41508 2021-12-05 18:04:43 +0300 В дистрибутиве по умолчанию не настроен sudo 2021-12-07 18:34:38 +0300 1 1 3 Distributions ALT Linux KDesktop Состав не указана x86_64 Linux CLOSED WONTFIX P5 normal --- 1 arbich nobody aen arbich asy august7147 ave4600 boyarsh cas greh ldv liannnix sem sin svn17 zerg qa-p7 oldest_to_newest 205727 0 10027 arbich 2021-12-05 18:04:43 +0300 Created attachment 10027 конфигурационный файл В дистрибутиве в файле sudoers закомментированы строки: # Defaults targetpw # Ask for the password of the target user # ALL ALL=(ALL) ALL # WARNING: only use this together with 'Defaults targetpw' Вследствие этого команда sudo не работоспособна, она не срабатывает ни на пароль пользователя root, ни на пароль пользователя, под которым выполнен вход в систему. Примечание: Файл переименован, так надо было. 205732 1 ave4600 2021-12-05 21:35:35 +0300 Повторю ту же позицию, которую высказывал на форуме по этому поводу. Безопасность и удобство - увы, но одновременно невозможно. Ради одномоментного личного удобства (лени настроить так, так лично себе удобно) жертвовать общей безопасностью по умолчанию нельзя. Если раскомментировать указанные строчки, то безопасность системы по умолчанию существенно понижается. И большинство пользователей после установки просто так и оставят, просто потому что об этом даже и не догадываются. А вот наоборот, тому, кому очень нужно именно такой небезопасный, но типа удобный вариант настройки sudo - тот должен это сделать сам и сознательно - прочитать комментарий и раскомментировать соответствующие строки, либо настроить как-то иначе под свои надобности. 205738 2 zerg 2021-12-06 10:12:31 +0300 А в чём состоит предложение? Изменить то, что закоментировано? Если да, на что? 205751 3 sin 2021-12-06 12:01:19 +0300 Для этой задачи существует control sudowheel: ryze ~ # control sudowheel help disabled: Disable sudo for wheel users enabled: Enable sudo for wheel users ryze ~ # control sudowheel summary sudo rule "ALL=(ALL) ALL" for wheel users Включение настройки. ryze ~ # control sudowheel enabled Думаю, что в нашей системе необходимы два механизма: 1) Модуль альтератора, который позволяет явно переключаться между документированными режимами безопасности; 2) Инструментарий позволяющий тиражировать выбор предпочитаемой модели безопасности на последующие экземпляры собственных установок. 205752 4 sin 2021-12-06 12:04:09 +0300 Мой более развёрнутый ответ из телеграма: Dmitry, [21.11.21 16:27] Подскажите, а в чем великий смысл раскоментирования wheel в sudoers?) Evgeny Sinelnikov, [21.11.21 20:38] [In reply to Dmitry] Это базовый "дефолт", связанный со встроенной политикой безопасности - не давать доступа обычным пользователям к suid'ным программам. И прежде всего, к бесконтрольному повышению привилегий. Я вижу тут следующие режимы: - стандартный. sudo не используется (можно вообще удалить). Для перехода в рута нужно: а) знать пароль рута, б) быть в группе wheel (иначе даже su - не запустить). Все инструменты, даже графические требуют пароль рута. Параллельно, существует dbus и политика по умолчанию, что все административные действия через PolicyKit допускаются только для пользователя в группе wheel. При этом уже запрашивается пароль пользователя. - традиционный, про который вы спрашиваете. sudo используется в самом расширенном виде - любые команды из-под рута. Плюс остаются все возможности стандартного режима. Хотя в этом режиме пароль рута уже не требуется. sudo запрашивает пароль пользователя и отрабатывает только для тех пользователей, которые входят в группу wheel. - дальше есть два направления в настройке режимов: + ужесточение ограничений; + расширение инструментальных средств, предоставляющих рутовые привилегии. Ужесточение ограничений приводит к тому, что не для всех задач оказывается достаточно одной лишь группы wheel. Это и правила selinux и других средств мандатного доступа, и закручивание гаек, в рамках доступа к различным традиционно суидным утилитам (ping, mtr, growisofs, и т.п.) по группам (например, xgrp для xorg-server или netadmin для ping и mtr, кроме того уже с ходу включены vmusers и vboxusers для kvm и virtualbox). Назначение групп, при этом, можно гибко задавать через модуль ролей (группы в группах - из пакета libnss-role), когда пользователю назначается не заданный список групп при установке или добавлении, а через группы users, powerusers, localadmins (соответствующий модуль alterator-roles сейчас находится в стадии отладки, модуль alterator-users при этом с ним интегрирован). Расширение инструментальных средств предоставляющих рутовые привилегии уже давно реализуется различными приложениями и гибко управляется через Dbus и PolicyKit. Например, для открытия файлового дескриптора устройства нет необходимости предоставлять пользователю непосредственный доступ через права на файл. Файл может быть открыт соответствующей службой и его файловый дескриптор может быть на основании группы или другого правила в PolicyKit передан непосредственно приложению. Именно так работает сейчас ALT Media Writer. Кроме того, под эти цели написана и запланирована с дальнейшему развитию служба alterator-dbus, позволяющая организовать dbus интроспекцию модулей альтератора и обеспечить доступ к существующим модулям через этот встроенный, высокурвневый IPC. Аналогично тому, как устроены systemctl, nmcli, hostnamectl и т.п. При достаточно развитом наборе расширенных инструментальных средств, предоставляющих доступ к рутовым привилегиям для отдельных задач, "sudo для всех команд из-под рута" выглядит всё больше дырой для разработчика, чем инструментом для обычного пользователя. Таким образом "великий смысл" специально включать традиционный режим для sudo состоит в том, чтобы сохранять направление развития, связанное с тем, чтобы исключить использование sudo, как механизма, для непривилегированного пользователя и включать его каждый раз только тогда, когда это требуется. К сожалению, темпы развития всего этого комплекса доработок происходят очень медленно. И, фактически, парольный sudo оказывается нужен для обычного пользователя для слишком широкого числа задач, чем это следует. 205754 5 sin 2021-12-06 12:11:00 +0300 Для реализации инструментария позволяющего тиражировать выбор предпочитаемой модели безопасности на последующие экземпляры собственных установок, я думаю, что должен быть выбор на этапе установки. Но для этого нужен модуль альтератора. 205755 6 aen 2021-12-06 12:21:21 +0300 (Ответ для Арбичев Игорь на комментарий #0) > Создано вложение 10027 [подробности] > конфигурационный файл > > В дистрибутиве в файле sudoers закомментированы строки: > # Defaults targetpw # Ask for the password of the target user > # ALL ALL=(ALL) ALL # WARNING: only use this together with 'Defaults > targetpw' > Вследствие этого команда sudo не работоспособна, она не срабатывает ни на > пароль пользователя root, ни на пароль пользователя, под которым выполнен > вход в систему. > Примечание: Файл переименован, так надо было. http://www.opennet.ru/openforum/vsluhforumID3/73378.html#18 205758 7 zerg 2021-12-06 12:28:55 +0300 (Ответ для Evgeny Sinelnikov на комментарий #3) > Для этой задачи существует control sudowheel: Может, стоит написать про это в коментариях /etc/sudoers ? Где-то рядом с "WARNING"? 205839 8 zerg 2021-12-07 18:05:09 +0300 В Workstation K менять умолчательные настройки sudo планов нет. 205843 9 asy 2021-12-07 18:34:38 +0300 (In reply to Арбичев Игорь from comment #0) > Вследствие этого команда sudo не работоспособна, она не срабатывает ни на > пароль пользователя root, ни на пароль пользователя, под которым выполнен > вход в систему. И это правильно: https://bugzilla.altlinux.org/show_bug.cgi?id=18344#c18 10027 2021-12-05 18:04:43 +0300 2021-12-05 18:04:43 +0300 конфигурационный файл sudoers-alt.txt text/plain 3552 arbich IyMgc3Vkb2VycyBmaWxlLgojIwojIyBUaGlzIGZpbGUgTVVTVCBiZSBlZGl0ZWQgd2l0aCB0aGUg J3Zpc3VkbycgY29tbWFuZCBhcyByb290LgojIyBGYWlsdXJlIHRvIHVzZSAndmlzdWRvJyBtYXkg cmVzdWx0IGluIHN5bnRheCBvciBmaWxlIHBlcm1pc3Npb24gZXJyb3JzCiMjIHRoYXQgcHJldmVu dCBzdWRvIGZyb20gcnVubmluZy4KIyMKIyMgU2VlIHRoZSBzdWRvZXJzIG1hbiBwYWdlIGZvciB0 aGUgZGV0YWlscyBvbiBob3cgdG8gd3JpdGUgYSBzdWRvZXJzIGZpbGUuCiMjCgojIwojIyBIb3N0 IGFsaWFzIHNwZWNpZmljYXRpb24KIyMKIyMgR3JvdXBzIG9mIG1hY2hpbmVzLiBUaGVzZSBtYXkg aW5jbHVkZSBob3N0IG5hbWVzIChvcHRpb25hbGx5IHdpdGggd2lsZGNhcmRzKSwKIyMgSVAgYWRk cmVzc2VzLCBuZXR3b3JrIG51bWJlcnMgb3IgbmV0Z3JvdXBzLgojIEhvc3RfQWxpYXMJV0VCU0VS VkVSUyA9IHd3dzEsIHd3dzIsIHd3dzMKCiMjCiMjIFVzZXIgYWxpYXMgc3BlY2lmaWNhdGlvbgoj IwojIyBHcm91cHMgb2YgdXNlcnMuICBUaGVzZSBtYXkgY29uc2lzdCBvZiB1c2VyIG5hbWVzLCB1 aWRzLCBVbml4IGdyb3VwcywKIyMgb3IgbmV0Z3JvdXBzLgojIFVzZXJfQWxpYXMJQURNSU5TID0g bWlsbGVydCwgZG93ZHksIG1pa2VmClVzZXJfQWxpYXMJV0hFRUxfVVNFUlMgPSAld2hlZWwKVXNl cl9BbGlhcwlYR1JQX1VTRVJTID0gJXhncnAKIyBVc2VyX0FsaWFzCVNVRE9fVVNFUlMgPSAlc3Vk bwoKIyMKIyMgQ21uZCBhbGlhcyBzcGVjaWZpY2F0aW9uCiMjCiMjIEdyb3VwcyBvZiBjb21tYW5k cy4gIE9mdGVuIHVzZWQgdG8gZ3JvdXAgcmVsYXRlZCBjb21tYW5kcyB0b2dldGhlci4KIyBDbW5k X0FsaWFzCVBST0NFU1NFUyA9IC91c3IvYmluL25pY2UsIC9iaW4va2lsbCwgL3Vzci9iaW4vcmVu aWNlLCBcCiMgCQkJICAgIC91c3IvYmluL3BraWxsLCAvdXNyL2Jpbi90b3AKIyBDbW5kX0FsaWFz CVJFQk9PVCA9IC9zYmluL2hhbHQsIC9zYmluL3JlYm9vdCwgL3NiaW4vcG93ZXJvZmYKCiMjCiMj IERlZmF1bHRzIHNwZWNpZmljYXRpb24KIyMKIyMgWW91IG1heSB3aXNoIHRvIGtlZXAgc29tZSBv ZiB0aGUgZm9sbG93aW5nIGVudmlyb25tZW50IHZhcmlhYmxlcwojIyB3aGVuIHJ1bm5pbmcgY29t bWFuZHMgdmlhIHN1ZG8uCiMjCiMjIExvY2FsZSBzZXR0aW5ncwojIERlZmF1bHRzIGVudl9rZWVw ICs9ICJMQU5HIExBTkdVQUdFIExJTkdVQVMgTENfKiBfWEtCX0NIQVJTRVQiCiMjCiMjIFJ1biBY IGFwcGxpY2F0aW9ucyB0aHJvdWdoIHN1ZG87IEhPTUUgaXMgdXNlZCB0byBmaW5kIHRoZQojIyAu WGF1dGhvcml0eSBmaWxlLiAgTm90ZSB0aGF0IG90aGVyIHByb2dyYW1zIHVzZSBIT01FIHRvIGZp bmQgICAKIyMgY29uZmlndXJhdGlvbiBmaWxlcyBhbmQgdGhpcyBtYXkgbGVhZCB0byBwcml2aWxl Z2UgZXNjYWxhdGlvbiEKIyBEZWZhdWx0cyBlbnZfa2VlcCArPSAiSE9NRSIKIyMKIyMgWDExIHJl c291cmNlIHBhdGggc2V0dGluZ3MKIyBEZWZhdWx0cyBlbnZfa2VlcCArPSAiWEFQUExSRVNESVIg WEZJTEVTRUFSQ0hQQVRIIFhVU0VSRklMRVNFQVJDSFBBVEgiCiMjCiMjIERlc2t0b3AgcGF0aCBz ZXR0aW5ncwojIERlZmF1bHRzIGVudl9rZWVwICs9ICJRVERJUiBLREVESVIiCiMjCiMjIEFsbG93 IHN1ZG8tcnVuIGNvbW1hbmRzIHRvIGluaGVyaXQgdGhlIGNhbGxlcnMnIENvbnNvbGVLaXQgc2Vz c2lvbgojIERlZmF1bHRzIGVudl9rZWVwICs9ICJYREdfU0VTU0lPTl9DT09LSUUiCiMjCiMjIFVu Y29tbWVudCB0byBlbmFibGUgc3BlY2lhbCBpbnB1dCBtZXRob2RzLiAgQ2FyZSBzaG91bGQgYmUg dGFrZW4gYXMKIyMgdGhpcyBtYXkgYWxsb3cgdXNlcnMgdG8gc3VidmVydCB0aGUgY29tbWFuZCBi ZWluZyBydW4gdmlhIHN1ZG8uCiMgRGVmYXVsdHMgZW52X2tlZXAgKz0gIlhNT0RJRklFUlMgR1RL X0lNX01PRFVMRSBRVF9JTV9NT0RVTEUgUVRfSU1fU1dJVENIRVIiCiMjCiMjIFVuY29tbWVudCB0 byB1c2UgYSBoYXJkLWNvZGVkIFBBVEggaW5zdGVhZCBvZiB0aGUgdXNlcidzIHRvIGZpbmQgY29t bWFuZHMKIyBEZWZhdWx0cyBzZWN1cmVfcGF0aD0iL3Vzci9sb2NhbC9zYmluOi91c3IvbG9jYWwv YmluOi91c3Ivc2JpbjovdXNyL2Jpbjovc2JpbjovYmluIgojIwojIyBVbmNvbW1lbnQgdG8gc2Vu ZCBtYWlsIGlmIHRoZSB1c2VyIGRvZXMgbm90IGVudGVyIHRoZSBjb3JyZWN0IHBhc3N3b3JkLgoj IERlZmF1bHRzIG1haWxfYmFkcGFzcwojIwojIyBVbmNvbW1lbnQgdG8gZW5hYmxlIGxvZ2dpbmcg b2YgYSBjb21tYW5kJ3Mgb3V0cHV0LCBleGNlcHQgZm9yCiMjIHN1ZG9yZXBsYXkgYW5kIHJlYm9v dC4gIFVzZSBzdWRvcmVwbGF5IHRvIHBsYXkgYmFjayBsb2dnZWQgc2Vzc2lvbnMuCiMgRGVmYXVs dHMgbG9nX291dHB1dAojIERlZmF1bHRzIS91c3IvYmluL3N1ZG9yZXBsYXkgIWxvZ19vdXRwdXQK IyBEZWZhdWx0cyEvdXNyL2xvY2FsL2Jpbi9zdWRvcmVwbGF5ICFsb2dfb3V0cHV0CiMgRGVmYXVs dHMhUkVCT09UICFsb2dfb3V0cHV0CgojIElmIGVudl9yZXNldCBpcyBkaXNhYmxlZCwgc3VkbyB3 aWxsIE5PVCByZXNldCB0aGUgZW52aXJvbm1lbnQKIyB0byBvbmx5IGNvbnRhaW4gdGhlIGZpeGVk IGxpc3Qgb2YgdmFyaWFibGVzLgojIFNlZSBzdWRvZXJzKDUpIGZvciBkZXRhaWxzLgojRGVmYXVs dHM6V0hFRUxfVVNFUlMgIWVudl9yZXNldAoKIyBQcmVzZXJ2ZSBESVNQTEFZIGFuZCBYQVVUSE9S SVRZIGVudmlyb25tZW50IHZhcmlhYmxlcwojIGZvciAieGdycCIgZ3JvdXAgbWVtYmVycy4KRGVm YXVsdHM6WEdSUF9VU0VSUyBlbnZfa2VlcCArPSAiRElTUExBWSBYQVVUSE9SSVRZIgoKIyMKIyMg UnVuYXMgYWxpYXMgc3BlY2lmaWNhdGlvbgojIwoKIyMKIyMgVXNlciBwcml2aWxlZ2Ugc3BlY2lm aWNhdGlvbgojIwojIHJvb3QgQUxMPShBTEwpIEFMTAoKIyMgVW5jb21tZW50IHRvIGFsbG93IG1l bWJlcnMgb2YgZ3JvdXAgd2hlZWwgdG8gZXhlY3V0ZSBhbnkgY29tbWFuZAojIFdIRUVMX1VTRVJT IEFMTD0oQUxMKSBBTEwKCiMjIFNhbWUgdGhpbmcgd2l0aG91dCBhIHBhc3N3b3JkCiMgV0hFRUxf VVNFUlMgQUxMPShBTEwpIE5PUEFTU1dEOiBBTEwKCiMjIFVuY29tbWVudCB0byBhbGxvdyBtZW1i ZXJzIG9mIGdyb3VwIHN1ZG8gdG8gZXhlY3V0ZSBhbnkgY29tbWFuZAojIFNVRE9fVVNFUlMJQUxM PShBTEwpIEFMTAoKIyMgVW5jb21tZW50IHRvIGFsbG93IGFueSB1c2VyIHRvIHJ1biBzdWRvIGlm IHRoZXkga25vdyB0aGUgcGFzc3dvcmQKIyMgb2YgdGhlIHVzZXIgdGhleSBhcmUgcnVubmluZyB0 aGUgY29tbWFuZCBhcyAocm9vdCBieSBkZWZhdWx0KS4KIyBEZWZhdWx0cyB0YXJnZXRwdyAgIyBB c2sgZm9yIHRoZSBwYXNzd29yZCBvZiB0aGUgdGFyZ2V0IHVzZXIKIyBBTEwgQUxMPShBTEwpIEFM TCAgIyBXQVJOSU5HOiBvbmx5IHVzZSB0aGlzIHRvZ2V0aGVyIHdpdGggJ0RlZmF1bHRzIHRhcmdl dHB3JwoKIyMgUmVhZCBkcm9wLWluIGZpbGVzIGZyb20gL2V0Yy9zdWRvZXJzLmQKQGluY2x1ZGVk aXIgL2V0Yy9zdWRvZXJzLmQK