Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Domyślnie użytkownik sudo posiada uprawnienia bliskie rootowi. Jeśli chodzi o mnie, domślnie pracuję na koncie sudo gdyż jest to niezbędne do obsługi zewnętrznych partycji.
Jak prawidłowo zminimalizować uprawnienia SUDO?
Offline
[url]http://dug.net.pl/tekst/63/przewodnik_po_sudo/h/sudo[/url]
Offline
Poza tym nie ma czegoś takiego jak użytkownik sudo, ani konto sudo.
Widocznie nie wiesz o czym w ogóle piszesz.
Offline
Zminimalizować uprawnienia sudo?
Kompletna bzdura, to program, która ma umożliwiać administrowanie systemem, z tego powodu musi mieć maksymalne uprawnienia.
Jak nie pasuje, możesz go odinstalować, albo wywalić siebie z grupy sudo, wheel, admin, czy jak tam masz skonfigurowane, i nie będziesz miał żadnego prawa do użycia sudo.
Jak koniecznie chcesz dozbroić sudo, to zainteresuj się ustawieniami PAM dla sudo, tam można używać np dodatkowego uwierzytelnienia przez pam_usb, pam_fingerprint, pam_bluetooth i chyba z 50 innych możliwości.
Offline
Do administrowania systemem jest ROOT a nie sudo. Domyślny użytkownik powinien mieć zawsze minimalne możliwe uprawnienia, niezbędne jedynie do sprawnego użytkowania systemu co nie = administrowaniu. Dotyczy to z resztą nie tylko linuxów ale też windowsów.
W moim przypadku to sprawne użytkowanie to obsługa wolumenów truecrypta oraz aplikacji yumi. Tam program pyta zawsze o haslo sudo, nawet jesli nie ma w tej grupie żadnego usera. Jesli otworzysz tc w trybie root, to kazdy plik przeniesiony do systemu jako root ma prawa własności root i z tego własnie powodu potrzebuje sudo. Nie chce by użytkownik sudo mógł wprowadzać jakiekolwiek zmiany administracyjne.
Offline
[quote=alfa444]Do administrowania systemem jest ROOT a nie sudo. Domyślny użytkownik powinien mieć zawsze minimalne możliwe uprawnienia, niezbędne jedynie do sprawnego użytkowania systemu co nie = administrowaniu. Dotyczy to z resztą nie tylko linuxów ale też windowsów.
W moim przypadku to sprawne użytkowanie to obsługa wolumenów truecrypta oraz aplikacji yumi. Tam program pyta zawsze o haslo sudo, nawet jesli nie ma w tej grupie żadnego usera. Jesli otworzysz tc w trybie root, to kazdy plik przeniesiony do systemu jako root ma prawa własności root i z tego własnie powodu potrzebuje sudo. Nie chce by użytkownik sudo mógł wprowadzać jakiekolwiek zmiany administracyjne.[/quote]
Kolego,
SUDO to nie użytkownik, to aplikacja, taka mała, ułatwiająca życie adminom aplikacja. SUDO = Super User DO. Dzięki niej możesz wykonywać polecenia w systemie jako inny użytkownik, nawet jako root. Jeśli chcesz sobie ograniczyć dostęp do poleceń z prawami roota, to w pliku /etc/sudoers otwieranym przez polecenie visudo (jako root) konfigurujesz listę poleceń, którą Twój user będzie mógł uruchomić z prawami roota, domyślnie własnemu userowi daje się takie oto prawa:
{user} ALL=(ALL:ALL) ALL
co daje możliwość uruchomienia dowolnej komendy jako root po wpisaniu hasła. Ja osobiście używam czegoś takiego:
ramsi ALL=(ALL:ALL) NOPASSWD:ALL
co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.
A zatem to co chcesz osiągnąć, to w swoim pliku /etc/sudoers dodać odpowiednie wpisy mówiące, że Twój user nie będzie mógł uruchamiać wszystkiego jak popadnie.
NIE MA USERA SUDO !!!!!!!!!
Offline
[quote=ramsi1986]Ja osobiście używam czegoś takiego:
ramsi ALL=(ALL:ALL) NOPASSWD:ALL
co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.[/quote]
IMHO kiepski pomysł.
Offline
[quote=yossarian][quote=ramsi1986]Ja osobiście używam czegoś takiego:
ramsi ALL=(ALL:ALL) NOPASSWD:ALL
co pozwala mi uruchamiać wszystkie polecenia bez podawania hasła.[/quote]
IMHO kiepski pomysł.[/quote]
Dlaczego? Pamiętaj, że sudo używasz dopiero jak już jesteś zalogowany do systemu, a nie z zewnątrz, więc autoryzację przechodzisz w momencie logowania do systemu. Oczywiście jeśli ktoś jest przeczulowny na punkcie security, to na pewno powyższy wpis mu się nie spodoba :P ale zakładając, że do mojego prywatnego lapka wjazdu z zewnątrz nie ma, to i ja nie mam się czym przejmować :)
Offline
[quote=ramsi1986]ale zakładając, że do mojego prywatnego lapka wjazdu z zewnątrz nie ma, to i ja nie mam się czym przejmować :)[/quote]
Zależy co masz na swoim kompie. Jakieś Skype, dropboksy, gierki na wine, flashe itd.
Offline
[quote=yossarian]Zależy co masz na swoim kompie. Jakieś Skype, dropboksy, gierki na wine, flashe itd.[/quote]
Najlepszym zabezpieczeniem komputera jest świadomy użytkownik :)
Offline
Tylko że pozostawienie takiego okna nie jest zbyt mądrym pomysłem. Takie coś zdecydowanie skróci ci czas na spenetrowanie systemu. Z resztą chwalenie się takim czymś może przyciągnąć gimbohakera.
Offline
ramsi1986 - może i ty jako człowiek przechodzisz ale wszystkie aplikację mają ten proces gdzieś. xD Taki się uruchomi i wykona "sudo coś tam" nie ma hasła i może sobie robić co mu się podoba, to gorzej niż na windows. :] Jeśli już chcesz sobie administrować systemem przez sudo to sobie wpisz "sudo su" i podaj hasło -- będziesz zalogowany do momentu wylogowania. Choć ja tam i tak wolę normalne "su -", a sudo używam tylko do okrajania uprawnień.
Offline
Jak ktoś nie lubi klepać hasła, to najlepiej sudo zapiąć do pam-usb.
Żaden bot ani haker przez internet mojego pendraka do portu nie wsadzi. xD
Proste i skuteczne.
http://forums.debian.net/viewtopic.php?f=16&t=110813
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-07-29 15:38:19)
Offline
A czy da się ustawić żeby truecrypt albo yumi przy montowaniu partycji nie wołał hasła dla sudo?
Offline
Próbowałem tak i pytał o hasło mimo to.
Czy zamiast tego, nie mogę dodać:
%sudo ALL=(root) NOPASSWD:/usr/bin/truecrypt
To działa. Czy jest to błąd/zagrożenie dla bezpieczeństwa?
Offline
[b]ALL[/b] w drugiej kolumnie oznacza wszystkie hosty na świecie, nie wiem, czy dokładnie o to chodziło. ;)
Zamiast [b]ALL[/b] daj tam lepiej taką nazwę hosta, jaką masz ustawioną w systemie (wyświetlaną komendą [b]hostname[/b]).
Offline
Większość ludzi w domu i tak ma jednego kompa za natem i z fw broniącym cnoty pc, także co za różnica? xD Poza tym, te regułkę skopiowałem skądś bo już nie używam tc. Ja sobie dorobiłem ten alias co tam kiedyś gdzieś wrzuciłeś, by rozróżniać które ALL jest od czego. xD I teraz mam linijki wyglądające tak:
... Host_Alias HOSTY = localhost,morfikownia ... morfik HOSTY = (root) NOPASSWD: /usr/sbin/pbuilder ...
Offline
Jak ustawić by zwykły użytkownik (nienależący do grupy sudo) mógł uruchomić program normalnie wymagający uprawnień sudo?
Ostatnio edytowany przez alfa444 (2014-10-18 21:46:41)
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00099 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.169.78' WHERE u.id=1 |
0.00081 | UPDATE punbb_online SET logged=1716776671 WHERE ident='3.145.169.78' |
0.00046 | SELECT * FROM punbb_online WHERE logged<1716776371 |
0.00056 | SELECT topic_id FROM punbb_posts WHERE id=272423 |
0.00315 | SELECT id FROM punbb_posts WHERE topic_id=26178 ORDER BY posted |
0.00067 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26178 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00105 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26178 ORDER BY p.id LIMIT 0,25 |
0.00095 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26178 |
Total query time: 0.00885 s |