[devel] q: current sudo default: was it all worth it?

Пн Май 21 18:20:27 MSD 2007

Hi,

On Mon, May 21, 2007 at 04:45:41PM +0300, Michael Shigorin wrote:
> Ещё вопрос к Диме, набодавшись с sudo и в итоге откатив 
> с 1.6.8p12-alt2 на 1.6.7p5-alt6.1 в процессе выяснения
> причины проблемы после dist-upgrade с сизифа примерно
> двухмесячной давности на 4.0-branch: что даёт 
> 
> - Enabled env_reset, requiretty and tty_tickets options by default.

requiretty в 1.6.8p12-alt2 снова работает так же как и в 1.6.7p5-alt6.1;
Я предположил, что requiretty работает лучше чем мой патч, но очень быстро
убедился, что это не так.

> помимо уже обсуждавшегося облома с использованием sudo 
> и графических программ?

Переход на env_reset, когда нужные переменные явно разрешены в sudoers,
решает класс проблем вида
CVE-2006-0151
CVE-2005-4158
CVE-2005-2959
CVE-2004-1051

> На сейчас поймали при таком раскладе (полукиоск): минимальный
> десктоп от одного пользователя висит на :0.0, при этом есть
> кнопка запуска браузера на :0.1 (отдельный монитор) от другого
> пользователя.
> 
> Помогло в сумме получасовое изучение sudoers(5) 
> и колупание с  visudo(8), приведшее к:
> 
> # Defaults specification
> Defaults !env_reset
> Defaults !requiretty
> Defaults !tty_tickets

Пожалуй, хватило бы
Defaults env_keep += "DISPLAY"

В FC так сделано по умолчанию, может и нам стоит это сделать.

> Наверное, для сервера произведённые изменения теоретически
> полезны, но вот на десктопе нас с таким дефолтным поведением
> закидают тухлыми болванками и будут правы.

Для меня закидывание не является аргументом.
Если вам нужен контраргумент, то покажите пальцем на FC.

> Настойчиво предлагаю такое:
> 
> - добавить в закомментированном виде эти три строчки
>   в /etc/sudoers в пакете;

!env_reset полезен только в одном случае: нужно запустить софтину
"прямо сейчас", при этом security is not my problem.
Во всех остальных случаях достаточно env_keep.

!requiretty не нужен, поскольку это значение по умолчанию.

Когда бывает нужен !tty_tickets, мне тоже не понятно.

> - проверить соответствие пакетного состояния кода и /etc/sudoers
>   описанию в sudoers(5) -- сейчас в манпейдже off by default, на
>   деле же эти три опции включены (что документировано только в
>   rpm changelog);

Там есть недоделка; исправление вносятся в исходный код документации,
которая не воссоздаётся в нужном объёме.

> - хорошо бы для десктопа этот дефолт сменить на вполне разумный,
>   каковой и положен апстримом.

Некоторые считают, что для десктопа разумным является
%wheel ALL = (root) NOPASSWD: ALL

Что из этого следует?
То, что представления о разумности порой сильно различаются.

-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20070521/2f6ffe34/attachment-0001.bin>