| Категории раздела |
 |
|
Автомобильные гаджеты, ремонт...
[143]
|
|
Безопасность IT
[404]
|
|
Блоки питания, Power Banks, зарядки...
[508]
|
|
Видеорегистраторы
[186]
|
|
Гаджеты для спорта и здоровья...
[190]
|
|
Гаджеты, аксессуары...
[627]
|
|
Измерительная техника, инструменты
[437]
|
|
Накопители данных
[232]
|
|
Нетбуки, Ноутбуки, Ультрабуки
[689]
|
|
Мультиварки, блендеры и не только...
[162]
|
|
Планшеты
[764]
|
|
Радар-детекторы
[26]
|
|
Роботы-пылесосы
[37]
|
|
Своими руками
[360]
|
|
Сети, сетевые технологии, оборудование...
[273]
|
|
Смартфоны
[4959]
|
|
Фотокамеры, объективы, искусство фотографии..
[541]
|
|
Умный дом
[50]
|
|
Электронные книги
[101]
|
|
CB, LPD, PMR- связь...
[170]
|
|
DECT, IP-телефоны
[18]
|
|
Drones, boats, cars...
[108]
|
|
electric cars
[35]
|
|
GPS-навигаторы, трекеры...
[51]
|
|
Linux и не только
[3981]
|
|
mini computers и не только...
[409]
|
|
News IT, Это интересно, ликбез...
[1120]
|
|
Smart TV, UltraHD, приставки, проекторы...
[415]
|
|
Smart Watch
[268]
|
|
Sound: наушники, плееры, усилители...
[618]
|
|
Windows 10...
[301]
|
|
Windows 11
[37]
|
|  |
 |
|
 | |  |
| Главная » 2014 » Январь » 20 » Зачем вам вводить пароль в sudo?
07:53 Зачем вам вводить пароль в sudo? |
Зачем вам вводить пароль в sudo?
Если
- Речь идёт о личном рабочем окружении.
- Вы недостаточно параноик, чтобы довести дело до конца:
- Все программы работают от вашего пользователя.
- /home монтируется без noexec. Хотя это почти не помогает и очень не
удобно в большинстве случаев, но если у вас так — у вас, как у неплохого
параноика, есть перспектива далеко зайти этим путём.
- Вы регулярно администрируете систему из-под своего пользователя (с помощью того же sudo).
Рабочее окружение
Рабочее окружение — это тот потенциальный источник заразы, который мы
хотим изолировать от остальной системы. Помимо защиты от
целенаправленного злодейства, понижение привилегий в нём (то что
называется «не работайте от root») спасает от жестоких ошибок и плохо
написанных программ, которых может не простить root.
Собственно, не спрашивающий пароля sudo не мешает защите от опечаток
(если, конечно, вы не имеете неприятного рефлекса сразу перепечатать эту
несработавшую конструкцию с sudo), софт также обычно не приучен
самостоятельно использовать sudo, так что единственное, от чего
«уточнение» пароля помогает — злостные вирусы и злоумышленники, ставящие
своей целью установить всю вашу систему на колени.
Ещё раз об изоляции
Изолировать пользовательский шелл (то место, где вы вводите sudo, а
потом в него свой пароль) от самого пользователя — места, где обитает
зараза, — задача нетривиальная и, более того, не самая простая в том
виде, в котором она поставлена. Гораздо более простой путь — это запуск
потенциально ненадёжных программ, таких как браузер, а для особо
параноиков — торрент клиента и даже офисного пакета — любых программ,
работающих с внешними данными — в отдельном окружении (под отдельным
пользователем и/или даже в chroot). Но большинство из читателей,
наверное, не интересовалось такими довольно затратными конструкциями.
Если идти трудным путёмМожно
отделить конфигурацию и запуск шелла от пользователя: выставить
запретительные права на .bashrc и на конфиг того приложения, из которого
вы запускаете bash и далее линейно рекурсивно до оконного менеджера
(невключительно).
Собственно, сложная, но неисчерпывающая система. Хотя, пожалуй, и оттолкнёт не очень настойчивого злоумышленника :)
А что, без изоляции нельзя?
Достаточно злоумышленнику написать в .bashrc alias на sudo и вы будете
слепо вводить свой ht7Qxfc8 чуть ли не прямо в irc некоторого
недружественного товарища, хотя о случаях автоматизированного
использования подобных средств я не слышал, но автоматизация такого
подхода имеет даже бо́льшие перспективы, чем попытки использования sudo
без пароля, так как она подойдёт под пользователя самого популярного дистрибутива.
Пора перестать вводить пароль
В общем, пора либо перейти на новый уровень паранойи (за рамками данной
статьи), либо перестать бояться рабочего окружения и согласиться с тем,
что получение привилегий в нём равносильно получению root привилегий в
системе. И поменять конфиг.
что поменятьгде-то в глубине конфига
Напомню, что sudo проверяет только лишь аутентичность исходного
пользователя, т.е., вне зависимости от наличия NOPASSWD:, пользователи
из спецификации имеют безусловное право на описываемое повышение
привилегий.
было
%wheel ALL=(ALL) ALL
стало
%wheel ALL=(ALL) NOPASSWD: ALL
%wheel — группа пользователей, которым даровано настоящее право.
Вид записи может сильно различаться, самое главное — место для NOPASSWD:
находится перед последним ALL на интересующей нас строке. (либо так,
либо вы и так скорее всего уже знаете, где оно находится :)
Также можно попробовать для редактирования этого конфига использовать рекомендуемый visudo, который, помимо прочего, подвергент написанное предварительной синтаксической проверке.
Важное исключение из правил
- У вас за спиной стоит человек, который хочет проверить вот этот скрипт на perl.
- Этот человек знает шутку про sudo make sandwich.
- Не смотря на предыдущие два пункта, вы покидаете рабочее место не оставляя лок-скрина.
http://habrahabr.ru/post/209540/
|
|
Категория: Linux и не только |
Просмотров: 548 |
Добавил: laptop
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 | |  |
|
Волк слабее льва и тигра, но в цирке волк не выступает!
Волк - единственный из зверей, который может пойти в бой на более сильного противника.
Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...
| Внимание! |
|
Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
| |
|
|
