[devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)

Mikhail Efremov sem на altlinux.org
Пт Ноя 9 11:05:44 MSK 2018 

On Thu, 8 Nov 2018 17:01:46 +0400 Evgeny Sinelnikov wrote:
> чт, 8 нояб. 2018 г. в 14:34, Mikhail Efremov <sem на altlinux.org>:
> >
> > On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:  
> > > 08.11.2018 12:41, Mikhail Efremov пишет:  
> > > > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:  
> > > >> #18344     sudo                    normal          FIXED
> > > >> Использование sudo для группы wheel по умолчанию  
> > > > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в
> > > > Убунту?  
> > >
> > > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > > дистрибутивах.  
> >
> > Свобода и демократия были как раз раньше. А теперь вдруг любой член
> > группы wheel имеет привилегии root'а по умолчанию. Мне всегда
> > нравилось, что по умолчанию в пакетах у нас гайки по безопасности
> > закручены максимально. В конкретном дистрибутиве всегда можно что-то
> > открутить, конечно. Но в пакете таких умолчаний быть не должно.  
> 
> Это вопрос политики по умолчанию. В таком виде, как оно было, sudo
> можно не устанавливать совсем. Но, если он установлен, то использовать
> его будут в подавляющем большинстве случаев именно так, как он теперь
> настроен.

По умолчанию sudo прекрасно используется по прямому назначению, т.е.
для понижения привилегий.

> Группа wheel, по умолчанию, у нас для пользователей не задаётся.
> Сейчас любой пользователь группы wheel, по умолчанию, имеет право
> запуска su. А теперь, да, если установлен sudo, имеет право не просто
> запустить sudo, но рассчитывать на то, что для него доступен  и
> настроен sudo.

Если очень хочется использовать sudo противоестественным образом, т.е.
для повышения привилегий, то "пользователю можно все" это не
настроенный sudo, это он сломанный. Sudoers можно настроить гораздо
более тонко и делается это конкретным админом для конкретной ситуации, я
не представляю как можно настроить sudo на повышение привилегий в общем
случае.
Есть очень старое письмо Solar'а про su и sudo, кстати:
https://www.openwall.com/lists/owl-users/2004/10/20/6

-- 
WBR, Mikhail Efremov

Подробная информация о списке рассылки Devel