ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Изменить сборку sudo, добавив опцию --with-ldap | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Anton Shevtsov <shevtsov.anton> |
| Component: | sudo | Assignee: | Evgeny Sinelnikov <sin> |
| Status: | CLOSED WONTFIX | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | amakeenk, liannnix, shevtsov.anton, sin |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
|
Description
Anton Shevtsov
2023-12-01 10:05:59 MSK
Этот функционал изначально признан небезопасным и отключен. С этой опцией sudo тянет за собой шлейф сайд-эффектов, влияющих на исходное состояние возможных векторов атак. Один из основных вопросов: "Под какими учётными данными должен будет ходить в ldap sudo?" На текущий момент sudo уже собран с поддержкой sssd. Какой смысл включать устаревший функционал? Кажется неразумным увеличение точек отказа модулями, которые выполняют доступ к ldap через прибитый гвоздями пароль к ldap на каждом клиенте. А потом сверху городить механизм обновления этого пароля на всех узлах сети, которые получают таким образом правила sudo. |
