forum.opennet.ru - "Представлен capsudo, вариант sudo с разделением полномочий на уровне объектов" (53)

"Представлен capsudo, вариант sudo с разделением полномочий на уровне объектов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Представлен capsudo, вариант sudo с разделением полномочий на уровне объектов"	+/–
Сообщение от opennews (??), 13-Дек-25, 12:40
Ариадна Конилл (Ariadne Conill), создатель музыкального проигрывателя Audacious и композитного сервера Wayback, инициатор разработки протокола IRCv3 и лидер команды по обеспечению безопасности Alpine Linux, развивает инструментарий capsudo для выполнению команд с повышенными привилегиями. В отличие от sudo в новом проекте задействована модель предоставления полномочий на уровне отдельных объектов (object-capability). Код проекта написан на языке Си и распространяется под лицензией MIT... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64420
Ответить \| Правка \| Cообщить модератору

Оглавление

Но зачем , Аноним (1), 12:40 , 13-Дек-25, (1) +7

Ну а почему бы и нет , Аноним (2), 12:42 , 13-Дек-25, (2) +8

Действительно, зря быканул , Аноним (1), 12:44 , 13-Дек-25, (3) +19

Можно, а зачем с , Кошкажена (?), 14:33 , 13-Дек-25, (13)

На замену sudo есть run0 Вот людям неймется Уж лучше бы wayback доделывал , Аноним (4), 12:59 , 13-Дек-25, (4) –3

а на замену run0 есть безопасный sudo-rs, Аноним (6), 13:07 , 13-Дек-25, (6) –7

безопасно не работает , Аноним (80), 03:30 , 14-Дек-25, (80)

А умеющие читать и писать просто пропишут нужные пользователю команды в sudoers , Kilrathi (ok), 13:16 , 13-Дек-25, (9) +4

И Вася пупкин без труда получит root a, ага Не опять , а снова , User (??), 14:52 , 13-Дек-25, (23)

Зависит от того на что выдавать Если на sbin reboot, который без рута не подме, Kilrathi (ok), 15:26 , 13-Дек-25, (32)

В последнем cve даже и давать ничего не требовалось, ага, User (??), 18:30 , 13-Дек-25, (48) +1

В прошедшем времени А в заменителях всё ещё только впереди , Аноним (56), 20:01 , 13-Дек-25, (56) +3

Ну почему же только впереди, недавно здесь же обсуждали cve у sudo-rs , Kilrathi (ok), 23:29 , 13-Дек-25, (68) +1

Это тот, где если пароль ввести и enter не нажать, то через полчаса его подгляд, User (??), 08:23 , 14-Дек-25, (81)

давайте напишем системный демон и запустим от рута, осталось только прикрутить с, Аноним (5), 13:04 , 13-Дек-25, (5) +8
Принцип KISS Keep it simple, stupid в лучших проявлениях Но не взлетит, так к, Аноним (7), 13:08 , 13-Дек-25, (7) –1
С этой утилитой нужно будет писать capsudo -i , Аноним (-), 14:33 , 13-Дек-25, (12) +1
Из недостатков sudo недекларативный формат конфигурации, mos87 (ok), 14:47 , 13-Дек-25, (17) +4

В общем, у альпайна похоже все плохо с безопасностью конечно, от недолинукса дл, пох. (?), 19:01 , 13-Дек-25, (52) +1

искать capsudod процессы, а в их коммандной строке видно все активные стрёмные , RM (ok), 02:50 , 14-Дек-25, (79)

Вставь чужой sudo в свою систему - дай удаленный доступ в свою систему , Аноним (20), 14:49 , 13-Дек-25, (20)
написать в doas conf permit user1 as root cmd reboot, Аноним (25), 14:55 , 13-Дек-25, (25)

У меня почему-то doas не работал Вернулся обратно на sudo , Аноним (29), 15:18 , 13-Дек-25, (29)

Хорошо, держи в курсе , Frestein (ok), 16:03 , 13-Дек-25, (35) +1

Хорошо, держу в курсе , scriptkiddis (?), 16:55 , 13-Дек-25, (41) +1
Не проблема Я могу рассказать, что я не пробовал ни doas, ни sudo и они никогда, Аноним (-), 18:02 , 13-Дек-25, (46)

У sudo раздутая кодовая база, поэтому надо сделать отдельного демона, который бу, Аноним (44), 17:51 , 13-Дек-25, (44) +2
Ну вот ЗАЧЕМ В принципе sudo есть зло абсолютное Его не должно существовать , Karl (ok), 18:35 , 13-Дек-25, (49) –4

Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db Рассказывай, к, Аноним (51), 18:56 , 13-Дек-25, (51) +1

dba может иметь разные значения, среди них a Доктор делового администрирования , Karl (ok), 19:18 , 13-Дек-25, (54) –5

Из контекста же прекрасно понятно о чем речь Если только вы не самозванец , Аноним (59), 20:41 , 13-Дек-25, (59) +4

Было бы понятно, не спрашивал бы уточнения, Karl (ok), 21:55 , 13-Дек-25, (64) –2

Вообще-то аббревиатура DBA в контексте системного администрирования должна быть , Аноним (74), 01:22 , 14-Дек-25, (74) +2

На утилиту бэкапа - CAP_DAC_READ_SEARCH https www man7 org linux man-pages ma, Аноним (56), 20:12 , 13-Дек-25, (57)
Раздвоеие личности надо лечить, а не обмазываться паллиативами типа sudo , Аноним (44), 21:19 , 13-Дек-25, (62)

Так у юзера db в качестве оболочки sbin nologin указан, потому что по условию з, Аноним (74), 01:35 , 14-Дек-25, (76) +1

Например sql-дампом через localhost в свой home и дальше на резервное хранилище, Kilrathi (ok), 23:34 , 13-Дек-25, (69) –1

идиотизм считать скул дампы бекапами , Аноним (5), 00:48 , 14-Дек-25, (72) +1

Два чая этому анониму, Аноним (74), 01:24 , 14-Дек-25, (75) +1
Только если вы из адептов 171 для резервирования каталога документов надо заба, Kilrathi (ok), 02:00 , 14-Дек-25, (77)

Для резервирования каталога документов хорошо бы чтобы в этот момент туда никто , Аноним (86), 16:01 , 14-Дек-25, (86)

механизм бекапа это механизм рсубд, а не прихоть пользователя, настраиваешь конф, Аноним (5), 00:46 , 14-Дек-25, (71) +1

Абсолютное непонимание базовых основ безопасности Запомните, юноша, админ челов, Аноним (55), 19:38 , 13-Дек-25, (55) +3

su, Аноним (44), 21:23 , 13-Дек-25, (63)

Хотят сделать как в винде То есть, по умному , Аноним (60), 21:15 , 13-Дек-25, (60) –1

но винды как обычно у этих больных на всю голову не видели даже через чужое пл, нах. (?), 01:15 , 14-Дек-25, (73) –1

Когда завезут в systemd , Аноним (70), 23:54 , 13-Дек-25, (70) –1

В systemd завезли run0, Аноним (86), 15:57 , 14-Дек-25, (85) –1

А в реальности будет capsudod -s home user alfaman-capability bash chown u, _ (??), 02:05 , 14-Дек-25, (78) +1

Не нужно умножать сущности без необходимости На уровне идеи sudo совершенен На, Аноним (84), 14:47 , 14-Дек-25, (84)
Ну с sudo именно так и делают Многие администраторы даже не видят разницы между, myster (ok), 00:47 , 15-Дек-25, (88)

Интересно, насколько можно управлять правилами - разрешить запуск только с опред, Аноним (87), 20:26 , 14-Дек-25, (87)
Плюс от такого инструмента будет, однозначно Но это должно поддерживаться на ур, myster (ok), 00:50 , 15-Дек-25, (89)

Сообщения [Сортировка по времени | RSS]

1. "Представлен capsudo, вариант sudo с разделением полномочий н..." +7 +/–

Сообщение от Аноним (1), 13-Дек-25, 12:40

Но зачем?

Ответить | Правка | Наверх | Cообщить модератору

2. "Представлен capsudo, вариант sudo с разделением полномочий н..." +8 +/–

Сообщение от Аноним (2), 13-Дек-25, 12:42

Ну а почему бы и нет?

Ответить | Правка | Наверх | Cообщить модератору

3. "Представлен capsudo, вариант sudo с разделением полномочий н..." +19 +/–

Сообщение от Аноним (1), 13-Дек-25, 12:44

Действительно, зря быканул.

Ответить | Правка | Наверх | Cообщить модератору

13. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Кошкажена (?), 13-Дек-25, 14:33

Можно, а зачем? (с)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Представлен capsudo, вариант sudo с разделением полномочий н..." –3 +/–

Сообщение от Аноним (4), 13-Дек-25, 12:59

На замену sudo есть run0.
Вот людям неймется. Уж лучше бы wayback доделывал.

Ответить | Правка | Наверх | Cообщить модератору

6. "Представлен capsudo, вариант sudo с разделением полномочий н..." –7 +/–

Сообщение от Аноним (6), 13-Дек-25, 13:07

а на замену run0 есть безопасный sudo-rs

Ответить | Правка | Наверх | Cообщить модератору

80. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (80), 14-Дек-25, 03:30

> безопасный sudo-rs
безопасно не работает

Ответить | Правка | Наверх | Cообщить модератору

9. "Представлен capsudo, вариант sudo с разделением полномочий н..." +4 +/–

Сообщение от Kilrathi (ok), 13-Дек-25, 13:16

А умеющие читать и писать просто пропишут нужные пользователю команды в sudoers.d

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

23. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от User (??), 13-Дек-25, 14:52

И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".

Ответить | Правка | Наверх | Cообщить модератору

32. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Kilrathi (ok), 13-Дек-25, 15:26

> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
Зависит от того на что выдавать. Если на /sbin/reboot, который без рута не подменить - это вряд ли.
А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: через sudo, doas, capsudo или run0.

Ответить | Правка | Наверх | Cообщить модератору

48. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от User (??), 13-Дек-25, 18:30

>> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
> Зависит от того на что выдавать. Если на /sbin/reboot, который без рута
> не подменить - это вряд ли.
> А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска:
> через sudo, doas, capsudo или run0.
В последнем cve даже и "давать" ничего не требовалось, ага

Ответить | Правка | Наверх | Cообщить модератору

56. "Представлен capsudo, вариант sudo с разделением полномочий н..." +3 +/–

Сообщение от Аноним (56), 13-Дек-25, 20:01

В прошедшем времени. А в "заменителях" всё ещё только впереди.

Ответить | Правка | Наверх | Cообщить модератору

68. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Kilrathi (ok), 13-Дек-25, 23:29

> В прошедшем времени. А в "заменителях" всё ещё только впереди.
Ну почему же только впереди,  недавно здесь же обсуждали cve у sudo-rs.

Ответить | Правка | Наверх | Cообщить модератору

81. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от User (??), 14-Дек-25, 08:23

>> В прошедшем времени. А в "заменителях" всё ещё только впереди.
> Ну почему же только впереди,  недавно здесь же обсуждали cve у
> sudo-rs.
Это тот, где "если пароль ввести и enter не нажать, то через полчаса его подглядеть можно"? А, ну да, ну да - кшмаррр и ужаст!

Ответить | Правка | Наверх | Cообщить модератору

5. "Представлен capsudo, вариант sudo с разделением полномочий н..." +8 +/–

Сообщение от Аноним (5), 13-Дек-25, 13:04

давайте напишем системный демон и запустим от рута, осталось только прикрутить сеть и выставить голой опой, и вуаля хороший судо, запускай хоть с марса :) оригинально

Ответить | Правка | Наверх | Cообщить модератору

7. "Представлен capsudo, вариант sudo с разделением полномочий н..." –1 +/–

Сообщение от Аноним (7), 13-Дек-25, 13:08

Принцип KISS (Keep it simple, stupid) в лучших проявлениях. Но не взлетит, так как не дело  по отдельному демону на каждую команду в памяти держать, а создание одного общего диспетчера сведёт на нет всю простоту и приведёт к появлению ещё одного Polkit.

Ответить | Правка | Наверх | Cообщить модератору

12. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Аноним (-), 13-Дек-25, 14:33

С этой утилитой нужно будет писать "$ capsudo -i"?

Ответить | Правка | Наверх | Cообщить модератору

17. "Представлен capsudo, вариант sudo с разделением полномочий н..." +4 +/–

Сообщение от mos87 (ok), 13-Дек-25, 14:47

Из недостатков sudo ... недекларативный формат конфигурации
>чтобы повторить поведение sudo и разрешить выполнение с повышенными >привилегиями любых приложений для пользователей, входящих в группу >wheel, можно использовать следующие настройки:
>
>
>   # mkdir -p /run/cap
>   # capsudod -s /run/cap/sudo-capability &
>   # chgrp wheel /run/cap/sudo-capability
>   # chmod 770 /run/cap/sudo-capability
>
>   $ capsudo -s /run/cap/sudo-capability

Ответить | Правка | Наверх | Cообщить модератору

52. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от пох. (?), 13-Дек-25, 19:01

В общем, у альпайна похоже все плохо с безопасностью.
(конечно, от недолинукса для запуска в докере под докером никто и не ждал, но все же...)
Да, с форматом конфигурации тут просто все прекрасно - как после этого выяснить кому и что мы наразрешали - искать по всей системе стремные сокеты?
Про то что в этом наборе команд race condition - щпециалист(ка?) по безопастносте похоже даже не знает.
(ага, чмод. После создания. И что же мне помешало уже открыть этот сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто их учил давать права на исполнение - сокетам?)

Ответить | Правка | Наверх | Cообщить модератору

79. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от RM (ok), 14-Дек-25, 02:50

> искать по всей системе стремные сокеты?
искать capsudod процессы, а в их коммандной строке видно все активные "стрёмные сокеты".
> И что же мне помешало уже открыть этот сокет
umask пользователя root в нормальной системе не даст открыть на запись.
хотя в общем конечно этот capsudo оставляет ощущение имено что стрёмное.
но ниче, вреднят, первый раз что-ли ;)

Ответить | Правка | Наверх | Cообщить модератору

20. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (20), 13-Дек-25, 14:49

Вставь чужой sudo в свою систему - дай удаленный доступ в свою систему!

Ответить | Правка | Наверх | Cообщить модератору

25. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (25), 13-Дек-25, 14:55

> Например, чтобы предоставить какому-то пользователю возможность запуска утилиты reboot с повышенными привилегиями, администратор может
написать в doas.conf:
permit user1 as root cmd reboot

Ответить | Правка | Наверх | Cообщить модератору

29. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (29), 13-Дек-25, 15:18

У меня почему-то doas не работал. Вернулся обратно на sudo.

Ответить | Правка | Наверх | Cообщить модератору

35. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Frestein (ok), 13-Дек-25, 16:03

Хорошо, держи в курсе.

Ответить | Правка | Наверх | Cообщить модератору

41. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от scriptkiddis (?), 13-Дек-25, 16:55

Хорошо, держу в курсе.

Ответить | Правка | Наверх | Cообщить модератору

46. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (-), 13-Дек-25, 18:02

Не проблема. Я могу рассказать, что я не пробовал ни doas, ни sudo и они никогда у меня не работали поэтому. Тебе всё ещё интересно? Я могу ещё рассказать про утилиты из coreutils, которые я использовал и которые я считаю лишними там.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

44. "Представлен capsudo, вариант sudo с разделением полномочий н..." +2 +/–

Сообщение от Аноним (44), 13-Дек-25, 17:51

У sudo раздутая кодовая база, поэтому надо сделать отдельного демона, который будет делать всё то же самое, плюс ещё тащить в себе код для обмена данными через сокет, и к нему ещё клиентскую утилиту.
> Только пользователи, имеющие доступ к сокету, могут выполнять привязанные к сокету привилегированные команды.
И чем это лучше suid-root процесса, который проверяет "кто меня запустил"?
> администратор может создать в домашнем каталоге заданного пользователя сокет "reboot-capability", привязать его к запуску утилиты reboot и на уровне прав доступа разрешить запись в сокет только необходимому пользователю. После этого данный пользователь сможет запустить команду reboot, выполнив "capsudo -s reboot-capability".
То есть, кроме нового геморроя с сокетами для админа, ещё и юзверям переучиваться вместо привычных утилит запускать какую-то новую хрень (или держать актуальный список алиасов в rc'шнике).

Ответить | Правка | Наверх | Cообщить модератору

49. "Представлен capsudo, вариант sudo с разделением полномочий н..." –4 +/–

Сообщение от Karl (ok), 13-Дек-25, 18:35

Ну вот ЗАЧЕМ??? В принципе sudo есть зло абсолютное! Его не должно существовать! Жили без него - отлично.
Всегда юзер должен быть юзер, админ должен быть админ
И никакого "повышения полномочий"! Это ИЗВРАЩЕНИЕ, как зараза подхваченное у Микрософта

Ответить | Правка | Наверх | Cообщить модератору

51. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Аноним (51), 13-Дек-25, 18:56

Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. Рассказывай, как без механизмов повышения привилегий это сделать.

Ответить | Правка | Наверх | Cообщить модератору

54. "Представлен capsudo, вариант sudo с разделением полномочий н..." –5 +/–

Сообщение от Karl (ok), 13-Дек-25, 19:18

> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db.
> Рассказывай, как без механизмов повышения привилегий это сделать.
dba может иметь разные значения, среди них:
a) Доктор делового администрирования (англ. Doctor of Business Administration).
b) Администратор баз данных (англ. Database administrator).
c) dBA — единица измерения громкости звука.
d) DBA (Disc Brakes Australia) — австралийский производитель тормозных дисков для легковых автомобилей.
e) DBA (Double Bend Achromat) — тип фокусирующей структуры синхротронов.
f) DarkBASIC (.dba формат) — компьютерный язык и связанная с ним среда программирования, предназначенные для упрощения создания 3D-видеоигр.
g) Dallas Bar Association — профессиональная организация для юристов в Далласе, Техас, США.
h) The Barge Association, ранее «Dutch Barge Association» (DBA) — клуб для любителей отдыха на внутренних водных путях Европы
Вы сейчас о чём? О правах на СУБД? Ну так и говорите. Причём тут именно повышение прав? Или вы ни в одной нормальной Unix+ OS не работали, кроме Mint?

Ответить | Правка | Наверх | Cообщить модератору

59. "Представлен capsudo, вариант sudo с разделением полномочий н..." +4 +/–

Сообщение от Аноним (59), 13-Дек-25, 20:41

Из контекста же прекрасно понятно о чем речь. Если только вы не самозванец.

Ответить | Правка | Наверх | Cообщить модератору

64. "Представлен capsudo, вариант sudo с разделением полномочий н..." –2 +/–

Сообщение от Karl (ok), 13-Дек-25, 21:55

> Из контекста же прекрасно понятно о чем речь. Если только вы не
> самозванец.
Было бы понятно, не спрашивал бы уточнения

Ответить | Правка | Наверх | Cообщить модератору

74. "Представлен capsudo, вариант sudo с разделением полномочий н..." +2 +/–

Сообщение от Аноним (74), 14-Дек-25, 01:22

Вообще-то аббревиатура DBA в контексте системного администрирования должна быть понятна без пояснений

Ответить | Правка | Наверх | Cообщить модератору

57. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (56), 13-Дек-25, 20:12

На утилиту бэкапа - CAP_DAC_READ_SEARCH (https://www.man7.org/linux/man-pages/man7/capabilities.7.html)
Плюс, DAC/ACL для ограничения доступа пользователей к утилите.
Желательно, чтобы у утилиты не было доступа к сети, и она писала бэкап локально в единственную доступную для записи директорию. Откуда готовый (шифрованный) бэкап разносился на резервные (удаленные) сервисы другой утилитой сетевого копирования (rsync/rclone), у которой на локальной машине чтение и запись также ограничены.
Ещё больше обезопасить утилиты можно, применяя landlock в их коде.
Но и у sudo пока есть своя ниша.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

62. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (44), 13-Дек-25, 21:19

> dba
> db
Раздвоеие личности надо лечить, а не обмазываться паллиативами типа sudo.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

76. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Аноним (74), 14-Дек-25, 01:35

Так у юзера db в качестве оболочки /sbin/nologin указан, потому что по условию задачи это пользователь, под которым работает БД, системный, с uid < 1000.
А DBA ходит в систему как обычный юзер dba.

Ответить | Правка | Наверх | Cообщить модератору

69. "Представлен capsudo, вариант sudo с разделением полномочий н..." –1 +/–

Сообщение от Kilrathi (ok), 13-Дек-25, 23:34

> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db.
> Рассказывай, как без механизмов повышения привилегий это сделать.
Например sql-дампом через localhost в свой home и дальше на резервное хранилище

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

72. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Аноним (5), 14-Дек-25, 00:48

идиотизм считать скул дампы бекапами.

Ответить | Правка | Наверх | Cообщить модератору

75. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Аноним (74), 14-Дек-25, 01:24

Два чая этому анониму

Ответить | Правка | Наверх | Cообщить модератору

77. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Kilrathi (ok), 14-Дек-25, 02:00

> идиотизм считать скул дампы бекапами.
Только если вы из адептов «для резервирования каталога документов надо забакапить целиком весь сервак»

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

86. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (86), 14-Дек-25, 16:01

Для резервирования каталога документов хорошо бы чтобы в этот момент туда никто не писал, в первую очередь.

Ответить | Правка | Наверх | Cообщить модератору

71. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от Аноним (5), 14-Дек-25, 00:46

> Рассказывай, как без механизмов повышения привилегий это сделать.
механизм бекапа это механизм рсубд, а не прихоть пользователя, настраиваешь конфиг, делай бекап той-то базы в такое-то время и все, зачем еще юзеры какие-то?

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

55. "Представлен capsudo, вариант sudo с разделением полномочий н..." +3 +/–

Сообщение от Аноним (55), 13-Дек-25, 19:38

>Всегда ... админ должен быть админ
>И никакого "повышения полномочий"!
Абсолютное непонимание базовых основ безопасности!
Запомните, юноша, админ (человек) основную часть времени *должен* работать как простой юзер (без превилегий) и только в самых *необходимых* случаях повышать привилегии до админа.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

63. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (44), 13-Дек-25, 21:23

> повышать привилегии до админа
su

Ответить | Правка | Наверх | Cообщить модератору

60. "Представлен capsudo, вариант sudo с разделением полномочий н..." –1 +/–

Сообщение от Аноним (60), 13-Дек-25, 21:15

Хотят сделать как в винде. То есть, по умному.

Ответить | Правка | Наверх | Cообщить модератору

73. "Представлен capsudo, вариант sudo с разделением полномочий н..." –1 +/–

Сообщение от нах. (?), 14-Дек-25, 01:15

но винды (как обычно у этих больных на всю голову) не видели даже через чужое плечо.
Поэтому получается - хрень. Как всегда.
(нет в винде никаких бредовых сокетов по всей фс, угадай-куда-я-его-запрятал и какие права он дает если его кто-то нашел)

Ответить | Правка | Наверх | Cообщить модератору

70. "Представлен capsudo, вариант sudo с разделением полномочий н..." –1 +/–

Сообщение от Аноним (70), 13-Дек-25, 23:54

Когда завезут в systemd?

Ответить | Правка | Наверх | Cообщить модератору

85. "Представлен capsudo, вариант sudo с разделением полномочий н..." –1 +/–

Сообщение от Аноним (86), 14-Дек-25, 15:57

В systemd завезли run0

Ответить | Правка | Наверх | Cообщить модератору

78. "Представлен capsudo, вариант sudo с разделением полномочий н..." +1 +/–

Сообщение от _ (??), 14-Дек-25, 02:05

А в реальности будет:
# capsudod -s /home/user/alfaman-capability bash &
# chown user:user /home/user/alfaman-capability
# chmod 700 /home/user/alfaman-capability
# запускаем ништяк командой:
$ capsudo -s /home/user/alfaman-capability
Удобно жи?! Удобно!
И кроме этого - другие сокеты можно уже и не создавать! Ещё раз удобно!
Вы там аффтарке передайте :)

Ответить | Правка | Наверх | Cообщить модератору

84. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (84), 14-Дек-25, 14:47

Не нужно умножать сущности без необходимости. На уровне идеи sudo совершенен. Надеюсь, проект не взлетит.

Ответить | Правка | Наверх | Cообщить модератору

88. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от myster (ok), 15-Дек-25, 00:47

Ну с sudo именно так и делают. Многие администраторы даже не видят разницы между беспарольным доступом через sudo и доступом с паролем, и делают всегда без пароля – "Удобно жи?! Удобно!"
А при установке того же Docker, им везде пишут: не добавляйте своего пользователя в группу docker бездумно. Но все добавляют обычного пользователя в группу docker и при этом ссылаются на официальную инструкцию Docker, где, якобы, Docker это рекомендует. А жирное выделенное красным цветом предупреждение там же они игнорируют:  "Warning: The docker group grants root-level privileges to the user."

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

87. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от Аноним (87), 14-Дек-25, 20:26

Интересно, насколько можно управлять правилами - разрешить запуск только с определёнными аргументами? И как с этим у альтернатив

Ответить | Правка | Наверх | Cообщить модератору

89. "Представлен capsudo, вариант sudo с разделением полномочий н..." +/–

Сообщение от myster (ok), 15-Дек-25, 00:50

Плюс от такого инструмента будет, однозначно. Но это должно поддерживаться на уровне ядра и не так стрёмно, как ACL. Многие не используют ACL в Linux, потому что оно кривое и через пень-колоду работает. А в той же винде ACL из коробки прекрасно, как бы винду не хаили, но за это Билла Гейтса можно и похвалить, придумал в 90-х ещё для NT и работает по сей день, как часы.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+7 +/–
Сообщение от Аноним (1), 13-Дек-25, 12:40
Но зачем?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+8 +/–
	Сообщение от Аноним (2), 13-Дек-25, 12:42
	Ну а почему бы и нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+19 +/–
	Сообщение от Аноним (1), 13-Дек-25, 12:44
	Действительно, зря быканул.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от Кошкажена (?), 13-Дек-25, 14:33
	Можно, а зачем? (с)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

4. "Представлен capsudo, вариант sudo с разделением полномочий н..."	–3 +/–
Сообщение от Аноним (4), 13-Дек-25, 12:59
На замену sudo есть run0. Вот людям неймется. Уж лучше бы wayback доделывал.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Представлен capsudo, вариант sudo с разделением полномочий н..."	–7 +/–
	Сообщение от Аноним (6), 13-Дек-25, 13:07
	а на замену run0 есть безопасный sudo-rs
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от Аноним (80), 14-Дек-25, 03:30
	> безопасный sudo-rs безопасно не работает
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+4 +/–
	Сообщение от Kilrathi (ok), 13-Дек-25, 13:16
	А умеющие читать и писать просто пропишут нужные пользователю команды в sudoers.d
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	23. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от User (??), 13-Дек-25, 14:52
	И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от Kilrathi (ok), 13-Дек-25, 15:26
	> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова". Зависит от того на что выдавать. Если на /sbin/reboot, который без рута не подменить - это вряд ли. А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: через sudo, doas, capsudo или run0.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
	Сообщение от User (??), 13-Дек-25, 18:30
	>> И Вася пупкин без труда получит root'a, ага. Не "опять", а "снова". > Зависит от того на что выдавать. Если на /sbin/reboot, который без рута > не подменить - это вряд ли. > А если на /usr/local/mc - то без разницы чем выдавать привилегии запуска: > через sudo, doas, capsudo или run0. В последнем cve даже и "давать" ничего не требовалось, ага
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+3 +/–
	Сообщение от Аноним (56), 13-Дек-25, 20:01
	В прошедшем времени. А в "заменителях" всё ещё только впереди.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
	Сообщение от Kilrathi (ok), 13-Дек-25, 23:29
	> В прошедшем времени. А в "заменителях" всё ещё только впереди. Ну почему же только впереди, недавно здесь же обсуждали cve у sudo-rs.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от User (??), 14-Дек-25, 08:23
	>> В прошедшем времени. А в "заменителях" всё ещё только впереди. > Ну почему же только впереди, недавно здесь же обсуждали cve у > sudo-rs. Это тот, где "если пароль ввести и enter не нажать, то через полчаса его подглядеть можно"? А, ну да, ну да - кшмаррр и ужаст!
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+8 +/–
Сообщение от Аноним (5), 13-Дек-25, 13:04
давайте напишем системный демон и запустим от рута, осталось только прикрутить сеть и выставить голой опой, и вуаля хороший судо, запускай хоть с марса :) оригинально
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Представлен capsudo, вариант sudo с разделением полномочий н..."	–1 +/–
Сообщение от Аноним (7), 13-Дек-25, 13:08
Принцип KISS (Keep it simple, stupid) в лучших проявлениях. Но не взлетит, так как не дело по отдельному демону на каждую команду в памяти держать, а создание одного общего диспетчера сведёт на нет всю простоту и приведёт к появлению ещё одного Polkit.
Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
Сообщение от Аноним (-), 13-Дек-25, 14:33
С этой утилитой нужно будет писать "$ capsudo -i"?
Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+4 +/–
Сообщение от mos87 (ok), 13-Дек-25, 14:47
Из недостатков sudo ... недекларативный формат конфигурации >чтобы повторить поведение sudo и разрешить выполнение с повышенными >привилегиями любых приложений для пользователей, входящих в группу >wheel, можно использовать следующие настройки: > > > # mkdir -p /run/cap > # capsudod -s /run/cap/sudo-capability & > # chgrp wheel /run/cap/sudo-capability > # chmod 770 /run/cap/sudo-capability > > $ capsudo -s /run/cap/sudo-capability
Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
	Сообщение от пох. (?), 13-Дек-25, 19:01
	В общем, у альпайна похоже все плохо с безопасностью. (конечно, от недолинукса для запуска в докере под докером никто и не ждал, но все же...) Да, с форматом конфигурации тут просто все прекрасно - как после этого выяснить кому и что мы наразрешали - искать по всей системе стремные сокеты? Про то что в этом наборе команд race condition - щпециалист(ка?) по безопастносте похоже даже не знает. (ага, чмод. После создания. И что же мне помешало уже открыть этот сокет, пока шпециалистко крашенными когтями свой чмод набирает? Отдельный вопрос кто их учил давать права на исполнение - сокетам?)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от RM (ok), 14-Дек-25, 02:50
	> искать по всей системе стремные сокеты? искать capsudod процессы, а в их коммандной строке видно все активные "стрёмные сокеты". > И что же мне помешало уже открыть этот сокет umask пользователя root в нормальной системе не даст открыть на запись. хотя в общем конечно этот capsudo оставляет ощущение имено что стрёмное. но ниче, вреднят, первый раз что-ли ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору

20. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
Сообщение от Аноним (20), 13-Дек-25, 14:49
Вставь чужой sudo в свою систему - дай удаленный доступ в свою систему!
Ответить \| Правка \| Наверх \| Cообщить модератору

25. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
Сообщение от Аноним (25), 13-Дек-25, 14:55
> Например, чтобы предоставить какому-то пользователю возможность запуска утилиты reboot с повышенными привилегиями, администратор может написать в doas.conf: permit user1 as root cmd reboot
Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от Аноним (29), 13-Дек-25, 15:18
	У меня почему-то doas не работал. Вернулся обратно на sudo.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
	Сообщение от Frestein (ok), 13-Дек-25, 16:03
	Хорошо, держи в курсе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
	Сообщение от scriptkiddis (?), 13-Дек-25, 16:55
	Хорошо, держу в курсе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+/–
	Сообщение от Аноним (-), 13-Дек-25, 18:02
	Не проблема. Я могу рассказать, что я не пробовал ни doas, ни sudo и они никогда у меня не работали поэтому. Тебе всё ещё интересно? Я могу ещё рассказать про утилиты из coreutils, которые я использовал и которые я считаю лишними там.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору

44. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+2 +/–
Сообщение от Аноним (44), 13-Дек-25, 17:51
У sudo раздутая кодовая база, поэтому надо сделать отдельного демона, который будет делать всё то же самое, плюс ещё тащить в себе код для обмена данными через сокет, и к нему ещё клиентскую утилиту. > Только пользователи, имеющие доступ к сокету, могут выполнять привязанные к сокету привилегированные команды. И чем это лучше suid-root процесса, который проверяет "кто меня запустил"? > администратор может создать в домашнем каталоге заданного пользователя сокет "reboot-capability", привязать его к запуску утилиты reboot и на уровне прав доступа разрешить запись в сокет только необходимому пользователю. После этого данный пользователь сможет запустить команду reboot, выполнив "capsudo -s reboot-capability". То есть, кроме нового геморроя с сокетами для админа, ещё и юзверям переучиваться вместо привычных утилит запускать какую-то новую хрень (или держать актуальный список алиасов в rc'шнике).
Ответить \| Правка \| Наверх \| Cообщить модератору

49. "Представлен capsudo, вариант sudo с разделением полномочий н..."	–4 +/–
Сообщение от Karl (ok), 13-Дек-25, 18:35
Ну вот ЗАЧЕМ??? В принципе sudo есть зло абсолютное! Его не должно существовать! Жили без него - отлично. Всегда юзер должен быть юзер, админ должен быть админ И никакого "повышения полномочий"! Это ИЗВРАЩЕНИЕ, как зараза подхваченное у Микрософта
Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Представлен capsudo, вариант sudo с разделением полномочий н..."	+1 +/–
	Сообщение от Аноним (51), 13-Дек-25, 18:56
	Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. Рассказывай, как без механизмов повышения привилегий это сделать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Представлен capsudo, вариант sudo с разделением полномочий н..."	–5 +/–
	Сообщение от Karl (ok), 13-Дек-25, 19:18
	> Есиь юзер dba, ему надо сделать бэкап БД, работающей от юзера db. > Рассказывай, как без механизмов повышения привилегий это сделать. dba может иметь разные значения, среди них: a) Доктор делового администрирования (англ. Doctor of Business Administration). b) Администратор баз данных (англ. Database administrator). c) dBA — единица измерения громкости звука. d) DBA (Disc Brakes Australia) — австралийский производитель тормозных дисков для легковых автомобилей. e) DBA (Double Bend Achromat) — тип фокусирующей структуры синхротронов. f) DarkBASIC (.dba формат) — компьютерный язык и связанная с ним среда программирования, предназначенные для упрощения создания 3D-видеоигр. g) Dallas Bar Association — профессиональная организация для юристов в Далласе, Техас, США. h) The Barge Association, ранее «Dutch Barge Association» (DBA) — клуб для любителей отдыха на внутренних водных путях Европы Вы сейчас о чём? О правах на СУБД? Ну так и говорите. Причём тут именно повышение прав? Или вы ни в одной нормальной Unix+ OS не работали, кроме Mint?
	Ответить \| Правка \| Наверх \| Cообщить модератору