<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">чт, 8 нояб. 2018 г., 18:25 Evgeny Sinelnikov <a href="mailto:sin@altlinux.org">sin@altlinux.org</a>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">чт, 8 нояб. 2018 г. в 16:56, Michael Shigorin <<a href="mailto:mike@altlinux.org" target="_blank" rel="noreferrer">mike@altlinux.org</a>>:<br>
><br>
> On Thu, Nov 08, 2018 at 01:34:15PM +0300, Mikhail Efremov wrote:<br>
> > Мне всегда нравилось, что по умолчанию в пакетах у нас гайки по<br>
> > безопасности закручены максимально.<br>
><br>
> Когда и впрямь максимально -- порой в итоге срывают с резьбой<br>
> (многие ли пользователи меняют свой пароль в соответствии с<br>
> пожеланиями ldv@ в виде дефолтов passwdqc? -- я так наблюдаю<br>
> применение повышенных привилегий для решения задачи смены<br>
> _пользовательского_ пароля)...<br>
><br>
> > В конкретном дистрибутиве всегда можно что-то открутить,<br>
> > конечно. Но в пакете таких умолчаний быть не должно.<br>
><br>
> +1<br>
><br>
> "свобода, демократия и убунта" уже есть, достаточно.<br>
<br>
-1<br>
<br>
Если sudo настроенный не нужен, то лучше в дистрибутив его, вообще, не<br>
устанавливать. Но устанавливать его приходится из общих соображений о<br>
том, что пакет, в целом, нужен.<br>
<br>
От сюда и компромисс. Как с ним быть, по умолчанию? Свои соображения<br>
на этот счёт я изложил в соседней переписке:<br>
<a href="https://lists.altlinux.org/pipermail/devel/2018-November/205852.html" rel="noreferrer noreferrer" target="_blank">https://lists.altlinux.org/pipermail/devel/2018-November/205852.html</a><br>
<br>
Но проблему, я увидел. Есть рабочие сценарии, когда пользователям уже<br>
дали группу wheel из каких-то других соображений. А тут оказывается,<br>
что все они "теперь вдруг... имеют привилегии root'а по умолчанию",<br>
поскольку в системе имеется sudo, которым никто не пользуется.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">На самом деле, этой проблемы тоже нет. Новые дефолтные настойки при обновлении sudo не прилетают. См. ниже - не прилетали.</div><div dir="auto"><br></div><div dir="auto">Так что это вопрос только подхода к администрированию. Не более.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Можно было бы это обойти %post-скриптами. Но, кроме сложившихся<br>
умолчаний в установленных системах, есть сложившийся подход к<br>
администрированию, который опирается на эти умолчания. Это не вопрос<br>
безопасности. Это вопрос предзаданных политик под предполпгаемый, по<br>
умолчанию, подход к администрированию.<br>
<br>
Так что да, видимо, придётся откатить.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Откат дефолта ушел в Сизиф. </div><div dir="auto"><a href="https://bugzilla.altlinux.org/show_bug.cgi?id=18344#c24">https://bugzilla.altlinux.org/show_bug.cgi?id=18344#c24</a><br></div><div dir="auto">Политика control sudowheel осталась.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
PS: мне предзаданная политика sudo кажется неудобной. Судя по<br>
<a href="https://bugzilla.altlinux.org/show_bug.cgi?id=18344" rel="noreferrer noreferrer" target="_blank">https://bugzilla.altlinux.org/show_bug.cgi?id=18344</a><br>
не мне одному.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Я предлагаю завершить этот вопрос так. Мы сделаем галочку в Альтераторе для этой настройки и добавим её в инсталяторе. Я сам готов заняться этим вопросом.</div><div dir="auto"><br></div><div dir="auto">2lav: Кстати, в инсталяторе сейчас никто не спрашивает - будет ли первый пользователь входить в группу wheel или нет. Это не имеет смысла лишать его такой возможности. Иначе он не сможет сделать su-. Но второй пароль рута ему тоже нужен. Иначе возможность запуска su- ему не поможет.</div><div dir="auto"><br></div><div dir="auto">В итоге, возможности не давать ему группу wheel у нас не предусмотрено. Так что это не "первый попавшийся пользователь".<br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>