[devel] q: current sudo default: was it all worth it?

Michael Shigorin mike на osdn.org.ua
Пн Май 21 17:45:41 MSD 2007 

	Здравствуйте.
Ещё вопрос к Диме, набодавшись с sudo и в итоге откатив 
с 1.6.8p12-alt2 на 1.6.7p5-alt6.1 в процессе выяснения
причины проблемы после dist-upgrade с сизифа примерно
двухмесячной давности на 4.0-branch: что даёт 

- Enabled env_reset, requiretty and tty_tickets options by default.

помимо уже обсуждавшегося облома с использованием sudo 
и графических программ?

На сейчас поймали при таком раскладе (полукиоск): минимальный
десктоп от одного пользователя висит на :0.0, при этом есть
кнопка запуска браузера на :0.1 (отдельный монитор) от другого
пользователя.

Помогло в сумме получасовое изучение sudoers(5) 
и колупание с  visudo(8), приведшее к:

# Defaults specification
Defaults !env_reset
Defaults !requiretty
Defaults !tty_tickets

Наверное, для сервера произведённые изменения теоретически
полезны, но вот на десктопе нас с таким дефолтным поведением
закидают тухлыми болванками и будут правы.

Настойчиво предлагаю такое:

- добавить в закомментированном виде эти три строчки
  в /etc/sudoers в пакете;

- добавить приложенный control facility (меня он не устраивает
  тем, что при отсутствии трогаемых строчек статус останется
  unknown вместо явной фиксации дефолтов, но сейчас не соображу,
  как это сделать);

- проверить соответствие пакетного состояния кода и /etc/sudoers
  описанию в sudoers(5) -- сейчас в манпейдже off by default, на
  деле же эти три опции включены (что документировано только в
  rpm changelog);

- хорошо бы для десктопа этот дефолт сменить на вполне разумный,
  каковой и положен апстримом.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следущая часть -----------
#!/bin/sh

. /etc/control.d/functions

CONFIG=/etc/sudoers

new_summary "sudoers defaults"

new_subst server \
        '^(#+Defaults !|Defaults )(env_reset|requiretty|tty_tickets)$' \
        's,^#*Defaults \!\?\(\(env_reset\|requiretty\|tty_tickets\)\)$,Defaults \1,'
new_subst desktop \
        '^(Defaults !|#Defaults )(env_reset|requiretty|tty_tickets)$' \
        's,^#*Defaults \!\?\(\(env_reset\|requiretty\|tty_tickets\)\)$,Defaults !\1,'

new_help server  "Strict sudoers defaults"
new_help desktop "Relaxed sudoers defaults"

control_subst "$CONFIG" "$*"
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.org/pipermail/devel/attachments/20070521/ebe41021/attachment.bin

Подробная информация о списке рассылки Devel