Это не только принудительная зависимость, но и принудительное форсирование небезопасной настройки sudo.

zabbix-1:7.0.24-alt0.p11.1 -> p11:

Thu Mar 19 2026 Alexei Takaseev <taf@altlinux> 1:7.0.24-alt0.p11.1
- 7.0.24 (Fixes: CVE-2026-23925)
- Remove Requires: zabbix-agent-sudo in zabbix-agent and zabbix-agent2 (ALT #57478)

Т.е. функциональность zabbix-agent при этом не страдает, я правильно понял?
* Если так, то zabbix-agent-sudo _нужно_ вообще удалить с такой настройкой.
* Если функциональность нарушается, то баг остаётся. Лишь "принудительно" превращается в "добровольно-принудительно".

(Ответ для Sergey V Turchin на комментарий #3)
> Т.е. функциональность zabbix-agent при этом не страдает, я правильно понял?
> * Если так, то zabbix-agent-sudo _нужно_ вообще удалить с такой настройкой.
> * Если функциональность нарушается, то баг остаётся. Лишь "принудительно"
> превращается в "добровольно-принудительно".

Если релиз-менеджер решил что наличие этого пакета в дистрибутиве это небезопасно, это его решение, наличие же этой настройки на локальной машине это решение владельца этой системы.

Я задавал вопрос в comment#3 , чтобы разобраться, конкретно понять суть и выяснить, существует проблема вообще.

Вы не мой вопрос не ответили. Судя по вашему посту я пока вижу явную попытку сокрыть проблему в безопасности путём перекладывания на некомпетентного пользователя. Может, вы хотя бы поделитесь деталями, почему необходимо именно такое решение?

(Ответ для Sergey V Turchin на комментарий #5)
> Я задавал вопрос в comment#3 , чтобы разобраться, конкретно понять суть и
> выяснить, существует проблема вообще.
> 
> Вы не мой вопрос не ответили. Судя по вашему посту я пока вижу явную попытку
> сокрыть проблему в безопасности путём перекладывания на некомпетентного
> пользователя. Может, вы хотя бы поделитесь деталями, почему необходимо
> именно такое решение?

Подробности тут: https://www.zabbix.com/documentation/current/en/manual/config/notifications/action/operation/remote_command

 1 zabbix ALL = (root) NOPASSWD:  ALL

ну я понимаю что авторы zabbix так советуют, но конечно лучше хотя бы закомментировать такую строчку.

(Ответ для Anton Farygin на комментарий #7)
>  1 zabbix ALL = (root) NOPASSWD:  ALL
> 
> ну я понимаю что авторы zabbix так советуют, но конечно лучше хотя бы
> закомментировать такую строчку.

Зачем, если пакет теперь по зависимости не вытягивается.

(Ответ для Alexei Takaseev на комментарий #6)
> https://www.zabbix.com/documentation/current/en/manual/config/notifications/
> action/operation/remote_command
Там написано, что так делать нужно только если пользователю плевать на безопасность.
Там написано, как сделать более правильно. Почему у вас не сделано более правильно?
Насколько я понял, вы теперь перекладываете проблему на пользователя и из коробки что-то не будет работать?

(Ответ для Alexei Takaseev на комментарий #8)
> Зачем, если пакет теперь по зависимости не вытягивается.
В идеале нужно, чтобы такой гадости у нас ни в пакетах ни в документации не было вообще.

Задам конкретный вопрос: что из коробки теперь не будет работать без пакета zabbix-agent-sudo?

Не будут работать опрос пользовательских метрик, для получения которых требуется повышение привилегий до root'а (к примеру опрос SMART носителей), так же не будет работать в режиме агента active выполнение команд, которые требуют для себя привелегий рута (по ссылке пример с перезапуском сервера http)

(Ответ для Alexei Takaseev на комментарий #11)
> по ссылке пример с перезапуском сервера http
Именно там и написан специально пример, как совсем полное Г не делать.
Следовательно, zabbix-agent-sudo надо исправить, убрав оттуда
zabbix ALL = (root) NOPASSWD:  ALL
и вписав туда:
* одного пользователя, с правами которого работает zabbix-agent
* конкретные программы, а не всё подряд

(Ответ для Sergey V Turchin на комментарий #12)
> (Ответ для Alexei Takaseev на комментарий #11)
> > по ссылке пример с перезапуском сервера http
> Именно там и написан специально пример, как совсем полное Г не делать.
> Следовательно, zabbix-agent-sudo надо исправить, убрав оттуда
> zabbix ALL = (root) NOPASSWD:  ALL
> и вписав туда:
> * одного пользователя, с правами которого работает zabbix-agent
> * конкретные программы, а не всё подряд

Соответственно пользователь сделает все эти настройки самостоятельно, не ставя пакет. Пакет поставит тот, кому он нужен.

(Ответ для Alexei Takaseev на комментарий #13)
> Соответственно пользователь сделает все эти настройки самостоятельно, не
> ставя пакет. Пакет поставит тот, кому он нужен.
Такой пакет никому не нужен. Следовательно, его необходимо удалить из репозиториев.

За всех говорить и решать не нужно.

(Ответ для Alexei Takaseev на комментарий #15)
> За всех говорить и решать не нужно.
Вот и не решайте. Уберите эту настройку из пакета.

Пакет zabbix-agent входит в дистрибутивы на базе p11, следовательно, блокирует #46625 .
Или вы пытаетесь сокрыть проблему и от подписчиков #46625 ?

P.S.
При таком отношении я выкину этот пакет из Рабочей станции К. И переложу проблему при помощи вас на пользователя, т.к. придётся.

(Ответ для Sergey V Turchin на комментарий #16)
> (Ответ для Alexei Takaseev на комментарий #15)
> > За всех говорить и решать не нужно.
> Вот и не решайте. Уберите эту настройку из пакета.
> 
> Пакет zabbix-agent входит в дистрибутивы на базе p11, следовательно,
> блокирует #46625 .
> Или вы пытаетесь сокрыть проблему и от подписчиков #46625 ?
> 
> P.S.
> При таком отношении я выкину этот пакет из Рабочей станции К. И переложу
> проблему при помощи вас на пользователя, т.к. придётся.

Это ваше решение.

(Ответ для Alexei Takaseev на комментарий #17)
> Это ваше решение.
Да. Мусор включать в дистрибутив по возможности не хотелось бы.

(Ответ для Sergey V Turchin на комментарий #18)
> (Ответ для Alexei Takaseev на комментарий #17)
> > Это ваше решение.
> Да. Мусор включать в дистрибутив по возможности не хотелось бы.

Все верно, не подключенный к серверу агент это не более чем мусор. Когда же действительно есть необходимость в агенте, администратор сам примет решение о его установке без оглядки на желание левой пятки кого-либо.

(Ответ для Alexei Takaseev на комментарий #19)
> администратор сам примет решение
> о его установке без оглядки на желание левой пятки кого-либо.
А зачем вы в этой цепочке? Чтобы нагадить администратору?

В общем, я главную цель достиг -- показал отношение к проблеме. Всех проинформировал, дальше решайте сами.

Пакет всё ещё в дистрибутивах.