IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [144]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [512]
    Видеорегистраторы [188]
    Гаджеты для спорта и здоровья... [191]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [446]
    Накопители данных [233]
    Нетбуки, Ноутбуки, Ультрабуки [691]
    Мультиварки, блендеры и не только... [164]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [40]
    Своими руками [366]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4963]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [53]
    Электронные книги [102]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [109]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3983]
    mini computers и не только... [412]
    News IT, Это интересно, ликбез... [1121]
    Smart TV, UltraHD, приставки, проекторы... [416]
    Smart Watch [269]
    Sound: наушники, плееры, усилители... [619]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 122
    Гостей: 122
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2014 » Январь » 20 » Зачем вам вводить пароль в sudo?
    07:53
    Зачем вам вводить пароль в sudo?

    Зачем вам вводить пароль в sudo?

    Если


    • Речь идёт о личном рабочем окружении. 
    • Вы недостаточно параноик, чтобы довести дело до конца:
      • Все программы работают от вашего пользователя. 
      • /home монтируется без noexec. Хотя это почти не помогает и очень не удобно в большинстве случаев, но если у вас так — у вас, как у неплохого параноика, есть перспектива далеко зайти этим путём.
    • Вы регулярно администрируете систему из-под своего пользователя (с помощью того же sudo). 

    Рабочее окружение

    Рабочее окружение — это тот потенциальный источник заразы, который мы хотим изолировать от остальной системы. Помимо защиты от целенаправленного злодейства, понижение привилегий в нём (то что называется «не работайте от root») спасает от жестоких ошибок и плохо написанных программ, которых может не простить root.

    Собственно, не спрашивающий пароля sudo не мешает защите от опечаток (если, конечно, вы не имеете неприятного рефлекса сразу перепечатать эту несработавшую конструкцию с sudo), софт также обычно не приучен самостоятельно использовать sudo, так что единственное, от чего «уточнение» пароля помогает — злостные вирусы и злоумышленники, ставящие своей целью установить всю вашу систему на колени.

    Ещё раз об изоляции

    Изолировать пользовательский шелл (то место, где вы вводите sudo, а потом в него свой пароль) от самого пользователя — места, где обитает зараза, — задача нетривиальная и, более того, не самая простая в том виде, в котором она поставлена. Гораздо более простой путь — это запуск потенциально ненадёжных программ, таких как браузер, а для особо параноиков — торрент клиента и даже офисного пакета — любых программ, работающих с внешними данными — в отдельном окружении (под отдельным пользователем и/или даже в chroot). Но большинство из читателей, наверное, не интересовалось такими довольно затратными конструкциями.

    Если идти трудным путём
    Можно отделить конфигурацию и запуск шелла от пользователя: выставить запретительные права на .bashrc и на конфиг того приложения, из которого вы запускаете bash и далее линейно рекурсивно до оконного менеджера (невключительно).

    Собственно, сложная, но неисчерпывающая система. Хотя, пожалуй, и оттолкнёт не очень настойчивого злоумышленника :)

    А что, без изоляции нельзя?

    Достаточно злоумышленнику написать в .bashrc alias на sudo и вы будете слепо вводить свой ht7Qxfc8 чуть ли не прямо в irc некоторого недружественного товарища, хотя о случаях автоматизированного использования подобных средств я не слышал, но автоматизация такого подхода имеет даже бо́льшие перспективы, чем попытки использования sudo без пароля, так как она подойдёт под пользователя самого популярного дистрибутива.

    Пора перестать вводить пароль


    В общем, пора либо перейти на новый уровень паранойи (за рамками данной статьи), либо перестать бояться рабочего окружения и согласиться с тем, что получение привилегий в нём равносильно получению root привилегий в системе. И поменять конфиг.
    что поменять
    где-то в глубине конфига

    Напомню, что sudo проверяет только лишь аутентичность исходного пользователя, т.е., вне зависимости от наличия NOPASSWD:, пользователи из спецификации имеют безусловное право на описываемое повышение привилегий.

    было
    %wheel ALL=(ALL) ALL

    стало
    %wheel ALL=(ALL) NOPASSWD: ALL

    %wheel — группа пользователей, которым даровано настоящее право.

    Вид записи может сильно различаться, самое главное — место для NOPASSWD: находится перед последним ALL на интересующей нас строке. (либо так, либо вы и так скорее всего уже знаете, где оно находится :)

    Также можно попробовать для редактирования этого конфига использовать рекомендуемый visudo, который, помимо прочего, подвергент написанное предварительной синтаксической проверке.

    Важное исключение из правил


    • У вас за спиной стоит человек, который хочет проверить вот этот скрипт на perl.
    • Этот человек знает шутку про sudo make sandwich.
    • Не смотря на предыдущие два пункта, вы покидаете рабочее место не оставляя лок-скрина.

    http://habrahabr.ru/post/209540/

    Категория: Linux и не только | Просмотров: 552 | Добавил: laptop | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024