[devel] q: current sudo default: was it all worth it?
Dmitry V. Levin
ldv на altlinux.org
Пн Май 21 18:20:27 MSD 2007
Hi,
On Mon, May 21, 2007 at 04:45:41PM +0300, Michael Shigorin wrote:
> Ещё вопрос к Диме, набодавшись с sudo и в итоге откатив
> с 1.6.8p12-alt2 на 1.6.7p5-alt6.1 в процессе выяснения
> причины проблемы после dist-upgrade с сизифа примерно
> двухмесячной давности на 4.0-branch: что даёт
>
> - Enabled env_reset, requiretty and tty_tickets options by default.
requiretty в 1.6.8p12-alt2 снова работает так же как и в 1.6.7p5-alt6.1;
Я предположил, что requiretty работает лучше чем мой патч, но очень быстро
убедился, что это не так.
> помимо уже обсуждавшегося облома с использованием sudo
> и графических программ?
Переход на env_reset, когда нужные переменные явно разрешены в sudoers,
решает класс проблем вида
CVE-2006-0151
CVE-2005-4158
CVE-2005-2959
CVE-2004-1051
> На сейчас поймали при таком раскладе (полукиоск): минимальный
> десктоп от одного пользователя висит на :0.0, при этом есть
> кнопка запуска браузера на :0.1 (отдельный монитор) от другого
> пользователя.
>
> Помогло в сумме получасовое изучение sudoers(5)
> и колупание с visudo(8), приведшее к:
>
> # Defaults specification
> Defaults !env_reset
> Defaults !requiretty
> Defaults !tty_tickets
Пожалуй, хватило бы
Defaults env_keep += "DISPLAY"
В FC так сделано по умолчанию, может и нам стоит это сделать.
> Наверное, для сервера произведённые изменения теоретически
> полезны, но вот на десктопе нас с таким дефолтным поведением
> закидают тухлыми болванками и будут правы.
Для меня закидывание не является аргументом.
Если вам нужен контраргумент, то покажите пальцем на FC.
> Настойчиво предлагаю такое:
>
> - добавить в закомментированном виде эти три строчки
> в /etc/sudoers в пакете;
!env_reset полезен только в одном случае: нужно запустить софтину
"прямо сейчас", при этом security is not my problem.
Во всех остальных случаях достаточно env_keep.
!requiretty не нужен, поскольку это значение по умолчанию.
Когда бывает нужен !tty_tickets, мне тоже не понятно.
> - проверить соответствие пакетного состояния кода и /etc/sudoers
> описанию в sudoers(5) -- сейчас в манпейдже off by default, на
> деле же эти три опции включены (что документировано только в
> rpm changelog);
Там есть недоделка; исправление вносятся в исходный код документации,
которая не воссоздаётся в нужном объёме.
> - хорошо бы для десктопа этот дефолт сменить на вполне разумный,
> каковой и положен апстримом.
Некоторые считают, что для десктопа разумным является
%wheel ALL = (root) NOPASSWD: ALL
Что из этого следует?
То, что представления о разумности порой сильно различаются.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 189 байтов
Описание: отсутствует
Url : http://lists.altlinux.org/pipermail/devel/attachments/20070521/2f6ffe34/attachment.bin
Подробная информация о списке рассылки Devel