The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов"  +/
Сообщение от opennews (?), 20-Дек-23, 10:02 
Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, предложил способ ухода от применения утилиты sudo, использующей  suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет и проверкой полномочий на основе SSH-ключей...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60317

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Мухорчатый (?), 20-Дек-23, 10:02   +9 +/
Вот это да.......
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

3. Сообщение от Аноним (3), 20-Дек-23, 10:07   +20 +/
Вот это действительно будет дырища, которая может ещё и не работать на некотором энвайрменте регулярно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #87

4. Сообщение от Шарп (ok), 20-Дек-23, 10:17   +6 +/
Развитие юникс архитектуры остановилось со смертью plan9. Вот и приходится изобретать эрзац технологии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #7

5. Сообщение от Аноним (3), 20-Дек-23, 10:32   +/
> Добавляем проверку полномочий и включаем двухфакторную аутентификацию, допускающую доступ к root только при вставке USB-токена Yubikey.

Как? Что-то пропущено? Как Private ключ перенести правильно на флешку?
Кажется даже статья по хранению private-ключей на юбиках с резервом будет нужнее

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #17, #18

6. Сообщение от SODIX (?), 20-Дек-23, 10:33   +1 +/
А как же инферно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #44

7. Сообщение от Аноним (3), 20-Дек-23, 10:35   +4 +/
Никому не интересен plan9. Куда интереснее, что челу с тыренным ssh-ключом раньше нужно было для sudo знать пароль юзверя, а теперь нет. Пляски вокруг сокетов и их защиты - это отдельные прекрасные грабли
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #23, #28, #30, #35, #70, #108

8. Сообщение от Аноним (8), 20-Дек-23, 10:49   +8 +/
Выглядит как забор из костылей, при том непонятно ради чего? Я так и не понял, чем suid помешал? Вроде десятилетиями всё ок было...
Выдавался этот бит только тем программам, что действительно могут понадобиться всем пользователям на хосте, типа ping...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #54

9. Сообщение от Аноним (9), 20-Дек-23, 10:50   +6 +/
Нет. Лучше черес TCP который надо выставить в облако гугл или мигрософт это будет безопаснее
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

10. Сообщение от Аноним (10), 20-Дек-23, 10:52   +4 +/
10+ лет держу открытую вкладку терминала с su (и в проде и на домашнем ПК) без всяких суден, и неразу не было проблем :]
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #64

11. Сообщение от Аноним (11), 20-Дек-23, 11:00   +3 +/
Если я правильно понял, вместо отдельных суидных программ типа судо предлагается раздать рутовый доступ через локальный ссш. Но доступ к нему только для избранных. Ну да, ну да - безопасТность. В судо можно строго прописать ряд программ который пользователь может запускать. А тут каждый избранный получает все и может поставить систему в неудобное положение без особых усилий.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #80, #95

12. Сообщение от BSDSHNIK (?), 20-Дек-23, 11:01   +1 +/
Заменю вам статью. Подходит любой ключ с поддержкой FIDO2, даже самодельный.
Вставляем ключ, пишем
ssh-keygen -t ed25519-sk или ssh-keygen -t ecdsa-sk (если ключ старый).
Все, мы храним ключ в аппаратном токене.

openssh настроен правильно во всех дистрах свежести уровня 8 рхел или выше(нужен openssh 8.2), настраивать ничего не нужно. Работает даже в винде, даже в openwrt c Dropbear.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

13. Сообщение от pfg21 (ok), 20-Дек-23, 11:03   +2 +/
самое главное то и не раскрыто: чем ssh-коннект под root безопаснее sudo ??  
если мне понадобится запуск проги не под root а под другим пользователем, придется делать еще один ssh с запуском socat под указанным пользователем ??    
т.е. набирается куча костылей с socat под каждым пользователем...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Alexey (??), 20-Дек-23, 11:08   +/
Запускайте прогу тоже под рутом. бгг.

Гори оно огнём, какая срамота...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #16

16. Сообщение от pfg21 (ok), 20-Дек-23, 11:20   +/
> Запускайте прогу тоже под рутом. бгг.

т.е. я запускаю скрипт по очистке какойлибо диры в глубине /var/www не под ограниченным www-data а под root а в скрипте классическая ошибка бармина "rm -rf / var/www/тра/ля/ля" то системе приходит звезда. чёта не панятна  

> Гори оно огнём, какая срамота...

:)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

17. Сообщение от Аноним (17), 20-Дек-23, 11:28   +/
https://codeberg.org/KOLANICH/Fuck-GuanTEEnomo
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #109

18. Сообщение от PnD (??), 20-Дек-23, 11:29   +3 +/
Никак не надо переносить.
Ключ генерится прямо на затычке, и половина закрытой части её никогда не покидает. От слова "совсем". Это про те что с приставкой "sk-".
На локалхост выгружается открытая часть и вторая половина ключа.
При каждом установлении соединения нужно погладить кота^w ключ. Ну или кинуть в него ссаной тряпкой (результат тот же). Типа, подтверждение присутствия кожаного мешка.

* Это я FIDO (как мог) описа́л. Есть и другие варианты.
** И да, если у вас RuToken Lite, то это таки просто флэшка с обсфусцированным протоколом доступа. Там действительно можно "перенести", но работать будет только под виндой/(возможно) эмулятором.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #36

19. Сообщение от фф (?), 20-Дек-23, 11:30   +/
что вы как маленький - от рута делаете sudo -u username ваш_скрипт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #50

20. Сообщение от Аноним (20), 20-Дек-23, 11:35   +6 +/
> из компании Red Hat

ждем запихвание этих костылей в systemd!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #29

21. Сообщение от Аноним (21), 20-Дек-23, 11:37   +2 +/
Не шути так, а то тебя услышат и реализуют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #59

22. Сообщение от name (??), 20-Дек-23, 11:45   +1 +/
А QR код? QR код будет встроенный? А веб сервер?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

23. Сообщение от WE (?), 20-Дек-23, 11:47   +3 +/
Так себе аргумент. Ничего не мешает иметь ключ с паролем для повышения привилегий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

24. Сообщение от хрю (?), 20-Дек-23, 11:52   +2 +/
выглядит как фигня. sudo пароль забывает через некоторое время, и даже получив доступ к консоли пользователя не зная его пароль до рута ещё надо добраться. А тут либо полный доступ, либо полный доступ при воткнутой флехе. Ну такое себе решение имно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #32

25. Сообщение от Аноним (25), 20-Дек-23, 12:00   –1 +/
Это тайный план заставить всех использовать флэшки. А USB настолько дыряв, что теперь не только майор может всунуть что ему надо, но и обычный рядовой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

26. Сообщение от Аноним (11), 20-Дек-23, 12:02   +/
В судо каждому пользователю можно прописать что он может запустить. Можно разграничить между разными большими админами, так себе админами и понарошку. Тут ты либо полный рут (можешь добровольно самоограничиться), либо никто. Я тут написал про это выше - заминусовали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #27

27. Сообщение от хрю (?), 20-Дек-23, 12:10   +/
Можно, но я не видел чтобы так кто-то делал для реального чела, а вот для запуска команд из скриптов без пароля такое да - удобно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #45, #47, #130

28. Сообщение от НеАнонимЪ (?), 20-Дек-23, 12:11   –8 +/
Пароли умерли, сейчас работает только многофакторка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #38, #55, #88

29. Сообщение от Аноним (30), 20-Дек-23, 12:11   +/
Каждая программа должна быть слинкована с libsystemd, так победим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #39

30. Сообщение от Аноним (30), 20-Дек-23, 12:16   +4 +/
А ты в курсе что при генерации пары ключей, закрытый ключ можно запаролить? И тогда надо иметь и сам закрытый ключ и пароль от него вместо просто пароля от юзера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #96

31. Сообщение от Аноним (31), 20-Дек-23, 12:18   +1 +/
>>> и неразу не было проблем <<<

Мда... то что вы конкретно нафиг никому не сдались, это ничего не значит; так что не учите плохому и не советуйте тут откровенную дичь!!!

ПС: Это из той же серии что и: линукс безопаснее чем виндоус; там почти нет вирусов, а антивирус там совсем не нужен, - а на практике, если вы реально станете чей-то целью, то вас возъимеют во все дыры, так что лучше чтобы этих дыр было поменьше; вы же сами буквально булочки свои раздвигаете!

ППС: Вангую, что в последующие 10 лет, угроз под линус станет офигеть как много!!! Так что я реадьно не понимаю тех, кто сделал ставку на это дырочное изделие в критически важных отраслях!!!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #66, #72, #73

32. Сообщение от нах. (?), 20-Дек-23, 12:20   +3 +/
> выглядит как фигня

"а мы гланды удалять научились... через оппу! автогеном!"
Новое поколение пришло улучшайкать - встречайте. Открыло для себя man ssh - а ман на sudo и для чего та вообще - некогда читать, йа-у-мамы-разработчик!

> sudo пароль забывает через некоторое время

или сразу. Или вообще о нем не вспоминает. И внезапно это еще может быть и отдельная, а не общая для юзера настройка. Как и то, чей там пароль спросить.

И никаких тебе шансов тихо потырить ключик и подбирать пароль хоть на мильене компов до посинения без всяких следов в логах (а эта еще и в почту админу нажалуется... хотя да, нет у девляпса никакой почты на linoops paas).

В общем, безобразие полнейшее, развили тут диды немодные. Я уже пишу фичреквест о включении этой нужной и полезной фичи в системдрянь!

А енту суду вашу небезопастную надо выбросить-выбросить. (давно кстати что-то не слышно о попытках пириписькать-пирипськать - ведь они ж даже уже вроде научились парсить конфиг от убунты и редхата - правда, что делать дальше пока не знали... эх, наверное грант кончился и сессия началась)


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от Аноним (33), 20-Дек-23, 12:31   +/
Ээээ... sudo su - не, не слышал?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

34. Сообщение от Аноним (34), 20-Дек-23, 12:31   +/
Годнота. При сборке софта из исходников может пригодится.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (35), 20-Дек-23, 12:34   +/
>Куда интереснее, что челу с тыренным ssh-ключом раньше нужно было для sudo знать пароль юзверя, а теперь нет.

Не знаю как здесь, но в KepassXC Yubikey служит вторым фактором защиты, т.е. надо и пароль вводить и токен вставить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #89, #90

36. Сообщение от Павел (??), 20-Дек-23, 12:36   +3 +/
Ну вообще говоря для рутокена линуксовые дрова вполне себе есть и работают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #112

37. Сообщение от nox. (?), 20-Дек-23, 12:38   +3 +/
Не сочтите за офтопик. Но определенно дежавю. Знавал одного профессора. В статью он вставлял картинку таким образом: в документ Word он помещал электронную таблицу Excel, в которую вставлена картинка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

38. Сообщение от Аноним (38), 20-Дек-23, 12:41   +10 +/
Но один из факторов - пароль. Так что не умерли, а дополнились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

39. Сообщение от Аноним (38), 20-Дек-23, 12:45   –1 +/
В 1990-х и 2000-х M$, своим гетзефаком, победить не смогла, но теперь смогла возглавить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

40. Сообщение от Аноним (38), 20-Дек-23, 12:48   +3 +/
А давайте... пусть systemd живёт в облаках!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

41. Сообщение от Аноним (41), 20-Дек-23, 13:00   +1 +/
А ещё надо метрики экспортировать в промку и логи в ёлку!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #69

42. Сообщение от Аноним (43), 20-Дек-23, 13:12   +3 +/
Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, в курсе, что такое sudo и как им пользоваться? Что именно он пытается "заменить"? Где ограничение списка команд, которые пользователь может выполнять от имени рута?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

43. Сообщение от Аноним (43), 20-Дек-23, 13:13   +5 +/
Почему не "sudo su su" или не "sudo su su su su su"? Чем простое "sudo -i" не устраивает, зачем su лишний раз запускать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #65, #110, #146

44. Сообщение от chubakka (?), 20-Дек-23, 13:14   +/
А что мешает, ставьте версию для raspberry pi и играйтесь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #93, #113

45. Сообщение от Аноним (11), 20-Дек-23, 13:19   +/
Конечно удобно - запускать все исходно из под рута. Для очистки совести можно сбросить привелегии под нужного пользователя. Если никто не смотрит, можно и не сбрасывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

46. Сообщение от _oleg_ (ok), 20-Дек-23, 13:29   +1 +/
Да. ВСё это "решение" выглядит как знатный геморрой с несуществующей выгодой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

47. Сообщение от _oleg_ (ok), 20-Дек-23, 13:29   +/
Ну для скриптов да. Которые люди запускают. Это для людей или нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

49. Сообщение от хрю (?), 20-Дек-23, 13:40   +/
> Не сочтите за офтопик. Но определенно дежавю. Знавал одного профессора. В статью
> он вставлял картинку таким образом: в документ Word он помещал электронную
> таблицу Excel, в которую вставлена картинка.

Лет 10 назад из одной монопомии баги присылали - скриншот текстовой инфы с экрана в jpg, засунутый в эксель. Причём если б только один чел. такое присылал. Ну и сидишь заглядываешь и гадаешь, как такое можно вообще придумать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #57, #144

50. Сообщение от pfg21 (ok), 20-Дек-23, 13:43   +2 +/
> что вы как маленький - от рута делаете sudo -u username ваш_скрипт

тогда зачем мне прокладка в виде работающего sshd с socat под рутом. с судо они мне не нужны :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #150

51. Сообщение от keydon (ok), 20-Дек-23, 13:45   +/
Автор и правда упорот и считает что suid надо менять на ssh :facepalm:
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

52. Сообщение от Аноним (52), 20-Дек-23, 14:05   +/
uzer@hvost: /home/uzer $ ssh uzer_doasnyi@localhost doas echo "kokoko"

Проще для этих целей тупо внутренний ssh замутить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

53. Сообщение от Аноним (52), 20-Дек-23, 14:08   +/
$ alias chpok="ssh uzer_doasnyi@localhost doas "
$ chpok ps ax
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

54. Сообщение от Аноним (54), 20-Дек-23, 14:21   +1 +/
теперь есть андройд, где понятие пользователя сильно изменено: в нём каждая программа является отдельным пользователем, а суперпользователем является, как я понял, исключительно гугл.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #100

55. Сообщение от freehckemail (ok), 20-Дек-23, 14:22   +6 +/
> Пароли умерли

Ничего они не умерли. На машине обязан быть парольный аккаунт для rescue-нужд. В случае сетевых проблем хостинг-провайдера, бывает, что единственный способ получить доступ к машине -- это подключиться через консоль и ввести там пароль. Создавайте такой аккаунт всегда. Это реально выручает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

56. Сообщение от Аноним (59), 20-Дек-23, 14:25   +/
Доизолировались. Кругом рута им подавай.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от ишь (?), 20-Дек-23, 14:28   +/
Люди из абстрактного для них буфера обмена вставили jpg-фрагмент в программе, которой чаще всего пользовались.
Скорее всего они не в курсе какого-то там jpeg-формата и просто рады, что у них всё сработало.
Вроде такой опытный, а удивляетесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

58. Сообщение от Аноним (59), 20-Дек-23, 14:30   +/
Он работу работает. Что полезного сделали вы?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #67

59. Сообщение от Аноним (59), 20-Дек-23, 14:32   +/
На Фре вообще не интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

60. Сообщение от Ilya Indigo (ok), 20-Дек-23, 14:33   +/
И как ограничивать команды, например, разрешить без пароля только определённые команды и даже с определёнными аргументами, а для остальных требовать пароль?
Если я правильно понял, тут предлагается или все команды без пароля, или все команды через аппаратный ключ,что не удобно а иногда и невозможно.
Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от freehckemail (ok), 20-Дек-23, 14:37   +1 +/
Давно известный метод. Из минусов -- нельзя ограничить повышение привилегий конкретными командами, плюс требуется постоянно запущенный демон. Из плюсов -- возможность использовать все pam-модули, доступные для sshd. Как бы, не рокетсаенс, а просто хорошо забытое старое. Собственно, автор это всё ради двухфакторки мастерил: к sudo трудно подцепить подобные вещи, а у sshd всё уже реализовано.

Тут, однако, надо понимать, что это надо очень аккуратно конфигурировать: крайне желательно, чтобы sshd для повышения привилегий был вообще отдельным демоном. Потому что если у вас это дело завязано на основной sshd и вы используете какой-нибудь sssd для авторизации, то если навернётся сеть, вы не сможете повысить привилегии, даже если вживую подойдёте к консоли.

А вообще, лучше конечно всегда иметь запасной вариант в виде sudo или su. Старые топорные проверенные технологии на низком уровне -- всегда выручают.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #74

63. Сообщение от Аноним (59), 20-Дек-23, 14:55   +/
Ну,вот,что вы тут за легаси топите. Совсем непрогрессивный админ. Закопать все секюршеллы как никому не нужное и входить исключительно с ноги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Ivan_83 (ok), 20-Дек-23, 14:59   +2 +/
С самого начала просто по ссш сам к себе (и где нужно) логинюсь под рутом.
su юзаю только в скриптах.
sudo вообще не ставлю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

65. Сообщение от Аноним (33), 20-Дек-23, 15:01   +/
Да можно и так. А можно и просто su написать. И sudo не нужен. Я про степень наркомании - это может быть нужно только чтобы sudo не писать каждый раз... Не более того.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

66. Сообщение от 1 (??), 20-Дек-23, 15:04   +1 +/
> Это из той же серии что и: линукс безопаснее чем виндоус; там почти нет вирусов, а антивирус там совсем не нужен

А зачем нужен антивирус (ну кроме тех, кто их продаёт) ?
Антивирус, он как вояка, всегда готовится к прошедшей войне.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

67. Сообщение от keydon (ok), 20-Дек-23, 15:09   +/
> Он работу работает. Что полезного сделали вы?)

Тоже работу работаю. Но стараюсь работать хорошо, а не "лишь бы работало" как похоже делает Тимоти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #76, #111

68. Сообщение от xxxxxxxxxxxxxxxxxxxxxx (?), 20-Дек-23, 15:16   +/
Почему нкльзя тогда просто использовать ssh?
Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от нах. (?), 20-Дек-23, 15:16   +1 +/
Но все же нескучный rest апи должен быть сначала!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

70. Сообщение от YetAnotherOnanym (ok), 20-Дек-23, 15:17   +/
А кто запрещает разнести ключи для sshd, на который заходят из сети, и для sshd, который слушает на локальном сокете для предоставления root shell? И какие пляски нужны, если трафик через сокет зашифрован?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

72. Сообщение от Аноним (54), 20-Дек-23, 15:21   +/
> Так что я реадьно не понимаю тех, кто сделал ставку на это дырочное изделие в критически важных отраслях!!!

а на что ещё делать ставку?
мелкомягкий доверия не внушает.
солярисы тоже буржуйские, и тоже закрытые.
остаются только линь да фря.

во всех случаях надо заметить, что всё данное ПО разрабатывается не у нас.

кроме того, главный разработчик всем известного ядра имеет весьма специфического батю, являющегося видным финским политиком, мечты которого давеча сбылись в отношении вступления в известную организацию.

поэтому ситуация настораживает вне зависимости от ставок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #79

73. Сообщение от YetAnotherOnanym (ok), 20-Дек-23, 15:21   +/
> вы конкретно нафиг никому не сдались

А откуда ты знаешь, какой у него прод?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

74. Сообщение от нах. (?), 20-Дек-23, 15:22   +1 +/
sudo использует ровно тот же pam стек уже тысячу лет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #75, #142

75. Сообщение от freehckemail (ok), 20-Дек-23, 15:24   +2 +/
> sudo использует ровно тот же pam стек уже тысячу лет.

Проверил. Однако да, был не в курсе: считал, что sudo устроен гораздо проще.
Тогда не понятно, чего ради всё это.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #82

76. Сообщение от Аноним (59), 20-Дек-23, 15:26   +/
На риторический вопрос можно было и не отвечать.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

77. Сообщение от Ivan_83 (ok), 20-Дек-23, 15:29   +/
Пора бы добавить ListenStream в сам sshd а не костылить прослойки inetd style.
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от Ivan_83 (ok), 20-Дек-23, 15:37   –1 +/
Переезжайте в финку и будет всё разрабатыватся у вас :)
Если что дойдёте ножками или на велике до Линуса с его батей и всё выскажете лично за рюмкой чая.
Европа тоже маленькая, сесть в поезд и доехать - так же удобно как с метро, можно и за час самолётом долететь за сотку евро.
В зоне шенгена и пограничного контроля то нет, те из документов спросят только билет при посадке в транспорт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

80. Сообщение от YetAnotherOnanym (ok), 20-Дек-23, 16:34   +/
Можно интегрировать функциональность suid в модифицированный sshd, попутно выкинув и него всё, относящееся к сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

81. Сообщение от YetAnotherOnanym (ok), 20-Дек-23, 16:39   +/
В принципе, идея неплохая, только на сокете должен висеть не sshd, а новая софтина, со встроенной системой разделения полномочий на конфиге того же sudo, с проверкой программы-клиента (благо оба процесса на одном хосте крутятся), с удалением всего относящегося к сети, и т.д.
Ответить | Правка | Наверх | Cообщить модератору

82. Сообщение от нах. (?), 20-Дек-23, 16:47   +1 +/
так сразу ж написали - это очередной победитель суид бита пожаловал. Вот огромный переусложненный дерьмодемон постоянно висящий, вместе с его клиентами - это норм, а суид бит нинуна и запритить.

И rest api там совершенно некуда прикручивать, а ему ведь performance review не только в конце этого года хочется пройти, а и в следующем тоже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

84. Сообщение от Аноним (-), 20-Дек-23, 17:02   –1 +/
Я зашёл в эту статью и с первых строк начал искать слово "docker". Не нашёл. Поэтому пишу его сюда: ваш редхатчик накушался докера.

>Fedora Kinoite is a reliable, atomic, safe and containerized platform for the KDE Plasma desktop,

Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от Аноним (85), 20-Дек-23, 17:29   +/
> предложил способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий.

Предлагаю универсальный классический способ ухода  от suid-бит в GNU/Linux: https://www.opennet.ru/openforum/vsluhforumID10/5622.html#8 рассматривать пункт №2

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #92, #148

86. Сообщение от Аноним (-), 20-Дек-23, 17:35   +6 +/
>  Вот это да.......

На третий день Зоркий Глаз заметил что...

> sudo systemctl daemon-reload

...что у соседнего сарая был suid-ный бит! :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

87. Сообщение от Аноним (-), 20-Дек-23, 17:39   +1 +/
> Вот это действительно будет дырища, которая может ещё и не работать на
> некотором энвайрменте регулярно

Не то чтобы дырища, если все сделать правильно. Но вообще отличный способ подвесить кому-то контринтуитивный бэкдор в систему, весьма креативно так то :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

88. Сообщение от Аноним (-), 20-Дек-23, 17:40   +1 +/
> Пароли умерли, сейчас работает только многофакторка.

Поразвелось тут хайпонашек. Еще анализы кала сдавайте блин для входа в систему.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #103

89. Сообщение от Аноним (-), 20-Дек-23, 17:47   +1 +/
> Не знаю как здесь, но в KepassXC Yubikey служит вторым фактором защиты,
> т.е. надо и пароль вводить и токен вставить.

И теперь sudo станет в 5 раз гиморнее - для легитимного админа. Который будет искать кей, будет тратить больше времени на фигню, раздолбает себе usb-порт и проч. Во имя луны.

Хаксор же посмеется с этих потуг, эскалирует на соседнем CVE ибо на SUID бите мир клином не сошелся, да и используют его все же уже довольно аккуратно - что является поводом изучить соседние вектора атак. В этом месте Зоркий Глаз обычно замечает что у сарая на то что стены нет, но и крышу кто-то стырил, можно, вот, на парашюте десантироваться. Не то чтобы это сильно нужно было - зато какой пафос! Это ж можно на видео снять и на ютубчик выложить. Будет - вот - самореклама безопасничка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

90. Сообщение от Аноним (113), 20-Дек-23, 17:49   –1 +/
> Не знаю как здесь, но в KepassXC Yubikey служит вторым фактором защиты,
> т.е. надо и пароль вводить и токен вставить.

И теперь sudo станет в 5 раз гиморнее - для легитимного админа. Который будет искать кей, будет тратить больше времени на фигню, раздолбает себе usb-порт и проч. Во имя луны.

Хаксор же посмеется с этих потуг, эскалирует на соседнем CVE ибо на SUID бите мир клином не сошелся, да и используют его все же уже довольно аккуратно - что является поводом изучить соседние вектора атак. В этом месте Зоркий Глаз обычно замечает что у сарая на то что стены нет, но и крышу кто-то стырил, можно, вот, на парашюте десантироваться. Не то чтобы это сильно нужно было - зато какой пафос! Это ж можно на видео снять и на ютубчик выложить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

91. Сообщение от glad_valakas (?), 20-Дек-23, 17:59   +/
я пришел к похожему сценарию. только с sudo и без systemd.

1) есть простой user. он логинится с консоли, от него запускается X, от него работают недоверенные бинарники. прав на sudo он не имеет, закрытых ключей ssh тоже не имеет, в интересных группах типа root, wheel и adm не состоит. umask 0022.

2) user имеет право сделать так:
ssh superuser@localhost
логин парольный.

3) superuser имеет право на sudo (парольный), держит у себя в $HOME конфиденциальную инфу, не запускает недоверенные бинарники и X приложения, хранит в ~/.ssh свои ключи (парольные), которыми ходит по другим хостам. umask 0077.

где дырки в этой схеме, какие нехорошие сценарии осуществимы (кроме "украдут диск и все файлы украдут") ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #94

92. Сообщение от Аноним (92), 20-Дек-23, 17:59   +/
ЗЫ:

sudo не нужен.

Если пользователю надо сменить пользователя на root то есть утилита su.

Обычному пользователю не надо выполнять команды с привилегиями.

Если вдруг, всё таки, надо выполнить привелигированную команду обычному пользователю, например,  выключить/перегрузить комп, то для этого есть файл /etc/inittab (/etc/shutdown.allow).


ЗЫЗЫ:

Ах забыл, поцтеринг уже в некоторых, падших, дистрах успел удаллить /etc/inittab, (/etc/shutdown.allow) и /etc/security/capability.conf ? Тогда вместо предложенных костылей, можно просто выкинуть systemd, вернуть init, pam и использовать CAP.

ЗЫЗЫЗЫ:

Насколько понял мысли древних, уровень безопасности B3 как раз и подразумевает использование CAP для расширения безопасности MULTICS. Не давать всего рута, а только необходимый кусочек полномочий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #106, #132

93. Сообщение от Аноним (93), 20-Дек-23, 18:05   +/
Вот именно что играйтесь. А надо работать, и не послезавтра, уже вчера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

94. Сообщение от Аноним (94), 20-Дек-23, 18:10   +/
Почему просто не использовать два входа в систему под двумя разными пользователями на разных терминалах?

Речь о том, что sudo имеет suid-бит, которого наличие в системе не приветствуется.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #99, #133

95. Сообщение от Аноним (93), 20-Дек-23, 18:17   +/
> В судо можно строго прописать ряд программ который пользователь может запускать. А тут каждый избранный получает все и может поставить систему в неудобное положение без особых усилий.

То есть документацию на ты SSH ни разу не читал, что там можно и что нельзя не знаешь, но мнение имеешь. Если уж на то пошло, механизмы ограничений что можно и что нельзя, как и каким образом в SSH куда мощнее, чем в sudo. Но для 99.99999% опеннетных админов локалхоста зайти по ключу — это уже высший пилотаж.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #128

96. Сообщение от Аноним (3), 20-Дек-23, 18:19   +/
А ты в курсе, что есть методы увода ключей вот прям уже расшифрованных?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #101

97. Сообщение от Аноним (93), 20-Дек-23, 18:20   –2 +/
В документации к SSH, которую ты никогда не читал. Впрочем, тебе на локалхосте и не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #131

98. Сообщение от Аноним (93), 20-Дек-23, 18:25   –2 +/
Приплыли. Одна половина комментирующих не понимает, что предлагается, вторая — понимает, но как работает OpenSSH понятия не имеет. Почитайте уже доку на OpenSSH дальше PermitRootLogin, чудики вы мои локалхостные. Тимоти дело говорит. Жаль, что большинство тут не догоняет, и вместо этого агрится на RH и systemd.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #102, #125, #134

99. Сообщение от glad_valakas (?), 20-Дек-23, 18:25   +1 +/
не надо бояться человека с ружьем^W^W^W suid бита.
это раньше хаксоры таким программам на вход подавали гигабайт NOP-ов и шеллкод.
но сейчас-то все иначе. ведь правда ? да ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

100. Сообщение от Аноним (113), 20-Дек-23, 18:43   +1 +/
> теперь есть андройд, где понятие пользователя сильно изменено: в нём каждая
> программа является отдельным пользователем, а суперпользователем является,
> как я понял, исключительно гугл.

Можно dev режим врубить и анлокнуть систему/бут. Но вообще индеец правильно понял за кого его считает белый человек.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

101. Сообщение от Аноним (30), 20-Дек-23, 19:06   +/
Так же как и введенный пароль из /etc/shadow можно увести. Так что запароленый ключ все еще безопаснее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #115, #139

102. Сообщение от ыы (?), 20-Дек-23, 19:22   +/
Мне казалось что суид программа - позволяет как раз обойти ограничения технологии ограничения доступа, когда стройная система оказывается работать по писанному, а нужно просто пнуть молотком чтоб заработало. Причем любому пользователю.
тоесть смысл как раз в том чтобы любой юзер мог запустить программу, которая бы сработала "от рута".
ну и причем тут токен тогда? что он вообще тут делает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

103. Сообщение от Аноним (103), 20-Дек-23, 19:28   +2 +/
Они их уже на клавиатуру сдали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

106. Сообщение от Ivan_83 (ok), 20-Дек-23, 20:10   +/
dbus, policykit для выключения и прочего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #127, #129

107. Сообщение от Аноним (107), 20-Дек-23, 20:56   +/
Рут без пароля из любой точки системы. Видимо из соображений инклюзичности, чтобы любой тупой "хакер" мог "взломать" систему.
Ответить | Правка | Наверх | Cообщить модератору

108. Сообщение от Аноним (93), 20-Дек-23, 21:25   +/
> Никому не интересен plan9.

Да. И это проблема. А если бы был, то вместо облаков и кубернетесов просто писали бы софт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #126

109. Сообщение от Аноним (93), 20-Дек-23, 21:27   +1 +/
TL;DR: Майкрософт ворует лампочки в подъезде у автора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #114

110. Сообщение от Аноним (93), 20-Дек-23, 21:39   +/
> зачем su лишний раз запускать?

Без этого сакрального заклинания на FreeBSD какой-то древней версии шелл неправильно работал. Это только в комментариях на опеннете все заучивают доки от и до на весь софт и хард прежде, чем компьютер включить. А в реальности просто запоминают заклинания и кастуют не зная почему так. Это, кстати, причина того, почему всё новое априори воспринимается «опытными» «юникс» «админами» в штыки: старые заклинания перестают работать, и нужно запоминать бессмысленный набор букв заново.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

111. Сообщение от Аноним (93), 20-Дек-23, 21:41   +/
Пока ты стараешься, кто-то делает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

112. Сообщение от Аноним (113), 20-Дек-23, 21:58   +/
>  Ну вообще говоря для рутокена линуксовые дрова вполне себе есть и работают

Как обычно какой-то blob-only крап, вне ядра, без сорцов, которому надо на честное слово поверить что все офигенно? Или таки смогли что-то менее позорное? А может еще и сорц фирмвари есть - чтобы проверить что все и правда честно, м?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #116

113. Сообщение от Аноним (113), 20-Дек-23, 22:01   +/
>  А что мешает, ставьте версию для raspberry pi и играйтесь

И результатом этих игрищ ожидается - что именно? Более того - зависеть от 1 производителя железок это полный попадос. Если они завтра снимут ту или иную модель с производства - то чего?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

114. Сообщение от Аноним (113), 20-Дек-23, 22:04   +/
Однако про конфликт интересов (member of FIDO => заинтересован в впаривании) вроде правильно все пишет. Ничего личного, это бизнес...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #137

115. Сообщение от Аноним (115), 20-Дек-23, 22:23   +/
Нафиг никому не сдались ваши ключи... Эксплоиты на повышение прав гораздо надёжнее и стабильно работают десятилетиями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

116. Сообщение от Аноним (116), 20-Дек-23, 23:25   +1 +/
Rutoken ECP поддерживаются в OpenSC, никаких блобов и проприетарщины.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #141

117. Сообщение от adolfus (ok), 21-Дек-23, 01:00   –1 +/
Я написал программу, выставил ей suid, и нахрена мне все это,описанное выше?
Ответить | Правка | Наверх | Cообщить модератору

123. Сообщение от Аноним (-), 21-Дек-23, 01:29   +1 +/
Сдаюсь. - Не знаю - почему это удаляет какой-то АВТОБОТ!!!
Да, и вот Михаил Шигорин и раньше указывал - opennet.ru/openforum/vsluhforumID3/129528.html#199 -
"Некоторые используют ssh root@localhost, чтобы убрать ещё один привилегированный бинарник;"
Так что трюк "известный". Но если докладчика зовут "Тимоти", то это "wow".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

125. Сообщение от Аноним (125), 21-Дек-23, 12:34   +/
> Тимоти дело говорит

Скорее занимается таким замечательным делом, как имитирование работы. Переливание из пустого в порожнее - очень плодотворная работа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

126. Сообщение от Wakizashi (?), 21-Дек-23, 15:57   +1 +/
Не, эту дичь так просто не изжить? plan9 не поможет - "модно-молодежные" и "сферические разработчики в ваккууме" все равно нашли бы на чем еще хайповать и ресурсы жечь.
Да и инфоцыганам же тоже надо деньгу зашибать на бессмысленных "курсах" - не про кубернетесы, так еще что-то бы придумали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #136

127. Сообщение от Аноним (92), 21-Дек-23, 19:09   +/
> dbus, policykit для выключения и прочего.

Это противоречит классической системе безопасности UNIX: DAC, MAC, CAP + INTEGRITY, AUDIT, ACCOUNTING.

dbus, policykit - делает дыру для доступа минуя классичесические для UNIX системы безопасности. Ну и реализация от потеринга ... Подробнее:

https://www.linux.org.ru/forum/security/15600248?cid=15622030
https://www.linux.org.ru/forum/security/15600248?cid=15600880
можно и предыдущие посты прочесть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

128. Сообщение от Аноним (128), 21-Дек-23, 19:11   +/
> механизмы ограничений ... SSH куда мощнее, чем в sudo

Смелое заявление, требует подробностей.

В sudo можно ограничивать хост, группу, пользователя (как реального, так и целевого, можно требовать пароль любого), отдельные переменные окружения, программы и аргументы программ, в том числе регулярками. Настройки надежно защищены. А есть ли, например, в SSH аналог NOEXEC?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #138

129. Сообщение от Аноним (92), 21-Дек-23, 19:13   +/
> dbus, policykit для выключения и прочего.

У меня правельно собранный GNU/Linux, без: dbus, policykit, systemd, JIT, PBF, ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

130. Сообщение от Аноним (128), 21-Дек-23, 19:15   +/
> не видел чтобы

man 5 sudoers. В примерах.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

131. Сообщение от Аноним (128), 21-Дек-23, 19:20   +/
Невозможно эффективно ограничить шелл. Самообман.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

132. Сообщение от Аноним (128), 21-Дек-23, 19:47   +/
> sudo не нужен.

И страдать, как Тимоти Равье?

> Если пользователю надо сменить пользователя на root то есть утилита su.

Никогда не надо, кроме ремонта.

> Обычному пользователю не надо выполнять команды с привилегиями.

Постоянно надо. Для установки ПО, монтирования съемных устройств, настройки сети.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #135

133. Сообщение от Аноним (128), 21-Дек-23, 19:51   +/
> sudo имеет suid-бит

И механизм контроля: кто, как и когда им пользуется.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

134. Сообщение от Аноним (128), 21-Дек-23, 19:54   +/
Чудики тыр-тыр-прайзные держат по серверу с докером и вебмордой на каждую юникс-утилиту. А локалхостники дело говорят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

135. Сообщение от Аноним (135), 22-Дек-23, 18:10   +/
>> Обычному пользователю не надо выполнять команды с привилегиями.
> Постоянно надо. Для установки ПО, настройки сети.

Это явно задачи суперпользователя. Пишу с системы где даже у root нету таких полномочий, а вы говорите задачи обычного пользователя.

> монтирования съемных устройств,

И обычным пользователем монтировать. кучу способов, хотябы в /etc/fstab прописать, или его поцтеринг вам тоже удалил?
udev под рутом выполняется и правило можно добавить для автомонтирования своих флешек.

> Для установки ПО

Выше привёл ссылки на linux.org.ru где для установки ПО обычным пользователем используют dbus+polkitd - ад и израель. Уж лучше sudo держать. CAP может решить даную задачу тоже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

136. Сообщение от Аноним (93), 22-Дек-23, 20:38   +/
Это не дичь, это результат того, что немодные и немолодёжные продолжают оберегать свои костыли и работаетнетрогай вопреки требованиям индустрии. И инфоцыгане тут именно поэтому — пролают надёжный рецепт сбережения костылей. Plan9 не панацея, но градус неадеквата снизил бы значительно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126

137. Сообщение от Аноним (93), 22-Дек-23, 20:42   +/
После этого не значит в результате этого. Майкрософт, как один из основных участников рынка и флагман индустрии, естественно будет входить во множество разных групп по интересам. Но ты можешь попробовать показат в цифрах, сколько миллионов в месяц MS зарабатывать на «впаривании» токенов. В одном ты прав: это действительно бизнес, а не личная месть автору.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #140

138. Сообщение от Аноним (93), 22-Дек-23, 20:50   +/
А вот и подтверждение моего тезиса о том, что админы локалхоста документацию не читают.

> Смелое заявление, требует подробностей.

Требует. И ты знаешь, где их взять. Всё, что тебе нужно это уметь читать по английски и немного воображения, чтобы осознать предложенную модель. Мои джуны справляются, даст бог и ты сможешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #145

139. Сообщение от Аноним (-), 22-Дек-23, 21:10   +/
> Так же как и введенный пароль из /etc/shadow можно увести. Так что
> запароленый ключ все еще безопаснее.

Так там не пароли и хеши от них. А если атакующий перехватывает ваш ввод - окей, а зачем ему ваши ключи и пароли тогда?! Он и так вас уже поимел. Весь ввод он и так знает, если он доступы хотел - ну, окей, засечь когда вы будете по ssh рулить да вкатить пару лишних команд в input.

Вы конечно можете попробовать обойтись кастомной наэкранкой, типа как некоторые вебморды банков, но через сколько вы взвоете с такого менеджмента серверов?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

140. Сообщение от Аноним (-), 22-Дек-23, 21:16   +/
> миллионов в месяц MS зарабатывать на «впаривании» токенов. В одном ты
> прав: это действительно бизнес, а не личная месть автору.

Тем не менее лично я с гитхаба ушел, потому что такое навязчивое желания меня осчастливить, с ножом к горлу, "а не то!" - несколько напрягает. Без таких "благодетелей" моя жизнь - намного лучше.

И кстати удачи им в "контроле цепочек поставок" и прочей гестаповщине. Я им быренько объясню что "D" в DVCS означает. Но они конечно могут заморозить гитхаб и не принимать новые комиты - особенно сделанные вне гитхаба, если хотят :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

141. Сообщение от Аноним (-), 22-Дек-23, 21:21   +/
> Rutoken ECP поддерживаются в OpenSC, никаких блобов и проприетарщины.

Ну ок, это уже не позор-позор. А сорц фирмвари там как, тоже дают? Почему-то самый интересный вопрос - как обычно заскипан. Доверять какой-то серебряной пуле - без сорцов оной - и за что мы тут, спрашивается, боролись? Чтобы отдать топ секреты какой-то блоботе? А после этого никого не надо назвать "д@била кусок" случайно? Так, на правах называния вещей своими именами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #149

142. Сообщение от Аноним (-), 22-Дек-23, 21:32   +/
> sudo использует ровно тот же pam стек уже тысячу лет.

Еще он sudoedit использует. Мы же жить не можем без постоянного редактирования чего там, правильным редактором. Так что вот вам тут вулнов пачку на ровном месте. Дурацкая suid'ная программа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #151

143. Сообщение от Аноним (-), 22-Дек-23, 21:35   +/
> Сдаюсь. - Не знаю - почему это удаляет какой-то АВТОБОТ!!!

Потому что у мудобота бывают заскоки и последние несколько дней его плющило. Скажи спасибо что у него туррелей автоматических нет, иначе он бы уже человечество децимировал нахрен.

> Так что трюк "известный". Но если докладчика зовут "Тимоти", то это "wow".

Широко известный в узких кругах видимо. "Остап знал дюжину способов элевации без suid'ного бита".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

144. Сообщение от Электрон (?), 23-Дек-23, 03:45   +/
Опытный пользователь MS Office, Word, Excel. А чем можете похвастаться вы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

145. Сообщение от Sem (??), 23-Дек-23, 07:31   +/
Это нужно шел пользователя чем то заменить. Иначе, команды не ограничить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

146. Сообщение от dasd (?), 23-Дек-23, 11:29   +/
ok, google
будет ли работать sudo -i если у пользователя shell=nologin ?  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

148. Сообщение от Аноним (-), 23-Дек-23, 19:50   +/
> Предлагаю универсальный классический способ ухода  от suid-бит в GNU/Linux:

Там порылся мааааааленький фэйл!


1. Мнение разрабов дистрибутива:
groupadd wireshark
usermod -a -G wireshark vasya
chown root:wireshark /usr/bin/dumpcap
chmod a-rwxst,u+rwx,g+x /usr/bin/dumpcap
setcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep /usr/bin/dumpcap

Извините, господа, надо трогать явно системные файлы, вопрос как это все с пакетником отвзаимодействует, меняется модель безопасности, не особо очевидным образом.

В общем - это более интрузивный по изменениям в системе метод. И потому хотя формально оно как бы да, реально - вот - эти соображения не айс. В идеале мы эксплуатируем ОС с бинарями и их правами, атрибутами и проч в стоковом состоянии. Чтобы не брать на себя лишний майнтенанс и не тригерить IDS/системный мониторинг/верификацию состояния ОС и проч подозрительными действиями.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

149. Сообщение от morphe (?), 23-Дек-23, 20:06   +/
Сорц полустандартного OpenGPGCard тоже не доступен, лишь обрезок старого кода под basiccard, в котором явно обозначено что много кода пропущено из-за патентов
Yubikey/google titan/ещё некоторые альтернативные реализации полностью проприетарные

Есть nitrokey 3 с открытой прошивкой (https://github.com/Nitrokey/nitrokey-3-firmware), однако там обращение с ключами сильно менее защищённое чем в смарткартах, потому что вместо намертво приклееной к плате неразборной капли, там полноценный sram+cryptoчип+процессор (Однако есть возможность обновить прошивку, что приятно)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

150. Сообщение от фф (?), 25-Дек-23, 14:57   +/
> тогда зачем мне прокладка в виде работающего sshd с socat под рутом.
> с судо они мне не нужны :)

чтоб было :) люди старались, делали, а вы: "ненужно"
не надо быть такой букой

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

151. Сообщение от Аноним (151), 26-Дек-23, 23:40   +/
Ты же в курсе, что sudoedit запускает редактор от пользователя, а поднимает привилегии только (и только) для замены переданного параметром файла? Да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру