Bug 12449 - sudo не "видит" не локальные группы
: sudo не "видит" не локальные группы
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/sudo)
: unstable
: all Linux
: P3 major
Assigned To:
:
: https://bugzilla.redhat.com/bugzilla/...
:
:
: 27685
  Show dependency tree
 
Reported: 2007-08-02 15:23 by
Modified: 2017-08-07 00:24 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2007-08-02 15:23:48
Используется libnss-mysql. Упоминаний о пользователе boris нет ни в /etc/passwd
ни в /etc/group
/etc/nsswitch.conf:
passwd:     files mysql nisplus nis
shadow:     tcb mysql files nisplus nis
group:      files mysql nisplus nis

/etc/sudoers:
boris ALL=(root) NOPASSWD: /bin/su
%builder ALL=(root) NOPASSWD: /bin/mount

$ id boris
uid=611(boris) gid=100(users)
группы=71(floppy),80(cdwriter),100(users),500(builder)

$ sudo -l
(root) NOPASSWD: /bin/su

/bin/mount не показывает
------- Comment #1 From 2007-08-05 01:28:28 -------
Fixed in 1.6.8p12-alt4.
------- Comment #2 From 2008-02-15 18:45:56 -------
sudo-1.6.8p12-alt5

опять не работает
------- Comment #3 From 2009-01-20 19:18:02 -------
есть мнение, что оно вообще никогда не работало
------- Comment #4 From 2009-01-23 22:33:52 -------
Я собрал в свой git новый sudo-1.7.0:
http://git.altlinux.org/people/sin/packages/sudo.git

Проверил работу сетевых пользователей в Tartarus. На первый взгляд всё
работает...
------- Comment #5 From 2009-04-09 14:58:19 -------
Хотелось бы всё-таки, чтобы sudo нормально разрешал группы через NSS.
В чём проблема обновить sudo?
------- Comment #6 From 2009-05-12 00:45:27 -------
Я собрал в свой git новый sudo-1.7.1:
http://git.altlinux.org/people/sin/packages/sudo.git
------- Comment #7 From 2010-10-26 00:50:03 -------
По-прежнему не показывает запись sudo
%builder ALL=(root) NOPASSWD: /bin/mount 
, если группа не локальна.
sudo-1.6.8p12-alt7
------- Comment #8 From 2012-12-19 21:36:28 -------
(В ответ на комментарий №7)
Ветка 1.6 (а соответственно и сборка sudo-1.6.8p12-alt7 или
sudo-1.6.8p12-alt12) не могут работать с не локальными группами. Это
реализовано начиная с ветки 1.7.

Сегодня объединил последнюю сборку в сизифе в новой веткой 1.8 и сделал
1.8.6p6-alt1:
http://git.altlinux.org/people/sin/packages/sudo.git
http://git.altlinux.org/tasks/86414/

Там есть ещё что подумать включить:
1) модули:
--with-ldap
--with-selinux
--with-sssd

2) опция iologdir:
sudoreplay не отрабатывает, поскольку ничего не сохраняет, для этого есть
отдельный каталог: --with-iologdir
Я пока не понял почему он не отрабатывает и как вообще работает.

3) открытие новой PAM-сеcсии параметром -i:
--with-pam-login (требует отдельного /etc/pam.d/sudo-i)
------- Comment #9 From 2013-02-12 15:36:00 -------
1.8.6p6-alt1: http://git.altlinux.org/tasks/89838/
Прошлая была 1.8.6p3-alt1, я её по ошибка назвал 1.8.6p6-alt1.
------- Comment #10 From 2013-02-14 19:47:22 -------
2ldv@: прошу высказаться.
------- Comment #11 From 2013-04-04 01:46:09 -------
2ldv@: все еще жду реакции.
------- Comment #12 From 2015-07-30 19:28:14 -------
ping?
------- Comment #13 From 2015-07-31 01:41:39 -------
Полагаю, ответ где-то здесь:

$ rpm -qp --changelog
http://mirror.yandex.ru/fedora/linux/releases/22/Workstation/x86_64/os/Packages/s/sudo-1.8.12-1.fc22.x86_64.rpm
| grep CVE
- fixes CVE-2014-9680
- fixes CVE-2013-1775 and CVE-2013-1776
- fixed CVE-2012-2337
- added patch for CVE-2012-0809
- fixes CVE-2011-0008, CVE-2011-0010
$ rpm -q --changelog sudo-1.6.8p12-alt12 | grep CVE
- Backported upstream fix for CVE-2010-1163 (env_reset, ignore_dot and
- Backported upstream fix for CVE-2010-1646 (env_reset sudoers option
- Backported upstream fix for CVE-2010-0426 (a flaw in sudoedit could
------- Comment #14 From 2017-08-06 17:44:03 -------
Проверил на
sudo-1.8.20p2-alt1.S1.x86_64
как на группах, назначенных через rule, так и приходящих через sssd.
работает.
------- Comment #15 From 2017-08-07 00:24:10 -------
Закрываем.