12449 2007-08-02 15:23:48 +0400 sudo не "видит" не локальные группы 2017-08-07 00:24:10 +0300 1 1 4 Development Sisyphus sudo unstable all Linux CLOSED FIXED https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=235915 P3 major --- 27685 1 boris sin aen boris evg iv lav mike rlz sin vitty qa-sisyphus oldest_to_newest 53507 0 boris 2007-08-02 15:23:48 +0400 Используется libnss-mysql. Упоминаний о пользователе boris нет ни в /etc/passwd ни в /etc/group /etc/nsswitch.conf: passwd: files mysql nisplus nis shadow: tcb mysql files nisplus nis group: files mysql nisplus nis /etc/sudoers: boris ALL=(root) NOPASSWD: /bin/su %builder ALL=(root) NOPASSWD: /bin/mount $ id boris uid=611(boris) gid=100(users) группы=71(floppy),80(cdwriter),100(users),500(builder) $ sudo -l (root) NOPASSWD: /bin/su /bin/mount не показывает 53630 1 ldv 2007-08-05 01:28:28 +0400 Fixed in 1.6.8p12-alt4. 63419 2 boris 2008-02-15 18:45:56 +0300 sudo-1.6.8p12-alt5 опять не работает 84652 3 boris 2009-01-20 19:18:02 +0300 есть мнение, что оно вообще никогда не работало 84857 4 sin 2009-01-23 22:33:52 +0300 Я собрал в свой git новый sudo-1.7.0: http://git.altlinux.org/people/sin/packages/sudo.git Проверил работу сетевых пользователей в Tartarus. На первый взгляд всё работает... 89018 5 sin 2009-04-09 14:58:19 +0400 Хотелось бы всё-таки, чтобы sudo нормально разрешал группы через NSS. В чём проблема обновить sudo? 91073 6 sin 2009-05-12 00:45:27 +0400 Я собрал в свой git новый sudo-1.7.1: http://git.altlinux.org/people/sin/packages/sudo.git 114275 7 lav 2010-10-26 00:50:03 +0400 По-прежнему не показывает запись sudo %builder ALL=(root) NOPASSWD: /bin/mount , если группа не локальна. sudo-1.6.8p12-alt7 136160 8 sin 2012-12-19 21:36:28 +0400 (В ответ на комментарий №7) Ветка 1.6 (а соответственно и сборка sudo-1.6.8p12-alt7 или sudo-1.6.8p12-alt12) не могут работать с не локальными группами. Это реализовано начиная с ветки 1.7. Сегодня объединил последнюю сборку в сизифе в новой веткой 1.8 и сделал 1.8.6p6-alt1: http://git.altlinux.org/people/sin/packages/sudo.git http://git.altlinux.org/tasks/86414/ Там есть ещё что подумать включить: 1) модули: --with-ldap --with-selinux --with-sssd 2) опция iologdir: sudoreplay не отрабатывает, поскольку ничего не сохраняет, для этого есть отдельный каталог: --with-iologdir Я пока не понял почему он не отрабатывает и как вообще работает. 3) открытие новой PAM-сеcсии параметром -i: --with-pam-login (требует отдельного /etc/pam.d/sudo-i) 137797 9 sin 2013-02-12 15:36:00 +0400 1.8.6p6-alt1: http://git.altlinux.org/tasks/89838/ Прошлая была 1.8.6p3-alt1, я её по ошибка назвал 1.8.6p6-alt1. 137914 10 aen 2013-02-14 19:47:22 +0400 2ldv@: прошу высказаться. 139312 11 aen 2013-04-04 01:46:09 +0400 2ldv@: все еще жду реакции. 152294 12 evg 2015-07-30 19:28:14 +0300 ping? 152295 13 mike 2015-07-31 01:41:39 +0300 Полагаю, ответ где-то здесь: $ rpm -qp --changelog http://mirror.yandex.ru/fedora/linux/releases/22/Workstation/x86_64/os/Packages/s/sudo-1.8.12-1.fc22.x86_64.rpm | grep CVE - fixes CVE-2014-9680 - fixes CVE-2013-1775 and CVE-2013-1776 - fixed CVE-2012-2337 - added patch for CVE-2012-0809 - fixes CVE-2011-0008, CVE-2011-0010 $ rpm -q --changelog sudo-1.6.8p12-alt12 | grep CVE - Backported upstream fix for CVE-2010-1163 (env_reset, ignore_dot and - Backported upstream fix for CVE-2010-1646 (env_reset sudoers option - Backported upstream fix for CVE-2010-0426 (a flaw in sudoedit could 165071 14 lav 2017-08-06 17:44:03 +0300 Проверил на sudo-1.8.20p2-alt1.S1.x86_64 как на группах, назначенных через rule, так и приходящих через sssd. работает. 165099 15 lav 2017-08-07 00:24:10 +0300 Закрываем.