| 1.4, Аноним (4), 12:59, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
На замену sudo есть run0.
Вот людям неймется. Уж лучше бы wayback доделывал.
| | |
| |
| 2.9, Kilrathi (ok), 13:16, 13/12/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
 А умеющие читать и писать просто пропишут нужные пользователю команды в sudoers.d
| | |
| |
| 3.23, User (??), 14:52, 13/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
| | |
| |
| 4.32, Kilrathi (ok), 15:26, 13/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
Зависит от того на что выдавать. Если на /sbin/reboot, который без рута не подменить - это вряд ли.
А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: через sudo, doas, capsudo или run0.
| | |
| |
| 5.48, User (??), 18:30, 13/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
> Зависит от того на что выдавать. Если на /sbin/reboot, который без рута
> не подменить - это вряд ли.
> А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска:
> через sudo, doas, capsudo или run0.
В последнем cve даже и "давать" ничего не требовалось, ага
| | |
| |
| 6.56, Аноним (56), 20:01, 13/12/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
В прошедшем времени. А в "заменителях" всё ещё только впереди.
| | |
| |
| 7.68, Kilrathi (ok), 23:29, 13/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В прошедшем времени. А в "заменителях" всё ещё только впереди.
Ну почему же только впереди, недавно здесь же обсуждали cve у sudo-rs.
| | |
| |
| 8.81, User (??), 08:23, 14/12/2025 [^] [^^] [^^^] [ответить] | +/– | Это тот, где если пароль ввести и enter не нажать, то через полчаса его подгляд... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.5, Аноним (5), 13:04, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
давайте напишем системный демон и запустим от рута, осталось только прикрутить сеть и выставить голой опой, и вуаля хороший судо, запускай хоть с марса :) оригинально
| | |
| 1.7, Аноним (7), 13:08, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Принцип KISS (Keep it simple, stupid) в лучших проявлениях. Но не взлетит, так как не дело по отдельному демону на каждую команду в памяти держать, а создание одного общего диспетчера сведёт на нет всю простоту и приведёт к появлению ещё одного Polkit.
| | |
| |
| 2.95, Аноним (95), 10:18, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Simple не про suid бинарь на каком бы языке он ни был. И тем более не на Сях
| | |
|
| 1.17, mos87 (ok), 14:47, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Из недостатков sudo ... недекларативный формат конфигурации
>чтобы повторить поведение sudo и разрешить выполнение с повышенными >привилегиями любых приложений для пользователей, входящих в группу >wheel, можно использовать следующие настройки:
>
>
> # mkdir -p /run/cap
> # capsudod -s /run/cap/sudo-capability &
> # chgrp wheel /run/cap/sudo-capability
> # chmod 770 /run/cap/sudo-capability
>
> $ capsudo -s /run/cap/sudo-capability | | |
| |
| 2.52, пох. (?), 19:01, 13/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
В общем, у альпайна похоже все плохо с безопасностью.
(конечно, от недолинукса для запуска в докере под докером никто и не ждал, но все же...)
Да, с форматом конфигурации тут просто все прекрасно - как после этого выяснить кому и что мы наразрешали - искать по всей системе стремные сокеты?
Про то что в этом наборе команд race condition - щпециалист(ка?) по безопастносте похоже даже не знает.
(ага, чмод. После создания. И что же мне помешало уже открыть этот сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто их учил давать права на исполнение - сокетам?)
| | |
| |
| 3.79, RM (ok), 02:50, 14/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 > искать по всей системе стремные сокеты?
искать capsudod процессы, а в их коммандной строке видно все активные "стрёмные сокеты".
> И что же мне помешало уже открыть этот сокет
umask пользователя root в нормальной системе не даст открыть на запись.
хотя в общем конечно этот capsudo оставляет ощущение имено что стрёмное.
но ниче, вреднят, первый раз что-ли ;)
| | |
| 3.91, anonymous (??), 07:35, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Про то что в этом наборе команд race condition - щпециалист(ка?) по
> безопастносте похоже даже не знает.
> (ага, чмод. После создания. И что же мне помешало уже открыть этот
> сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто
> их учил давать права на исполнение - сокетам?)
Помешало - очевидно отсутсвие прав. по умолчанию сокет там создается с 0770 root:root
+x на сокет это возможность читать каталог, в котором находиться этот сокет, а не то что вы подумали)
Резюме: жидким, как обычно
| | |
| |
| 4.92, 1 (??), 09:23, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> +x на сокет это возможность читать каталог, в котором находиться этот сокет
Так можно было ? O_o
| | |
|
|
|
| 1.25, Аноним (25), 14:55, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Например, чтобы предоставить какому-то пользователю возможность запуска утилиты reboot с повышенными привилегиями, администратор может
написать в doas.conf:
permit user1 as root cmd reboot
| | |
| |
| |
| |
| 4.46, Аноним (-), 18:02, 13/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не проблема. Я могу рассказать, что я не пробовал ни doas, ни sudo и они никогда у меня не работали поэтому. Тебе всё ещё интересно? Я могу ещё рассказать про утилиты из coreutils, которые я использовал и которые я считаю лишними там.
| | |
|
|
|
| 1.44, Аноним (44), 17:51, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ] | +2 +/– | У sudo раздутая кодовая база, поэтому надо сделать отдельного демона, который бу... большой текст свёрнут, показать | | |
| 1.49, Karl (ok), 18:35, 13/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
 Ну вот ЗАЧЕМ??? В принципе sudo есть зло абсолютное! Его не должно существовать! Жили без него - отлично.
Всегда юзер должен быть юзер, админ должен быть админ
И никакого "повышения полномочий"! Это ИЗВРАЩЕНИЕ, как зараза подхваченное у Микрософта
| | |
| |
| 2.51, Аноним (51), 18:56, 13/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. Рассказывай, как без механизмов повышения привилегий это сделать.
| | |
| |
| 3.54, Karl (ok), 19:18, 13/12/2025 [^] [^^] [^^^] [ответить] | –5 +/– | dba может иметь разные значения, среди них a Доктор делового администрирования... большой текст свёрнут, показать | | |
| |
| 4.59, Аноним (59), 20:41, 13/12/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Из контекста же прекрасно понятно о чем речь. Если только вы не самозванец.
| | |
| |
| 5.64, Karl (ok), 21:55, 13/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Из контекста же прекрасно понятно о чем речь. Если только вы не
> самозванец.
Было бы понятно, не спрашивал бы уточнения
| | |
| |
| 6.74, Аноним (74), 01:22, 14/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вообще-то аббревиатура DBA в контексте системного администрирования должна быть понятна без пояснений
| | |
|
|
|
| 3.57, Аноним (56), 20:12, 13/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
На утилиту бэкапа - CAP_DAC_READ_SEARCH (https://www.man7.org/linux/man-pages/man7/capabilities.7.html)
Плюс, DAC/ACL для ограничения доступа пользователей к утилите.
Желательно, чтобы у утилиты не было доступа к сети, и она писала бэкап локально в единственную доступную для записи директорию. Откуда готовый (шифрованный) бэкап разносился на резервные (удаленные) сервисы другой утилитой сетевого копирования (rsync/rclone), у которой на локальной машине чтение и запись также ограничены.
Ещё больше обезопасить утилиты можно, применяя landlock в их коде.
Но и у sudo пока есть своя ниша.
| | |
| 3.62, Аноним (44), 21:19, 13/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> dba
> db
Раздвоеие личности надо лечить, а не обмазываться паллиативами типа sudo.
| | |
| |
| 4.76, Аноним (74), 01:35, 14/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Так у юзера db в качестве оболочки /sbin/nologin указан, потому что по условию задачи это пользователь, под которым работает БД, системный, с uid < 1000.
А DBA ходит в систему как обычный юзер dba.
| | |
|
| 3.69, Kilrathi (ok), 23:34, 13/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db.
> Рассказывай, как без механизмов повышения привилегий это сделать.
Например sql-дампом через localhost в свой home и дальше на резервное хранилище
| | |
| |
| |
| 5.77, Kilrathi (ok), 02:00, 14/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> идиотизм считать скул дампы бекапами.
Только если вы из адептов «для резервирования каталога документов надо забакапить целиком весь сервак»
| | |
| |
| 6.86, Аноним (86), 16:01, 14/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Для резервирования каталога документов хорошо бы чтобы в этот момент туда никто не писал, в первую очередь.
| | |
|
|
|
| 3.71, Аноним (5), 00:46, 14/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Рассказывай, как без механизмов повышения привилегий это сделать.
механизм бекапа это механизм рсубд, а не прихоть пользователя, настраиваешь конфиг, делай бекап той-то базы в такое-то время и все, зачем еще юзеры какие-то?
| | |
|
| 2.55, Аноним (55), 19:38, 13/12/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
>Всегда ... админ должен быть админ
>И никакого "повышения полномочий"!
Абсолютное непонимание базовых основ безопасности!
Запомните, юноша, админ (человек) основную часть времени *должен* работать как простой юзер (без превилегий) и только в самых *необходимых* случаях повышать привилегии до админа.
| | |
| |
| |
| 4.93, 1 (??), 09:27, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тогда все человеки (админы то биш) будут знать пароль root (один на всех) - а это не кошерно. Никогда не узнаешь кто из этого стада админов всё поломал.
| | |
|
| 3.98, Аноним (98), 12:01, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не повышать из текущего пользователя, а заходить под учетной записью root из отдельной консоли.
| | |
| |
| 4.102, 1 (??), 16:08, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну я уже выше и писал - тогда пароль рута (через некоторое время) будет известен всем.
| | |
| |
| 5.104, Аноним (98), 16:35, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я тебя не понимаю.
1. Удаляем sudo.
2. Обычные дела в простом пользователе.
3. Если нужно что-то установить и проч., то заходим под root.
А ты про что?
| | |
|
|
|
|
| |
| 2.73, нах. (?), 01:15, 14/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
но винды (как обычно у этих больных на всю голову) не видели даже через чужое плечо.
Поэтому получается - хрень. Как всегда.
(нет в винде никаких бредовых сокетов по всей фс, угадай-куда-я-его-запрятал и какие права он дает если его кто-то нашел)
| | |
| |
| 3.96, Аноним (96), 10:19, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>никаких бредовых сокетов
зато куча упоротой дичи типа Windows Registry
| | |
|
| 2.94, 1 (??), 09:29, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
В винде админ не может выполнить команду от имени другого пользователя. Ну есть конечно костыли со сменой/восстановлением пароля - но штатно нет.
| | |
| |
| 3.103, 1 (??), 16:11, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
отвечу анониму с remontki - ты попробуй это сделать не зная пароля юзверя.
| | |
|
|
| 1.78, _ (??), 02:05, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А в реальности будет:
# capsudod -s /home/user/alfaman-capability bash &
# chown user:user /home/user/alfaman-capability
# chmod 700 /home/user/alfaman-capability
# запускаем ништяк командой:
$ capsudo -s /home/user/alfaman-capability
Удобно жи?! Удобно!
И кроме этого - другие сокеты можно уже и не создавать! Ещё раз удобно!
Вы там аффтарке передайте :)
| | |
| |
| 2.84, Аноним (84), 14:47, 14/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не нужно умножать сущности без необходимости. На уровне идеи sudo совершенен. Надеюсь, проект не взлетит.
| | |
| 2.88, myster (ok), 00:47, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Ну с sudo именно так и делают. Многие администраторы даже не видят разницы между беспарольным доступом через sudo и доступом с паролем, и делают всегда без пароля – "Удобно жи?! Удобно!"
А при установке того же Docker, им везде пишут: не добавляйте своего пользователя в группу docker бездумно. Но все добавляют обычного пользователя в группу docker и при этом ссылаются на официальную инструкцию Docker, где, якобы, Docker это рекомендует. А жирное выделенное красным цветом предупреждение там же они игнорируют: "Warning: The docker group grants root-level privileges to the user."
| | |
|
| 1.87, Аноним (87), 20:26, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересно, насколько можно управлять правилами - разрешить запуск только с определёнными аргументами? И как с этим у альтернатив
| | |
| 1.89, myster (ok), 00:50, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Плюс от такого инструмента будет, однозначно. Но это должно поддерживаться на уровне ядра и не так стрёмно, как ACL. Многие не используют ACL в Linux, потому что оно кривое и через пень-колоду работает. А в той же винде ACL из коробки прекрасно, как бы винду не хаили, но за это Билла Гейтса можно и похвалить, придумал в 90-х ещё для NT и работает по сей день, как часы.
| | |
| |
| 2.100, gl3ko (?), 14:39, 15/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
В linux были попытки сделать более расширенные NFSv4 ACL с нормальным наследованием т.п. и которые не смотря на название можно было и без NFS использовать.
Даже патчи были, но чета так и не доделали (то ли деды задушили, типо у нас и так posix ACL есть, зачем нам это, то ли авторы патчей просто забили).
А вот во freebsd, вроде, реализация есть, но я не проверял на практике.
| | |
|
| 1.97, Соль земли2 (?), 10:34, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> усложнённый, неиерархический и недекларативный формат конфигурации
Ариадна Гранде не осилил форму записи Бэкуса — Наура?
| | |
|
