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Нагородили в этих ваших линуксах столько, что теперь уже никогда не разгрести.
    А ведь говорил Танненбаум Торвальдсу, что тот фигней занимается.
     
     
  • 2.107, Аноним (109), 01:27, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поттерингу нужно было говорить. А Торвальдс, в своё время, таки показал Поттерингу палец, когда тот попытался впендюрить в ядро каку-то часть системды.
     
     
  • 3.136, FedoraUser (?), 05:36, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее часть нужного кода в ядро внедрили.
     
  • 3.157, Аноним (-), 09:47, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Торвальдс в последнее время может решать только "табы против пробелов"))
    Т.к понимает, что если наезжать на уважаемых платиновых спонсоров, то можешь увидеть форк только от корпов, где рулить будут совершенно другие люди.

    ps и кстати часть предложенных изменений в ядро таки приняли

     
     
  • 4.195, Аноним (192), 13:58, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Поправочка: Торвальдс мешает другим решать "табы против пробелов", а то один умник свое видение хотел пропихнуть поломав совместимость с остальным. Сам он выступил с нейтральной точки зрения. Все было в статье здесь же.
     
  • 2.166, Аноним (165), 10:37, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Эх... И где теперь Танненбаум?
     
     
  • 3.197, BrainFucker (ok), 14:16, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Эх... И где теперь Танненбаум?

    Там https://www.opennet.dev/opennews/art.shtml?num=47539#r_title

     
     
  • 4.238, Аноним (231), 22:55, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Было бы отлично, если бы Intel опубликовала свои изменения в MINIX, но он не будет держать зла, если имеются какие-то причины не делать этого.

    Эх, было бы. Но придётся попридержать бздла.

     

  • 1.106, RootKiiit (?), 01:23, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В процессе исполнения команд пользователя права рута могут потребоваться для некоторых из них. Только для этого.
     
  • 1.115, Аноним (115), 02:27, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Не-ве-рю".
    Вместо того чтобы предложить патч для судо предлагают навесить больше функционала к итак неподъемному systemd, в котором _тоже_ находят баги.
    Почему-то _исправленные_ баги в проверенном sudo это _прям_беда_ а новое непойми что с модным красным терминальчиком и завязкой на системд это якобы решение.
     
  • 1.116, Аноним (116), 02:48, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ssh root@localhost

    и никаких polkit'ов

     
  • 1.119, Аноним (119), 03:13, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NIH во всей красе)
     
  • 1.121, Аноним (120), 03:42, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    SystemG по-прежнему не комбайн, да?
     
     
  • 2.240, Аноним (240), 23:27, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно не комбайн. Это завод, изготавливающий комбайны - пожалуйста, не путайте.
     

  • 1.124, Аноним (-), 03:49, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В run0 вместо использования SUID осуществляется обращение к системному менеджеру
    > с запросом запуска командной оболочки или процесса с указанным идентификатором пользователя,

    Ну наконец кто-то сделал это не через джепу. Хотя за polkit конечно незачет, да...

     
  • 1.125, Аноним (125), 04:00, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    О, шикарно, можно свои костыли с systemd-run выкинуть. Обожаю systemd, удобнейший софт.
     
  • 1.139, Аноним (139), 07:31, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В run0 вместо использования SUID осуществляется обращение к системному менеджеру

    хаха, вспоминается работа системд, когда упал dbus.

     
  • 1.147, Легивон (?), 09:06, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Интересно будет ли эта тулза для безопасности линковаться с libsystemd (или еще каким-то монстром)?
     
  • 1.153, Аноним (153), 09:29, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    GNU/Linux => SystemD/Linux => SystemD
     
  • 1.156, Аноним (240), 09:44, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Читающим советую использовать doas - легче и проще, чем sudo.
     
     
  • 2.167, Аноним (165), 10:38, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А как оно работает?
    Как-то иначе?
     
     
  • 3.177, Аноним (240), 11:48, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он портирован в линуксы из bsd. конфиг проще, бинарник меньше, список зависимостей короче.
     
  • 2.168, Аноним (120), 10:42, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая штука, использую около года. Спустя какое-то время подумал, а зачем мне su, sudo и doas в системе? И удалил sudo... Столкнулся с проблемой при попытке монтирования контейнера veracrypt от своего пользователя. Как оказалось veracrypt привязан к sudo прям в исходниках. О проблеме знают, но решать не будут.

    Может и какой-другой софт тоже привязан к нему, не знаю.

     
     
  • 3.178, Аноним (240), 11:50, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А если симлинк на sudo привязать?
     
     
  • 4.185, Аноним (120), 12:27, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, вероятно, это сработало бы, если бы я не удалил sudo из системы. Зачем мне аж три способа для повышения прав? И это не сработает, если софт использует sudo с флагом, которого нет в doas.
     
     
  • 5.186, Аноним (120), 12:37, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нашел багрепорт на sourceforge. Тс говорит, что с симлинком не работает.
     
  • 5.219, Аноним (228), 17:05, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подсунь вместо sudo шелл-скрипт, где отрежь/подмени невалидные аргументы и вызови doas (или что там у тебя).
     
  • 2.181, Аноним (181), 12:01, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не все так просто будет с некоторым софтом типа veracrypt и т.д. Завязано на sudo и хоть ты тресни.
     

  • 1.183, zog (??), 12:25, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Постепенно systemd вытеснит собой все binutils.
     
     
  • 2.257, Аноним (-), 20:45, 01/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Постепенно systemd вытеснит собой все binutils.

    Вот прям - binutils? А это ему зачем? Он программы компилить и линковать собрался?!

     

  • 1.193, Аноним (193), 13:41, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь ждём systemd-unboring-wallpapers
     
     
  • 2.222, Аноним (120), 17:30, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Они моментально удаляют любые "просьбы" сделать что-то подобное как и просьбы убрать рученки от линукса.

    К большому сожалению там еще большие сектанты, чем противники системг.

     

  • 1.213, Аноним (213), 16:28, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Серьёзный проект. Глобальный и надёжный. Ждём с нетерпением новых фич!
     
  • 1.218, Аноним (228), 17:02, 30/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > в сложных SUID-программах

    Толи дело простецкий javascript-движок только для разбора правил в Polkit'е.

    > sudo, продолжают регулярно находить уязвимости, вызванные неаккуратным обращением с внешними данными

    Толи дело в Polkit, количество аргументов подсчитать правильно не могут:
    https://access.redhat.com/security/vulnerabilities/RHSB-2022-001#technical-sum

     
     
  • 2.229, FedoraUser (?), 19:11, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Толи дело простецкий javascript-движок только для разбора правил в Polkit'е

    Для actions используют xml и это можно принять, но для rules тянуть js engine полный бред. Никогда этого не понимал.

     
     
  • 3.236, разработчик (?), 22:12, 30/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    на чем умел, на том и написал! Зато у меня софтскиллы а тебе в rhbm не берут!

     
  • 2.270, fuggy (ok), 21:28, 02/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ведь в run0 не будет уязвимостей? Правда ведь?
     

  • 1.260, Аноним (260), 22:42, 01/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот как так?
    Есть вот у нас ИКсы, которые только ленивый не обосрал за их монструозное количество функционала, что аж ИКота начинается у особенно переживающих за безопасность. Главный и железный аргумент: 98% пользования идет по одной функции, остальное лишняя площадь для маневров атаки.

    Есть вот у нас систеМДЯ, которая обросла функционалом не менее ИКсов, аж ИКота пробирает от масштаба если понесет туда разбираться, При этом по первоначальной функции от нее требуется не то что там городят. Но тут эта площадь для маневров атак мало кого смщает.

    какойто Уиндов$ с платной RGBt-подсветкой сооружается...

     
  • 1.262, Аноним (262), 05:52, 02/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Читайте о systemd,dbus,polkitd+JS: https://www.linux.org.ru/forum/security/17549375?cid=17582833
     
  • 1.265, Пряник (?), 10:33, 02/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    неудобно, что отдельно это нельзя поставить, прибито гвоздями к версии systemd
     
  • 1.269, randomize (?), 20:57, 02/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пора уже systemd встроить в ядро, чего стесняться-то.

    Есть su, а все остальное - от лукавого.

     
     
  • 2.273, myster (ok), 13:05, 06/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > чего стесняться-то

    А вот это здравая мысль, так как мейнтейнеры Linux ядра здорово "почикают" разросшегося монстра и он будет выглядесть более опрятно. И даже такие дистрибутивы, как Gentoo и Artix перестанут считать systemd зашкваром. И может даже FreeBSD скопирует код для своих нужд

     

  • 1.276, benu (ok), 17:14, 24/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята из Astra Linux напряглись. PARSEC под угрозой?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру