[devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)

Evgeny Sinelnikov sin на altlinux.org
Пт Ноя 9 10:52:43 MSK 2018


чт, 8 нояб. 2018 г., 18:25 Evgeny Sinelnikov sin at altlinux.org:

> чт, 8 нояб. 2018 г. в 16:56, Michael Shigorin <mike at altlinux.org>:
> >
> > On Thu, Nov 08, 2018 at 01:34:15PM +0300, Mikhail Efremov wrote:
> > > Мне всегда нравилось, что по умолчанию в пакетах у нас гайки по
> > > безопасности закручены максимально.
> >
> > Когда и впрямь максимально -- порой в итоге срывают с резьбой
> > (многие ли пользователи меняют свой пароль в соответствии с
> > пожеланиями ldv@ в виде дефолтов passwdqc? -- я так наблюдаю
> > применение повышенных привилегий для решения задачи смены
> > _пользовательского_ пароля)...
> >
> > > В конкретном дистрибутиве всегда можно что-то открутить,
> > > конечно. Но в пакете таких умолчаний быть не должно.
> >
> > +1
> >
> > "свобода, демократия и убунта" уже есть, достаточно.
>
> -1
>
> Если sudo настроенный не нужен, то лучше в дистрибутив его, вообще, не
> устанавливать. Но устанавливать его приходится из общих соображений о
> том, что пакет, в целом, нужен.
>
> От сюда и компромисс. Как с ним быть, по умолчанию? Свои соображения
> на этот счёт я изложил в соседней переписке:
> https://lists.altlinux.org/pipermail/devel/2018-November/205852.html
>
> Но проблему, я увидел. Есть рабочие сценарии, когда пользователям уже
> дали группу wheel из каких-то других соображений. А тут оказывается,
> что все они "теперь вдруг... имеют привилегии root'а по умолчанию",
> поскольку в системе имеется sudo, которым никто не пользуется.
>

На самом деле, этой проблемы тоже нет. Новые дефолтные настойки при
обновлении sudo не прилетают. См. ниже - не прилетали.

Так что это вопрос только подхода к администрированию. Не более.


> Можно было бы это обойти %post-скриптами. Но, кроме сложившихся
> умолчаний в установленных системах, есть сложившийся подход к
> администрированию, который опирается на эти умолчания. Это не вопрос
> безопасности. Это вопрос предзаданных политик под предполпгаемый, по
> умолчанию, подход к администрированию.
>
> Так что да, видимо, придётся откатить.
>

Откат дефолта ушел в Сизиф.
https://bugzilla.altlinux.org/show_bug.cgi?id=18344#c24
Политика control sudowheel осталась.


> PS: мне предзаданная политика sudo кажется неудобной. Судя по
> https://bugzilla.altlinux.org/show_bug.cgi?id=18344
> не мне одному.
>

Я предлагаю завершить этот вопрос так. Мы сделаем галочку в Альтераторе для
этой настройки и добавим её в инсталяторе. Я сам готов заняться этим
вопросом.

2lav: Кстати, в инсталяторе сейчас никто не спрашивает - будет ли первый
пользователь входить в группу wheel или нет. Это не имеет смысла лишать его
такой возможности. Иначе он не сможет сделать  su-. Но второй пароль рута
ему тоже нужен. Иначе  возможность запуска su- ему не поможет.

В итоге, возможности не давать ему группу wheel у нас не предусмотрено. Так
что это не "первый попавшийся пользователь".
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20181109/03eb8866/attachment.html>


Подробная информация о списке рассылки Devel