From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] sudo/wheel
Date: Mon, 12 Nov 2018 20:15:54 +0300
Message-ID: <20181112171554.GA9938@altlinux.org> (raw)
In-Reply-To: <CAK42-Gqo1VvGRjYN=h2anoEdRyv+aLFeYoyz48SCr7W5r7w1=g@mail.gmail.com>
[-- Attachment #1: Type: text/plain, Size: 5324 bytes --]
On 2018-11-09 14:21:32 +0400, Evgeny Sinelnikov wrote:
>>>> В группу wheel добавляют конкретных пользователей. Так что
>>>> все пользователи конкретны. Какие ещё конкретные возражения
>>>> по этой конкретной настройке?
>>> Сейчас в группу wheel добавляют в принципе тех, кому можно
>>> позвать sudo (с control sudo wheelonly). А тут раз - и они
>>> получают все права.
>> Права на запуск sudo (как и любого другого suid-бинарника) надо
>> давать отдельной группе (в данном случае sudoers). А %wheel уже
>> использовать в /etc/sudoers
>> То, что у нас control-файл для sudo такой же, как для su - это
>> само по себе ошибка.
> Группа wheel не принадлежит программе su. Это более широкая
> группа. Поэтому, если "сейчас в группу wheel добавляют в
> принципе тех, кого можно позвать sudo", тем кто не хочет
> сразу "звать sudo", можно этот пакет просто не устанавливать.
Ура! Дядя Женя разрешил не ставить sudo! :-)
> Да и нет особого смысла давать wheel без пароля рута.
Жень, ты когда в прошлый раз администрировал что-то критичное? Ну,
хотя бы такое, что в случае косяка придется несколько лет ущерб
компенсировать?
Пользователь root в таких системах, как правило, заблокирован чуть
более, чем полностью, и лишь в редчайших случаях под ним бывает
можно зайти по SSH.
> На самом деле, есть один разумный вариант - это давать wheel
> для su в другого пользователя. Но это редкий случай. И для
> умолчания он не подходит.
Группа wheel - админская. Какие права ей давать, в общем случае
решают сами администраторы, но в большинстве случаев это доступ
к чтению логов (0640 root:wheel /var/log/*) и конфигов. Просто
для того, чтобы лишний раз не работать с UID==0.
> А речь идёт об умолчаниях. Я ещё раз это подчёркиваю. Я не
> понимаю зачем давать wheel, как повод потом "позвать sudo"?
> Почему оно сразу не должно работать? Для какого разумного
> варианта использования этот промежуточный этап имеет смысл?
Попробую объяснить: sudo - это средство повышения привилегий
пользователя, что противоестественно (в норме привилегии только
понижаются). При этом сам по себе любой бинарник с установленным
SetUID создает риски для системы (обычно со средней вероятностью
и высоким ущербом), где повлиять на уровень ущерба нельзя (root
может делать что угодно), зато можно снизить вероятность хотя бы
до низкой (а еще лучше очень низкой), сузив круг пользователей,
которым этот бинарник доступен для выполнения.
Поэтому su следует держать с правами 0711 root:root, а sudo - с
правами 4710 root:sudoers. И еще в httpd есть suexec - для него
полагается выставлять 4710 root:httpd
А общедоступных suid-бинарников в грамотно настроенной системе
быть не должно вообще ни при каких условиях.
> Чем включенный парольный sudo удобен - понятно (первое, что делаю
> я и многие пользователи Альтов после установки системы - это
> лезут настраивать sudo). А чем настроенный вариант объективно
> плох (помимо личных предпочтений и традиции, которые тоже
> стоит учитывать, конечно) есть внятные аргументы?
>
> У меня есть. Пароль даже первого пользователя может быть не
> так строг, как пароль рута. Но ssh для такого пользователя тоже
> будет работать. Я бы тут предложил здесь включить ограничение
> на строгость пароля для пользователя через ssh, при сохранении
> возможности заходить нестрогим паролем локально.
Ты, наверное, сильно удивишься, но администраторы давно решили
эту дилемму:
gremlin@nb:~ > grep -i password /etc/ssh/sshd_config
PasswordAuthentication no
PermitEmptyPasswords no
PermitRootLogin without-password
Это мой домашний ноутбук, но SSH у меня везде настроен одинаково,
то есть в точности так же, как на боевых серверах, доступных из
внешнего мира. Да, заодно рекомендую обратить внимание на то, что
для цитирования конфига мне хватило прав обычного пользователя:
gremlin@nb:~ > ll /etc/ssh/sshd_config
-rw-r----- 1 root wheel 933 июн 16 2016 /etc/ssh/sshd_config
> В целом, я не понимаю содержания спора. Я откатил sudo, до
> оригинального состояния с этой политикой. Планирую включить в
> Альтератор возможность её включения. Зачем спорить по поводу
> её необходимости по умолчанию, если задача не стоит в том,
> чтобы это утвердить?
Лично у меня к sudo ровно два пожелания:
1. Выставить для /usr/bin/sudo права 4710 root:sudoers
2. Вынести все "политики по умолчанию" в /etc/sudoers.d/*
> Мне тут очевидно только одно - желающих следовать исходному
> варианту в рамках личных предпочтений и сложившейся традиции
> достаточно много. А те, кому это неудобно, в [devel] не активны
> или, вообще, в нём отсутствуют. Я получил в багзиле пока только
> один отзыв поддержку. В рассылке положительных отзывов не
> было совсем.
> Лично моё мнение тут такое - тех, кому такое умолчание для sudo
> было бы удобно, достаточно много, но они почему-то об этом не
> высказываются.
Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
(так даже лучше, чем sudo-defaults-wheel), куда поместить файл
/etc/sudoers.d/wheel примерно такого содержания:
%wheel ALL = (ALL) ALL
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]
next prev parent reply other threads:[~2018-11-12 17:15 UTC|newest]
Thread overview: 45+ messages / expand[flat|nested] mbox.gz Atom feed top
2018-11-08 9:41 ` [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Mikhail Efremov
2018-11-08 9:44 ` Andrey Cherepanov
2018-11-08 10:26 ` Alexey V. Vissarionov
2018-11-08 10:34 ` Mikhail Efremov
2018-11-08 12:56 ` [devel] sudo/wheel | " Michael Shigorin
2018-11-08 14:25 ` Evgeny Sinelnikov
2018-11-09 5:35 ` Sergey Afonin
2018-11-09 9:02 ` Sergey Afonin
2018-11-09 9:18 ` Alexey V. Vissarionov
2018-11-09 10:21 ` Evgeny Sinelnikov
2018-11-12 17:15 ` Alexey V. Vissarionov [this message]
2018-11-15 8:27 ` [devel] sudo/wheel Evgeny Sinelnikov
2018-11-15 8:39 ` Stas
2018-11-15 23:18 ` Vladimir D. Seleznev
2018-11-16 0:20 ` Dmitry V. Levin
2018-11-16 7:17 ` Alexey V. Vissarionov
2018-11-16 7:25 ` Michael Shigorin
2018-11-16 7:38 ` Alexey V. Vissarionov
2018-11-16 8:09 ` Michael Shigorin
2018-11-16 7:47 ` Alexey Gladkov
2018-11-16 8:14 ` Ivan A. Melnikov
2018-11-16 9:50 ` Evgeny Sinelnikov
2018-11-16 7:02 ` Alexey V. Vissarionov
2018-11-16 10:52 ` Anton V. Boyarshinov
2018-11-16 11:27 ` Denis Medvedev
2018-11-09 10:42 ` [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Stas
2018-11-09 11:12 ` Alexey V. Vissarionov
2018-11-10 9:27 ` Stas
2018-11-08 13:01 ` [devel] " Evgeny Sinelnikov
2018-11-08 13:06 ` Dmitry V. Levin
2018-11-08 13:10 ` Dmitry V. Levin
2018-11-08 13:11 ` Alexey V. Vissarionov
2018-11-08 13:24 ` Alexey V. Vissarionov
2018-11-08 13:57 ` Evgeny Sinelnikov
2018-11-09 10:48 ` Dmitry V. Levin
2018-11-09 11:19 ` Alexey V. Vissarionov
2018-11-09 8:05 ` Mikhail Efremov
2018-12-13 11:16 ` Sergey Afonin
2018-12-13 11:23 ` Dmitry V. Levin
2018-12-13 11:32 ` Alexey V. Vissarionov
2018-12-13 11:55 ` Denis Medvedev
2018-12-13 11:58 ` Alexey V. Vissarionov
2018-12-13 12:00 ` [devel] sudo/wheel | " Sergey Afonin
2018-12-13 12:06 ` Denis Medvedev
2018-12-13 16:21 ` [devel] " Vladimir D. Seleznev
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20181112171554.GA9938@altlinux.org \
--to=gremlin@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git