[devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)

Пт Ноя 9 13:21:32 MSK 2018

пт, 9 нояб. 2018 г. в 13:18, Alexey V. Vissarionov <gremlin at altlinux.org>:
>
> On 2018-11-09 13:02:20 +0400, Sergey Afonin wrote:
>
>  >> В группу wheel добавляют конкретных пользователей. Так что
>  >> все пользователи конкретны. Какие ещё конкретные возражения
>  >> по этой конкретной настройке?
>  > Сейчас в группу wheel добавляют в принципе тех, кому можно
>  > позвать sudo (с control sudo wheelonly). А тут раз - и они
>  > получают все права.
>
> Права на запуск sudo (как и любого другого suid-бинарника) надо
> давать отдельной группе (в данном случае sudoers). А %wheel уже
> использовать в /etc/sudoers
>
> То, что у нас control-файл для sudo такой же, как для su - это
> само по себе ошибка.

Группа wheel не принадлежит программе su. Это более широкая группа.
Поэтому, если "сейчас в группу wheel добавляют в принципе тех, кого
можно позвать sudo", тем кто не хочет сразу "звать sudo", можно этот
пакет просто не устанавливать. Да и нет особого смысла давать wheel
без пароля рута. На самом деле, есть один разумный вариант - это
давать wheel для su в другого пользователя. Но это редкий случай. И
для умолчания он не подходит.

А речь идёт об умолчаниях. Я ещё раз это подчёркиваю. Я не понимаю
зачем давать wheel, как повод потом "позвать sudo"? Почему оно сразу
не должно работать? Для какого разумного варианта использования этот
промежуточный этап имеет смысл?

Чем включенный парольный sudo удобен - понятно (первое, что делаю я и
многие пользователи Альтов после установки системы - это лезут
настраивать sudo). А чем настроенный вариант объективно плох (помимо
личных предпочтений и традиции, которые тоже стоит учитывать, конечно)
есть внятные аргументы?

У меня есть. Пароль даже первого пользователя может быть не так строг,
как пароль рута. Но ssh для такого пользователя тоже будет работать. Я
бы тут предложил здесь включить ограничение на строгость пароля для
пользователя через ssh, при сохранении возможности заходить нестрогим
паролем локально.

____________________

В целом, я не понимаю содержания спора. Я откатил sudo, до
оригинального состояния с этой политикой. Планирую включить в
Альтератор возможность её включения. Зачем спорить по поводу её
необходимости по умолчанию, если задача не стоит в том, чтобы это
утвердить?

Мне тут очевидно только одно - желающих следовать исходному варианту в
рамках личных предпочтений и сложившейся традиции достаточно много. А
те, кому это неудобно, в [devel] не активны или, вообще, в нём
отсутствуют. Я получил в багзиле пока только один отзыв поддержку. В
рассылке положительных отзывов не было совсем.

Лично моё мнение тут такое - тех, кому такое умолчание для sudo было
бы удобно, достаточно много, но они почему-то об этом не
высказываются.

-- 
Sin (Sinelnikov Evgeny)