[devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)

Evgeny Sinelnikov sin на altlinux.org
Чт Ноя 8 16:01:46 MSK 2018


чт, 8 нояб. 2018 г. в 14:34, Mikhail Efremov <sem at altlinux.org>:
>
> On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:
> > 08.11.2018 12:41, Mikhail Efremov пишет:
> > > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:
> > >> #18344     sudo                    normal          FIXED
> > >> Использование sudo для группы wheel по умолчанию
> > > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?
> >
> > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > дистрибутивах.
>
> Свобода и демократия были как раз раньше. А теперь вдруг любой член
> группы wheel имеет привилегии root'а по умолчанию. Мне всегда
> нравилось, что по умолчанию в пакетах у нас гайки по безопасности
> закручены максимально. В конкретном дистрибутиве всегда можно что-то
> открутить, конечно. Но в пакете таких умолчаний быть не должно.

Это вопрос политики по умолчанию. В таком виде, как оно было, sudo
можно не устанавливать совсем. Но, если он установлен, то использовать
его будут в подавляющем большинстве случаев именно так, как он теперь
настроен.

Группа wheel, по умолчанию, у нас для пользователей не задаётся.
Сейчас любой пользователь группы wheel, по умолчанию, имеет право
запуска su. А теперь, да, если установлен sudo, имеет право не просто
запустить sudo, но рассчитывать на то, что для него доступен  и
настроен sudo.

Какие варианты использования возможны для группы wheel + sudo?
Мы добавили пользователя в группу wheel и нас установлен sudo:
1) Пользователь имеет право сделать su -, но должен знать пароль рута
(хотя бы для того, чтобы пойти и один раз настроить себе sudo). В
принципе, если он пароль рута не знает, то группа wheel ему нужна
только для того, чтобы сделать su - another_user, если знает пароль
другого пользователя.
2) Пользователь имеет право сделать sudo su -, зная только собственный пароль.

Для десктопа группа wheel у нас в альтераторе задаётся не как
привилегия, а как роль Администратор. Соответственно, парольный sudo
по умолчанию для группы wheel выглядит вполне адекватно. На сервере
можно либо, вообще, не устанавливать sudo, либо исходить из такой же
логики.

В целом, это вопрос политики. Но даже для сервера эта политика
выглядит более адекватно, чем прописывать ssh-ключ для пользователя
root. Если я создал пользователя и хочу выдать ему права
администратора на удалённом сервере, то я добавляю его в группу wheel,
и не думаю о том, чтобы каким-то образом вспомнить, найти и передать
ещё и пароль локального рута на этом узле. Если я не хочу давать права
администратора, то я не добавляю пользователя в группу wheel на
удалённом узле.

Я не особо много могу придумать вариантов использования, когда я явно
добавляю пользователя в группу wheel, но не собираюсь давать ему права
рута. Такие варианты использования, вообще, практикуются?


--
Sin (Sinelnikov Evgeny)


Подробная информация о списке рассылки Devel