https://www.opennet.ru/openforum/vsluhforumID3/132366.html Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, предложил способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет и проверкой полномочий на основе SSH-ключей...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60317<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#151 Tue, 26 Dec 2023 20:40:47 GMT Ты же в курсе, что sudoedit запускает редактор от пользователя, а поднимает привилегии только (и только) для замены переданного параметром файла? Да?<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#150 Mon, 25 Dec 2023 11:57:25 GMT &gt; тогда зачем мне прокладка в виде работающего sshd с socat под рутом. <br>&gt; с судо они мне не нужны :) <br><br>чтоб было :) люди старались, делали, а вы: "ненужно"<br>не надо быть такой букой<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#149 Sat, 23 Dec 2023 17:06:59 GMT Сорц полустандартного OpenGPGCard тоже не доступен, лишь обрезок старого кода под basiccard, в котором явно обозначено что много кода пропущено из-за патентов<br>Yubikey/google titan/ещё некоторые альтернативные реализации полностью проприетарные<br><br>Есть nitrokey 3 с открытой прошивкой (https://github.com/Nitrokey/nitrokey-3-firmware), однако там обращение с ключами сильно менее защищённое чем в смарткартах, потому что вместо намертво приклееной к плате неразборной капли, там полноценный sram+cryptoчип+процессор (Однако есть возможность обновить прошивку, что приятно)<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#148 Sat, 23 Dec 2023 16:50:15 GMT &gt; Предлагаю универсальный классический способ ухода от suid-бит в GNU/Linux: <br><br>Там порылся мааааааленький фэйл!<br><br>[code]<br>1. Мнение разрабов дистрибутива:<br>groupadd wireshark<br>usermod -a -G wireshark vasya<br>chown root:wireshark /usr/bin/dumpcap<br>chmod a-rwxst,u+rwx,g+x /usr/bin/dumpcap<br>setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap<br>[/code]<br>Извините, господа, надо трогать явно системные файлы, вопрос как это все с пакетником отвзаимодействует, меняется модель безопасности, не особо очевидным образом.<br><br>В общем - это более интрузивный по изменениям в системе метод. И потому хотя формально оно как бы да, реально - вот - эти соображения не айс. В идеале мы эксплуатируем ОС с бинарями и их правами, атрибутами и проч в стоковом состоянии. Чтобы не брать на себя лишний майнтенанс и не тригерить IDS/системный мониторинг/верификацию состояния ОС и проч подозрительными действиями.<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#146 Sat, 23 Dec 2023 08:29:29 GMT ok, google<br>будет ли работать sudo -i если у пользователя shell=nologin ? <br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#145 Sat, 23 Dec 2023 04:31:59 GMT Это нужно шел пользователя чем то заменить. Иначе, команды не ограничить.<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#144 Sat, 23 Dec 2023 00:45:16 GMT Опытный пользователь MS Office, Word, Excel. А чем можете похвастаться вы?<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#143 Fri, 22 Dec 2023 18:35:52 GMT &gt; Сдаюсь. - Не знаю - почему это удаляет какой-то АВТОБОТ!!!<br><br>Потому что у мудобота бывают заскоки и последние несколько дней его плющило. Скажи спасибо что у него туррелей автоматических нет, иначе он бы уже человечество децимировал нахрен.<br><br>&gt; Так что трюк "известный". Но если докладчика зовут "Тимоти", то это "wow". <br><br>Широко известный в узких кругах видимо. "Остап знал дюжину способов элевации без suid'ного бита".<br> https://www.opennet.ru/openforum/vsluhforumID3/132366.html#142 Fri, 22 Dec 2023 18:32:44 GMT &gt; sudo использует ровно тот же pam стек уже тысячу лет.<br><br>Еще он sudoedit использует. Мы же жить не можем без постоянного редактирования чего там, правильным редактором. Так что вот вам тут вулнов пачку на ровном месте. Дурацкая suid'ная программа.<br>