Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Представлен capsudo, вариант sudo с разделением полномочий на уровне объектов"	+/–
Сообщение от opennews (??), 13-Дек-25, 12:40
Ариадна Конилл (Ariadne Conill), создатель музыкального проигрывателя Audacious и композитного сервера Wayback, инициатор разработки протокола IRCv3 и лидер команды по обеспечению безопасности Alpine Linux, развивает инструментарий capsudo для выполнению команд с повышенными привилегиями. В отличие от sudo в новом проекте задействована модель предоставления полномочий на уровне отдельных объектов (object-capability). Код проекта написан на языке Си и распространяется под лицензией MIT... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64420
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Дек-25, 12:40	+6 +/–
Но зачем?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #13

2. Сообщение от Аноним (2), 13-Дек-25, 12:42	+9 +/–
Ну а почему бы и нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Аноним (1), 13-Дек-25, 12:44	+25 +/–
Действительно, зря быканул.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Аноним (4), 13-Дек-25, 12:59	–5 +/–
На замену sudo есть run0. Вот людям неймется. Уж лучше бы wayback доделывал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #9

5. Сообщение от Аноним (5), 13-Дек-25, 13:04	+9 +/–
давайте напишем системный демон и запустим от рута, осталось только прикрутить сеть и выставить голой опой, и вуаля хороший судо, запускай хоть с марса :) оригинально
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 13-Дек-25, 13:07	–6 +/–
а на замену run0 есть безопасный sudo-rs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #80

7. Сообщение от Аноним (7), 13-Дек-25, 13:08	–1 +/–
Принцип KISS (Keep it simple, stupid) в лучших проявлениях. Но не взлетит, так как не дело  по отдельному демону на каждую команду в памяти держать, а создание одного общего диспетчера сведёт на нет всю простоту и приведёт к появлению ещё одного Polkit.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #95

9. Сообщение от Kilrathi (ok), 13-Дек-25, 13:16	+5 +/–
А умеющие читать и писать просто пропишут нужные пользователю команды в sudoers.d
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #23

12. Сообщение от Аноним (-), 13-Дек-25, 14:33	+1 +/–
С этой утилитой нужно будет писать "$ capsudo -i"?
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Кошкажена (?), 13-Дек-25, 14:33	+1 +/–
Можно, а зачем? (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

17. Сообщение от mos87 (ok), 13-Дек-25, 14:47	+4 +/–
Из недостатков sudo ... недекларативный формат конфигурации >чтобы повторить поведение sudo и разрешить выполнение с повышенными >привилегиями любых приложений для пользователей, входящих в группу >wheel, можно использовать следующие настройки: > > >   # mkdir -p /run/cap >   # capsudod -s /run/cap/sudo-capability & >   # chgrp wheel /run/cap/sudo-capability >   # chmod 770 /run/cap/sudo-capability >   >   $ capsudo -s /run/cap/sudo-capability
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

20. Сообщение от Аноним (20), 13-Дек-25, 14:49	+/–
Вставь чужой sudo в свою систему - дай удаленный доступ в свою систему!
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от User (??), 13-Дек-25, 14:52	+/–
И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #32

25. Сообщение от Аноним (25), 13-Дек-25, 14:55	+/–
> Например, чтобы предоставить какому-то пользователю возможность запуска утилиты reboot с повышенными привилегиями, администратор может написать в doas.conf: permit user1 as root cmd reboot
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

29. Сообщение от Аноним (29), 13-Дек-25, 15:18	+/–
У меня почему-то doas не работал. Вернулся обратно на sudo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #35

32. Сообщение от Kilrathi (ok), 13-Дек-25, 15:26	+/–
> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова". Зависит от того на что выдавать. Если на /sbin/reboot, который без рута не подменить - это вряд ли. А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: через sudo, doas, capsudo или run0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #48

35. Сообщение от Frestein (ok), 13-Дек-25, 16:03	+/–
Хорошо, держи в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #41, #46

41. Сообщение от scriptkiddis (?), 13-Дек-25, 16:55	+1 +/–
Хорошо, держу в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

44. Сообщение от Аноним (44), 13-Дек-25, 17:51	+1 +/–
У sudo раздутая кодовая база, поэтому надо сделать отдельного демона, который будет делать всё то же самое, плюс ещё тащить в себе код для обмена данными через сокет, и к нему ещё клиентскую утилиту. > Только пользователи, имеющие доступ к сокету, могут выполнять привязанные к сокету привилегированные команды. И чем это лучше suid-root процесса, который проверяет "кто меня запустил"? > администратор может создать в домашнем каталоге заданного пользователя сокет "reboot-capability", привязать его к запуску утилиты reboot и на уровне прав доступа разрешить запись в сокет только необходимому пользователю. После этого данный пользователь сможет запустить команду reboot, выполнив "capsudo -s reboot-capability". То есть, кроме нового геморроя с сокетами для админа, ещё и юзверям переучиваться вместо привычных утилит запускать какую-то новую хрень (или держать актуальный список алиасов в rc'шнике).
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Аноним (-), 13-Дек-25, 18:02	–1 +/–
Не проблема. Я могу рассказать, что я не пробовал ни doas, ни sudo и они никогда у меня не работали поэтому. Тебе всё ещё интересно? Я могу ещё рассказать про утилиты из coreutils, которые я использовал и которые я считаю лишними там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

48. Сообщение от User (??), 13-Дек-25, 18:30	+1 +/–
>> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова". > Зависит от того на что выдавать. Если на /sbin/reboot, который без рута > не подменить - это вряд ли. > А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: > через sudo, doas, capsudo или run0. В последнем cve даже и "давать" ничего не требовалось, ага
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #56

49. Сообщение от Karl (ok), 13-Дек-25, 18:35	–5 +/–
Ну вот ЗАЧЕМ??? В принципе sudo есть зло абсолютное! Его не должно существовать! Жили без него - отлично. Всегда юзер должен быть юзер, админ должен быть админ И никакого "повышения полномочий"! Это ИЗВРАЩЕНИЕ, как зараза подхваченное у Микрософта
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #55

51. Сообщение от Аноним (51), 13-Дек-25, 18:56	+1 +/–
Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. Рассказывай, как без механизмов повышения привилегий это сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #54, #57, #62, #69, #71

52. Сообщение от пох. (?), 13-Дек-25, 19:01	+2 +/–
В общем, у альпайна похоже все плохо с безопасностью. (конечно, от недолинукса для запуска в докере под докером никто и не ждал, но все же...) Да, с форматом конфигурации тут просто все прекрасно - как после этого выяснить кому и что мы наразрешали - искать по всей системе стремные сокеты? Про то что в этом наборе команд race condition - щпециалист(ка?) по безопастносте похоже даже не знает. (ага, чмод. После создания. И что же мне помешало уже открыть этот сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто их учил давать права на исполнение - сокетам?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #79, #91

54. Сообщение от Karl (ok), 13-Дек-25, 19:18	–6 +/–
> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. > Рассказывай, как без механизмов повышения привилегий это сделать. dba может иметь разные значения, среди них: a) Доктор делового администрирования (англ. Doctor of Business Administration). b) Администратор баз данных (англ. Database administrator). c) dBA — единица измерения громкости звука. d) DBA (Disc Brakes Australia) — австралийский производитель тормозных дисков для легковых автомобилей. e) DBA (Double Bend Achromat) — тип фокусирующей структуры синхротронов. f) DarkBASIC (.dba формат) — компьютерный язык и связанная с ним среда программирования, предназначенные для упрощения создания 3D-видеоигр. g) Dallas Bar Association — профессиональная организация для юристов в Далласе, Техас, США. h) The Barge Association, ранее «Dutch Barge Association» (DBA) — клуб для любителей отдыха на внутренних водных путях Европы Вы сейчас о чём? О правах на СУБД? Ну так и говорите. Причём тут именно повышение прав? Или вы ни в одной нормальной Unix+ OS не работали, кроме Mint?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #59

55. Сообщение от Аноним (55), 13-Дек-25, 19:38	+3 +/–
>Всегда ... админ должен быть админ >И никакого "повышения полномочий"! Абсолютное непонимание базовых основ безопасности! Запомните, юноша, админ (человек) основную часть времени *должен* работать как простой юзер (без превилегий) и только в самых *необходимых* случаях повышать привилегии до админа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #63, #98

56. Сообщение от Аноним (56), 13-Дек-25, 20:01	+3 +/–
В прошедшем времени. А в "заменителях" всё ещё только впереди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #68

57. Сообщение от Аноним (56), 13-Дек-25, 20:12	+/–
На утилиту бэкапа - CAP_DAC_READ_SEARCH (https://www.man7.org/linux/man-pages/man7/capabilities.7.html) Плюс, DAC/ACL для ограничения доступа пользователей к утилите. Желательно, чтобы у утилиты не было доступа к сети, и она писала бэкап локально в единственную доступную для записи директорию. Откуда готовый (шифрованный) бэкап разносился на резервные (удаленные) сервисы другой утилитой сетевого копирования (rsync/rclone), у которой на локальной машине чтение и запись также ограничены. Ещё больше обезопасить утилиты можно, применяя landlock в их коде. Но и у sudo пока есть своя ниша.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

59. Сообщение от Аноним (59), 13-Дек-25, 20:41	+4 +/–
Из контекста же прекрасно понятно о чем речь. Если только вы не самозванец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #64

60. Сообщение от Аноним (60), 13-Дек-25, 21:15	+/–
Хотят сделать как в винде. То есть, по умному.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73, #94

62. Сообщение от Аноним (44), 13-Дек-25, 21:19	+/–
> dba > db Раздвоеие личности надо лечить, а не обмазываться паллиативами типа sudo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #76

63. Сообщение от Аноним (44), 13-Дек-25, 21:23	+1 +/–
> повышать привилегии до админа su
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #93

64. Сообщение от Karl (ok), 13-Дек-25, 21:55	–2 +/–
> Из контекста же прекрасно понятно о чем речь. Если только вы не > самозванец. Было бы понятно, не спрашивал бы уточнения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #74

68. Сообщение от Kilrathi (ok), 13-Дек-25, 23:29	+1 +/–
> В прошедшем времени. А в "заменителях" всё ещё только впереди. Ну почему же только впереди,  недавно здесь же обсуждали cve у sudo-rs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #81

69. Сообщение от Kilrathi (ok), 13-Дек-25, 23:34	–1 +/–
> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. > Рассказывай, как без механизмов повышения привилегий это сделать. Например sql-дампом через localhost в свой home и дальше на резервное хранилище
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #72

70. Сообщение от Аноним (70), 13-Дек-25, 23:54	–1 +/–
Когда завезут в systemd?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #85

71. Сообщение от Аноним (5), 14-Дек-25, 00:46	+1 +/–
> Рассказывай, как без механизмов повышения привилегий это сделать. механизм бекапа это механизм рсубд, а не прихоть пользователя, настраиваешь конфиг, делай бекап той-то базы в такое-то время и все, зачем еще юзеры какие-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

72. Сообщение от Аноним (5), 14-Дек-25, 00:48	+1 +/–
идиотизм считать скул дампы бекапами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #75, #77

73. Сообщение от нах. (?), 14-Дек-25, 01:15	+/–
но винды (как обычно у этих больных на всю голову) не видели даже через чужое плечо. Поэтому получается - хрень. Как всегда. (нет в винде никаких бредовых сокетов по всей фс, угадай-куда-я-его-запрятал и какие права он дает если его кто-то нашел)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #96

74. Сообщение от Аноним (74), 14-Дек-25, 01:22	+3 +/–
Вообще-то аббревиатура DBA в контексте системного администрирования должна быть понятна без пояснений
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

75. Сообщение от Аноним (74), 14-Дек-25, 01:24	+1 +/–
Два чая этому анониму
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

76. Сообщение от Аноним (74), 14-Дек-25, 01:35	+1 +/–
Так у юзера db в качестве оболочки /sbin/nologin указан, потому что по условию задачи это пользователь, под которым работает БД, системный, с uid < 1000. А DBA ходит в систему как обычный юзер dba.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

77. Сообщение от Kilrathi (ok), 14-Дек-25, 02:00	+1 +/–
> идиотизм считать скул дампы бекапами. Только если вы из адептов «для резервирования каталога документов надо забакапить целиком весь сервак»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #86

78. Сообщение от _ (??), 14-Дек-25, 02:05	+1 +/–
А в реальности будет: # capsudod -s /home/user/alfaman-capability bash & # chown user:user /home/user/alfaman-capability # chmod 700 /home/user/alfaman-capability # запускаем ништяк командой: $ capsudo -s /home/user/alfaman-capability Удобно жи?! Удобно! И кроме этого - другие сокеты можно уже и не создавать! Ещё раз удобно! Вы там аффтарке передайте :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #88

79. Сообщение от RM (ok), 14-Дек-25, 02:50	+/–
> искать по всей системе стремные сокеты? искать capsudod процессы, а в их коммандной строке видно все активные "стрёмные сокеты". > И что же мне помешало уже открыть этот сокет umask пользователя root в нормальной системе не даст открыть на запись. хотя в общем конечно этот capsudo оставляет ощущение имено что стрёмное. но ниче, вреднят, первый раз что-ли ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

80. Сообщение от Аноним (80), 14-Дек-25, 03:30	–1 +/–
> безопасный sudo-rs безопасно не работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

81. Сообщение от User (??), 14-Дек-25, 08:23	+/–
>> В прошедшем времени. А в "заменителях" всё ещё только впереди. > Ну почему же только впереди,  недавно здесь же обсуждали cve у > sudo-rs. Это тот, где "если пароль ввести и enter не нажать, то через полчаса его подглядеть можно"? А, ну да, ну да - кшмаррр и ужаст!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

84. Сообщение от Аноним (84), 14-Дек-25, 14:47	+/–
Не нужно умножать сущности без необходимости. На уровне идеи sudo совершенен. Надеюсь, проект не взлетит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

85. Сообщение от Аноним (86), 14-Дек-25, 15:57	–1 +/–
В systemd завезли run0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

86. Сообщение от Аноним (86), 14-Дек-25, 16:01	+/–
Для резервирования каталога документов хорошо бы чтобы в этот момент туда никто не писал, в первую очередь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

87. Сообщение от Аноним (87), 14-Дек-25, 20:26	+/–
Интересно, насколько можно управлять правилами - разрешить запуск только с определёнными аргументами? И как с этим у альтернатив
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от myster (ok), 15-Дек-25, 00:47	+/–
Ну с sudo именно так и делают. Многие администраторы даже не видят разницы между беспарольным доступом через sudo и доступом с паролем, и делают всегда без пароля – "Удобно жи?! Удобно!" А при установке того же Docker, им везде пишут: не добавляйте своего пользователя в группу docker бездумно. Но все добавляют обычного пользователя в группу docker и при этом ссылаются на официальную инструкцию Docker, где, якобы, Docker это рекомендует. А жирное выделенное красным цветом предупреждение там же они игнорируют:  "Warning: The docker group grants root-level privileges to the user."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

89. Сообщение от myster (ok), 15-Дек-25, 00:50	+/–
Плюс от такого инструмента будет, однозначно. Но это должно поддерживаться на уровне ядра и не так стрёмно, как ACL. Многие не используют ACL в Linux, потому что оно кривое и через пень-колоду работает. А в той же винде ACL из коробки прекрасно, как бы винду не хаили, но за это Билла Гейтса можно и похвалить, придумал в 90-х ещё для NT и работает по сей день, как часы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90, #100

90. Сообщение от mos87 (ok), 15-Дек-25, 07:03	+/–
Билл ГейТс придумал не ACL, а Интернет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

91. Сообщение от anonymous (??), 15-Дек-25, 07:35	+/–
> Про то что в этом наборе команд race condition - щпециалист(ка?) по > безопастносте похоже даже не знает. > (ага, чмод. После создания. И что же мне помешало уже открыть этот > сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто > их учил давать права на исполнение - сокетам?) Помешало - очевидно отсутсвие прав. по умолчанию сокет там создается с 0770 root:root +x на сокет это возможность читать каталог, в котором находиться этот сокет, а не то что вы подумали) Резюме: жидким, как обычно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #92, #114

92. Сообщение от 1 (??), 15-Дек-25, 09:23	+1 +/–
> +x на сокет это возможность читать каталог, в котором находиться этот сокет Так можно было ? O_o
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

93. Сообщение от 1 (??), 15-Дек-25, 09:27	+/–
Тогда все человеки (админы то биш) будут знать пароль root (один на всех) -  а это не кошерно. Никогда не узнаешь кто из этого стада админов всё поломал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

94. Сообщение от 1 (??), 15-Дек-25, 09:29	+/–
В винде админ не может выполнить команду от имени другого пользователя. Ну есть конечно костыли со сменой/восстановлением пароля - но штатно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #101, #103

95. Сообщение от Аноним (95), 15-Дек-25, 10:18	+/–
Simple не про suid бинарь на каком бы языке он ни был. И тем более не на Сях
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

96. Сообщение от Аноним (96), 15-Дек-25, 10:19	–3 +/–
>никаких бредовых сокетов зато куча упоротой дичи типа Windows Registry
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

97. Сообщение от Соль земли2 (?), 15-Дек-25, 10:34	+/–
> усложнённый, неиерархический и недекларативный формат конфигурации Ариадна Гранде не осилил форму записи Бэкуса — Наура?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #107

98. Сообщение от Аноним (98), 15-Дек-25, 12:01	+/–
Не повышать из текущего пользователя, а заходить под учетной записью root из отдельной консоли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #102, #116

99. Сообщение от Аноним (99), 15-Дек-25, 12:37	+/–
wayback уже готов?
Ответить | Правка | Наверх | Cообщить модератору

100. Сообщение от gl3ko (?), 15-Дек-25, 14:39	+/–
В linux были попытки сделать более расширенные NFSv4 ACL с нормальным наследованием т.п. и которые не смотря на название можно было и без NFS использовать. Даже патчи были, но чета так и не доделали (то ли деды задушили, типо у нас и так posix ACL есть, зачем нам это, то ли авторы патчей просто забили). А вот во freebsd, вроде, реализация есть, но я не проверял на практике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

101. Сообщение от Аноним (98), 15-Дек-25, 14:45	+/–
Да ты шо? https://remontka.pro/run-program-as-another-user-windows/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

102. Сообщение от 1 (??), 15-Дек-25, 16:08	+/–
Ну я уже выше и писал - тогда пароль рута (через некоторое время) будет известен всем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #104

103. Сообщение от 1 (??), 15-Дек-25, 16:11	+1 +/–
отвечу анониму с remontki - ты попробуй это сделать не зная пароля юзверя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #105

104. Сообщение от Аноним (98), 15-Дек-25, 16:35	+/–
Я тебя не понимаю. 1. Удаляем sudo. 2. Обычные дела в простом пользователе. 3. Если нужно что-то установить и проч., то заходим под root. А ты про что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #108

105. Сообщение от Аноним (98), 15-Дек-25, 16:50	+/–
В этом случае согласен с тобой, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

107. Сообщение от Аноним (-), 15-Дек-25, 17:50    Скрыто ботом-модератором	+/–
Чукча ты. Форма записи Бэкуса — Наура есть не что иное, как краткое описание синтаксиса языка программирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #111

108. Сообщение от Аноним (108), 15-Дек-25, 23:01	+1 +/–
Про то, что админов иногда бывает больше одного и важно логировать кто повышает себе привилегии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #112

111. Сообщение от Соль земли2 (?), 16-Дек-25, 10:03	+/–
Что это меняет? Нормальная тема же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

112. Сообщение от Аноним (98), 16-Дек-25, 10:19	+/–
sudo - это точно не про безопасность. Только у одного человека должен быть root.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #113

113. Сообщение от 1 (??), 16-Дек-25, 11:56    Скрыто ботом-модератором	+/–
А если этому человеку кирпич на голову упал ? sudo позволяет (в какой-то степени) логгировать повышение привилегий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #115

114. Сообщение от пох. (?), 16-Дек-25, 12:37	+/–
>  +x на сокет это возможность читать каталог лол, шито?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

115. Сообщение от пох. (?), 16-Дек-25, 12:42	+/–
> А если этому человеку кирпич на голову упал ? > sudo позволяет (в какой-то степени) логгировать повышение привилегий. она еще и позволяет разграничивать что именно можно сделать и кому с повышенными привиллегиями. su эту проблему никак не решает, потому что ее придумали в прекрасные древние дни, когда всем верили на слово. sudo - очень плохо написанная (точнее - и изначально посредственная, а в последние годы еще и поулучшайканая последним уцелевшим автором ради чего угодно - грантов, внимания, борьбы с маразмом, но уж точно не безопасности) программа, но замены ей нет и не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

116. Сообщение от Аноним (116), 16-Дек-25, 14:17	+/–
> а заходить под учетной записью root из отдельной консоли. Вот так пользователи локалхоста и палятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #117

117. Сообщение от Аноним (98), 16-Дек-25, 16:51	+/–
В идеале было бы так, да. Если удаленно и только для администрирования, то нужна учетка с повышенными правами, но не root.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема