[devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)

[Evgeny Sinelnikov]

чт, 8 нояб. 2018 г. в 16:56, Michael Shigorin <mike at altlinux.org>:
>
> On Thu, Nov 08, 2018 at 01:34:15PM +0300, Mikhail Efremov wrote:
> > Мне всегда нравилось, что по умолчанию в пакетах у нас гайки по
> > безопасности закручены максимально.
>
> Когда и впрямь максимально -- порой в итоге срывают с резьбой
> (многие ли пользователи меняют свой пароль в соответствии с
> пожеланиями ldv@ в виде дефолтов passwdqc? -- я так наблюдаю
> применение повышенных привилегий для решения задачи смены
> _пользовательского_ пароля)...
>
> > В конкретном дистрибутиве всегда можно что-то открутить,
> > конечно. Но в пакете таких умолчаний быть не должно.
>
> +1
>
> "свобода, демократия и убунта" уже есть, достаточно.

-1

Если sudo настроенный не нужен, то лучше в дистрибутив его, вообще, не
устанавливать. Но устанавливать его приходится из общих соображений о
том, что пакет, в целом, нужен.

От сюда и компромисс. Как с ним быть, по умолчанию? Свои соображения
на этот счёт я изложил в соседней переписке:
https://lists.altlinux.org/pipermail/devel/2018-November/205852.html

Но проблему, я увидел. Есть рабочие сценарии, когда пользователям уже
дали группу wheel из каких-то других соображений. А тут оказывается,
что все они "теперь вдруг... имеют привилегии root'а по умолчанию",
поскольку в системе имеется sudo, которым никто не пользуется.

Можно было бы это обойти %post-скриптами. Но, кроме сложившихся
умолчаний в установленных системах, есть сложившийся подход к
администрированию, который опирается на эти умолчания. Это не вопрос
безопасности. Это вопрос предзаданных политик под предполпгаемый, по
умолчанию, подход к администрированию.

Так что да, видимо, придётся откатить.

PS: мне предзаданная политика sudo кажется неудобной. Судя по
https://bugzilla.altlinux.org/show_bug.cgi?id=18344
не мне одному.

--
Sin (Sinelnikov Evgeny)