ALT Linux Team development discussions
 help / color / mirror / Atom feed
* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  @ 2018-11-08  9:41 ` Mikhail Efremov
  2018-11-08  9:44   ` Andrey Cherepanov
  0 siblings, 1 reply; 45+ messages in thread
From: Mikhail Efremov @ 2018-11-08  9:41 UTC (permalink / raw)
  To: devel

On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:
> #18344	sudo            	normal  	FIXED
> Использование sudo для группы wheel по умолчанию

Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08  9:41 ` [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Mikhail Efremov
@ 2018-11-08  9:44   ` Andrey Cherepanov
  2018-11-08 10:26     ` Alexey V. Vissarionov
  2018-11-08 10:34     ` Mikhail Efremov
  0 siblings, 2 replies; 45+ messages in thread
From: Andrey Cherepanov @ 2018-11-08  9:44 UTC (permalink / raw)
  To: devel

08.11.2018 12:41, Mikhail Efremov пишет:
> On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:
>> #18344	sudo            	normal  	FIXED
>> Использование sudo для группы wheel по умолчанию
> Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?

Не, теперь у нас свобода, демократия и всё такое. Как в остальных
дистрибутивах.

-- 
Andrey Cherepanov
cas@altlinux.org



^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08  9:44   ` Andrey Cherepanov
@ 2018-11-08 10:26     ` Alexey V. Vissarionov
  2018-11-08 10:34     ` Mikhail Efremov
  1 sibling, 0 replies; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-08 10:26 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On 2018-11-08 12:44:43 +0300, Andrey Cherepanov wrote:

 >>> #18344	sudo	normal	FIXED
 >>> Использование sudo для группы wheel по умолчанию
 >> Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?
 > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
 > дистрибутивах.

Да хоть толерантность и права человека, лишь бы suid-бинарник был
доступен на выполнение только группе sudoers.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08  9:44   ` Andrey Cherepanov
  2018-11-08 10:26     ` Alexey V. Vissarionov
@ 2018-11-08 10:34     ` Mikhail Efremov
  2018-11-08 12:56       ` [devel] sudo/wheel | " Michael Shigorin
                         ` (2 more replies)
  1 sibling, 3 replies; 45+ messages in thread
From: Mikhail Efremov @ 2018-11-08 10:34 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:
> 08.11.2018 12:41, Mikhail Efremov пишет:
> > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:  
> >> #18344	sudo            	normal  	FIXED
> >> Использование sudo для группы wheel по умолчанию  
> > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?  
> 
> Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> дистрибутивах. 

Свобода и демократия были как раз раньше. А теперь вдруг любой член
группы wheel имеет привилегии root'а по умолчанию. Мне всегда
нравилось, что по умолчанию в пакетах у нас гайки по безопасности
закручены максимально. В конкретном дистрибутиве всегда можно что-то
открутить, конечно. Но в пакете таких умолчаний быть не должно.

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 45+ messages in thread

* [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 10:34     ` Mikhail Efremov
@ 2018-11-08 12:56       ` Michael Shigorin
  2018-11-08 14:25         ` Evgeny Sinelnikov
  2018-11-09 10:42         ` [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Stas
  2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
  2018-12-13 11:16       ` Sergey Afonin
  2 siblings, 2 replies; 45+ messages in thread
From: Michael Shigorin @ 2018-11-08 12:56 UTC (permalink / raw)
  To: devel

On Thu, Nov 08, 2018 at 01:34:15PM +0300, Mikhail Efremov wrote:
> Мне всегда нравилось, что по умолчанию в пакетах у нас гайки по
> безопасности закручены максимально.

Когда и впрямь максимально -- порой в итоге срывают с резьбой
(многие ли пользователи меняют свой пароль в соответствии с
пожеланиями ldv@ в виде дефолтов passwdqc? -- я так наблюдаю
применение повышенных привилегий для решения задачи смены
_пользовательского_ пароля)...

> В конкретном дистрибутиве всегда можно что-то открутить,
> конечно. Но в пакете таких умолчаний быть не должно.

+1

"свобода, демократия и убунта" уже есть, достаточно.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 10:34     ` Mikhail Efremov
  2018-11-08 12:56       ` [devel] sudo/wheel | " Michael Shigorin
@ 2018-11-08 13:01       ` Evgeny Sinelnikov
  2018-11-08 13:06         ` Dmitry V. Levin
                           ` (3 more replies)
  2018-12-13 11:16       ` Sergey Afonin
  2 siblings, 4 replies; 45+ messages in thread
From: Evgeny Sinelnikov @ 2018-11-08 13:01 UTC (permalink / raw)
  To: ALT Linux Team development discussions

чт, 8 нояб. 2018 г. в 14:34, Mikhail Efremov <sem@altlinux.org>:
>
> On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:
> > 08.11.2018 12:41, Mikhail Efremov пишет:
> > > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:
> > >> #18344     sudo                    normal          FIXED
> > >> Использование sudo для группы wheel по умолчанию
> > > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?
> >
> > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > дистрибутивах.
>
> Свобода и демократия были как раз раньше. А теперь вдруг любой член
> группы wheel имеет привилегии root'а по умолчанию. Мне всегда
> нравилось, что по умолчанию в пакетах у нас гайки по безопасности
> закручены максимально. В конкретном дистрибутиве всегда можно что-то
> открутить, конечно. Но в пакете таких умолчаний быть не должно.

Это вопрос политики по умолчанию. В таком виде, как оно было, sudo
можно не устанавливать совсем. Но, если он установлен, то использовать
его будут в подавляющем большинстве случаев именно так, как он теперь
настроен.

Группа wheel, по умолчанию, у нас для пользователей не задаётся.
Сейчас любой пользователь группы wheel, по умолчанию, имеет право
запуска su. А теперь, да, если установлен sudo, имеет право не просто
запустить sudo, но рассчитывать на то, что для него доступен  и
настроен sudo.

Какие варианты использования возможны для группы wheel + sudo?
Мы добавили пользователя в группу wheel и нас установлен sudo:
1) Пользователь имеет право сделать su -, но должен знать пароль рута
(хотя бы для того, чтобы пойти и один раз настроить себе sudo). В
принципе, если он пароль рута не знает, то группа wheel ему нужна
только для того, чтобы сделать su - another_user, если знает пароль
другого пользователя.
2) Пользователь имеет право сделать sudo su -, зная только собственный пароль.

Для десктопа группа wheel у нас в альтераторе задаётся не как
привилегия, а как роль Администратор. Соответственно, парольный sudo
по умолчанию для группы wheel выглядит вполне адекватно. На сервере
можно либо, вообще, не устанавливать sudo, либо исходить из такой же
логики.

В целом, это вопрос политики. Но даже для сервера эта политика
выглядит более адекватно, чем прописывать ssh-ключ для пользователя
root. Если я создал пользователя и хочу выдать ему права
администратора на удалённом сервере, то я добавляю его в группу wheel,
и не думаю о том, чтобы каким-то образом вспомнить, найти и передать
ещё и пароль локального рута на этом узле. Если я не хочу давать права
администратора, то я не добавляю пользователя в группу wheel на
удалённом узле.

Я не особо много могу придумать вариантов использования, когда я явно
добавляю пользователя в группу wheel, но не собираюсь давать ему права
рута. Такие варианты использования, вообще, практикуются?


--
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
@ 2018-11-08 13:06         ` Dmitry V. Levin
  2018-11-08 13:10         ` Dmitry V. Levin
                           ` (2 subsequent siblings)
  3 siblings, 0 replies; 45+ messages in thread
From: Dmitry V. Levin @ 2018-11-08 13:06 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 1330 bytes --]

On Thu, Nov 08, 2018 at 05:01:46PM +0400, Evgeny Sinelnikov wrote:
> чт, 8 нояб. 2018 г. в 14:34, Mikhail Efremov <sem@altlinux.org>:
> >
> > On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:
> > > 08.11.2018 12:41, Mikhail Efremov пишет:
> > > > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:
> > > >> #18344     sudo                    normal          FIXED
> > > >> Использование sudo для группы wheel по умолчанию
> > > > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?
> > >
> > > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > > дистрибутивах.
> >
> > Свобода и демократия были как раз раньше. А теперь вдруг любой член
> > группы wheel имеет привилегии root'а по умолчанию. Мне всегда
> > нравилось, что по умолчанию в пакетах у нас гайки по безопасности
> > закручены максимально. В конкретном дистрибутиве всегда можно что-то
> > открутить, конечно. Но в пакете таких умолчаний быть не должно.
> 
> Это вопрос политики по умолчанию. В таком виде, как оно было, sudo
> можно не устанавливать совсем. Но, если он установлен, то использовать
> его будут в подавляющем большинстве случаев именно так, как он теперь
> настроен.

Это изменение поведения по умолчанию неприемлемо,
верните прежнее умолчание на место, пожалуйста.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
  2018-11-08 13:06         ` Dmitry V. Levin
@ 2018-11-08 13:10         ` Dmitry V. Levin
  2018-11-08 13:11         ` Alexey V. Vissarionov
  2018-11-09  8:05         ` Mikhail Efremov
  3 siblings, 0 replies; 45+ messages in thread
From: Dmitry V. Levin @ 2018-11-08 13:10 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 438 bytes --]

On Thu, Nov 08, 2018 at 05:01:46PM +0400, Evgeny Sinelnikov wrote:
[...]
> Я не особо много могу придумать вариантов использования, когда я явно
> добавляю пользователя в группу wheel, но не собираюсь давать ему права
> рута. Такие варианты использования, вообще, практикуются?

"sudo произвольная команда" без ввода пароля -- это очень нишевое применение sudo.
Главное в sudo -- это гибко настраиваемый sudoers(5).


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
  2018-11-08 13:06         ` Dmitry V. Levin
  2018-11-08 13:10         ` Dmitry V. Levin
@ 2018-11-08 13:11         ` Alexey V. Vissarionov
  2018-11-08 13:24           ` Alexey V. Vissarionov
  2018-11-09 10:48           ` Dmitry V. Levin
  2018-11-09  8:05         ` Mikhail Efremov
  3 siblings, 2 replies; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-08 13:11 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On 2018-11-08 17:01:46 +0400, Evgeny Sinelnikov wrote:

 > Я не особо много могу придумать вариантов использования, когда
 > я явно добавляю пользователя в группу wheel, но не собираюсь
 > давать ему права рута. Такие варианты использования, вообще,
 > практикуются?

Допускаю, что можно найти каких-то маргиналов (они есть всегда),
но общепринятая практика такова: если пользователя добавили в
группу wheel - это администратор (само название wheel, напомню,
происходит от штурвала, а не какого-то абстрактного колеса) и
может рулить системой.

А вот держать suid-бинарник доступным на выполнение всем подряд
лучше не надо.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:11         ` Alexey V. Vissarionov
@ 2018-11-08 13:24           ` Alexey V. Vissarionov
  2018-11-08 13:57             ` Evgeny Sinelnikov
  2018-11-09 10:48           ` Dmitry V. Levin
  1 sibling, 1 reply; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-08 13:24 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On 2018-11-08 16:11:30 +0300, Alexey V. Vissarionov wrote:

 >> Я не особо много могу придумать вариантов использования, когда
 >> я явно добавляю пользователя в группу wheel, но не собираюсь
 >> давать ему права рута. Такие варианты использования, вообще,
 >> практикуются?
 > Допускаю, что можно найти каких-то маргиналов (они есть всегда),
 > но общепринятая практика такова: если пользователя добавили
 > в группу wheel - это администратор (само название wheel, напомню,
 > происходит от штурвала, а не какого-то абстрактного колеса)
 > и может рулить системой.
 > А вот держать suid-бинарник доступным на выполнение всем подряд
 > лучше не надо.

Ну и до кучи. Обсуждаемая функциональность может быть реализована
примерно так:

root@test:~ # cat /etc/sudoers.d/wheel
%wheel ALL = (ALL) NOPASSWD: ALL

root@test:~ # rpm -qf /etc/sudoers.d/wheel
sudo-defaults-wheel-nopasswd-0.1-owl1.noarch

Разумеется, есть и просто sudo-defaults-wheel, но главное - их надо
ставить явно.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:24           ` Alexey V. Vissarionov
@ 2018-11-08 13:57             ` Evgeny Sinelnikov
  0 siblings, 0 replies; 45+ messages in thread
From: Evgeny Sinelnikov @ 2018-11-08 13:57 UTC (permalink / raw)
  To: ALT Linux Team development discussions

чт, 8 нояб. 2018 г. в 17:24, Alexey V. Vissarionov <gremlin@altlinux.org>:
>
> On 2018-11-08 16:11:30 +0300, Alexey V. Vissarionov wrote:
>
>  >> Я не особо много могу придумать вариантов использования, когда
>  >> я явно добавляю пользователя в группу wheel, но не собираюсь
>  >> давать ему права рута. Такие варианты использования, вообще,
>  >> практикуются?
>  > Допускаю, что можно найти каких-то маргиналов (они есть всегда),
>  > но общепринятая практика такова: если пользователя добавили
>  > в группу wheel - это администратор (само название wheel, напомню,
>  > происходит от штурвала, а не какого-то абстрактного колеса)
>  > и может рулить системой.
>  > А вот держать suid-бинарник доступным на выполнение всем подряд
>  > лучше не надо.
>
> Ну и до кучи. Обсуждаемая функциональность может быть реализована
> примерно так:
>
> root@test:~ # cat /etc/sudoers.d/wheel
> %wheel ALL = (ALL) NOPASSWD: ALL
>
> root@test:~ # rpm -qf /etc/sudoers.d/wheel
> sudo-defaults-wheel-nopasswd-0.1-owl1.noarch
>
> Разумеется, есть и просто sudo-defaults-wheel, но главное - их надо
> ставить явно.
>

Я не очень понимаю как мы переключились в обсуждаемой функциональности
от парольного sudo до беспарольного?

Речь шла вот об этом:
https://bugzilla.altlinux.org/show_bug.cgi?id=18344#c16

О том, что, по умолчанию, либо команда:
# control sudowheel disabled
отключает вот такую настройку, тем кому она кажется лишней, но sudo
него на машине откуда-то появился:
WHEEL_USERS ALL=(ALL) ALL

Либо, по умолчанию, sudo необходимо всегда донастраивать руками, даже
если он установлен, командой (или руками):
# control sudowheel enabled
которая включает такую настройку.



-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 12:56       ` [devel] sudo/wheel | " Michael Shigorin
@ 2018-11-08 14:25         ` Evgeny Sinelnikov
  2018-11-09  5:35           ` Sergey Afonin
  2018-11-09 10:42         ` [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Stas
  1 sibling, 1 reply; 45+ messages in thread
From: Evgeny Sinelnikov @ 2018-11-08 14:25 UTC (permalink / raw)
  To: ALT Linux Team development discussions

чт, 8 нояб. 2018 г. в 16:56, Michael Shigorin <mike@altlinux.org>:
>
> On Thu, Nov 08, 2018 at 01:34:15PM +0300, Mikhail Efremov wrote:
> > Мне всегда нравилось, что по умолчанию в пакетах у нас гайки по
> > безопасности закручены максимально.
>
> Когда и впрямь максимально -- порой в итоге срывают с резьбой
> (многие ли пользователи меняют свой пароль в соответствии с
> пожеланиями ldv@ в виде дефолтов passwdqc? -- я так наблюдаю
> применение повышенных привилегий для решения задачи смены
> _пользовательского_ пароля)...
>
> > В конкретном дистрибутиве всегда можно что-то открутить,
> > конечно. Но в пакете таких умолчаний быть не должно.
>
> +1
>
> "свобода, демократия и убунта" уже есть, достаточно.

-1

Если sudo настроенный не нужен, то лучше в дистрибутив его, вообще, не
устанавливать. Но устанавливать его приходится из общих соображений о
том, что пакет, в целом, нужен.

От сюда и компромисс. Как с ним быть, по умолчанию? Свои соображения
на этот счёт я изложил в соседней переписке:
https://lists.altlinux.org/pipermail/devel/2018-November/205852.html

Но проблему, я увидел. Есть рабочие сценарии, когда пользователям уже
дали группу wheel из каких-то других соображений. А тут оказывается,
что все они "теперь вдруг... имеют привилегии root'а по умолчанию",
поскольку в системе имеется sudo, которым никто не пользуется.

Можно было бы это обойти %post-скриптами. Но, кроме сложившихся
умолчаний в установленных системах, есть сложившийся подход к
администрированию, который опирается на эти умолчания. Это не вопрос
безопасности. Это вопрос предзаданных политик под предполпгаемый, по
умолчанию, подход к администрированию.

Так что да, видимо, придётся откатить.

PS: мне предзаданная политика sudo кажется неудобной. Судя по
https://bugzilla.altlinux.org/show_bug.cgi?id=18344
не мне одному.

--
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 14:25         ` Evgeny Sinelnikov
@ 2018-11-09  5:35           ` Sergey Afonin
    0 siblings, 1 reply; 45+ messages in thread
From: Sergey Afonin @ 2018-11-09  5:35 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thursday 08 November 2018, Evgeny Sinelnikov wrote:

> Если sudo настроенный не нужен

Он нужен настроенный для конкретных пользователей.
И заранее не известно, как настроенный.

-- 
С уважением, Сергей Афонин.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
                           ` (2 preceding siblings ...)
  2018-11-08 13:11         ` Alexey V. Vissarionov
@ 2018-11-09  8:05         ` Mikhail Efremov
  3 siblings, 0 replies; 45+ messages in thread
From: Mikhail Efremov @ 2018-11-09  8:05 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thu, 8 Nov 2018 17:01:46 +0400 Evgeny Sinelnikov wrote:
> чт, 8 нояб. 2018 г. в 14:34, Mikhail Efremov <sem@altlinux.org>:
> >
> > On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:  
> > > 08.11.2018 12:41, Mikhail Efremov пишет:  
> > > > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:  
> > > >> #18344     sudo                    normal          FIXED
> > > >> Использование sudo для группы wheel по умолчанию  
> > > > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в
> > > > Убунту?  
> > >
> > > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > > дистрибутивах.  
> >
> > Свобода и демократия были как раз раньше. А теперь вдруг любой член
> > группы wheel имеет привилегии root'а по умолчанию. Мне всегда
> > нравилось, что по умолчанию в пакетах у нас гайки по безопасности
> > закручены максимально. В конкретном дистрибутиве всегда можно что-то
> > открутить, конечно. Но в пакете таких умолчаний быть не должно.  
> 
> Это вопрос политики по умолчанию. В таком виде, как оно было, sudo
> можно не устанавливать совсем. Но, если он установлен, то использовать
> его будут в подавляющем большинстве случаев именно так, как он теперь
> настроен.

По умолчанию sudo прекрасно используется по прямому назначению, т.е.
для понижения привилегий.

> Группа wheel, по умолчанию, у нас для пользователей не задаётся.
> Сейчас любой пользователь группы wheel, по умолчанию, имеет право
> запуска su. А теперь, да, если установлен sudo, имеет право не просто
> запустить sudo, но рассчитывать на то, что для него доступен  и
> настроен sudo.

Если очень хочется использовать sudo противоестественным образом, т.е.
для повышения привилегий, то "пользователю можно все" это не
настроенный sudo, это он сломанный. Sudoers можно настроить гораздо
более тонко и делается это конкретным админом для конкретной ситуации, я
не представляю как можно настроить sudo на повышение привилегий в общем
случае.
Есть очень старое письмо Solar'а про su и sudo, кстати:
https://www.openwall.com/lists/owl-users/2004/10/20/6

-- 
WBR, Mikhail Efremov


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  @ 2018-11-09  9:02               ` Sergey Afonin
  2018-11-09  9:18                 ` Alexey V. Vissarionov
  0 siblings, 1 reply; 45+ messages in thread
From: Sergey Afonin @ 2018-11-09  9:02 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Friday 09 November 2018, Evgeny Sinelnikov wrote:

> В группу wheel добавляют конкретных пользователей. Так что
> все пользователи конкретны. Какие ещё конкретные возражения
> по этой конкретной настройке? 
 
Сейчас в группу wheel добавляют в принципе тех, кому можно
позвать sudo (с control sudo wheelonly). А тут раз - и они
получают все права.

-- 
С уважением, Сергей Афонин.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-09  9:02               ` Sergey Afonin
@ 2018-11-09  9:18                 ` Alexey V. Vissarionov
  2018-11-09 10:21                   ` Evgeny Sinelnikov
  0 siblings, 1 reply; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-09  9:18 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On 2018-11-09 13:02:20 +0400, Sergey Afonin wrote:

 >> В группу wheel добавляют конкретных пользователей. Так что
 >> все пользователи конкретны. Какие ещё конкретные возражения
 >> по этой конкретной настройке?
 > Сейчас в группу wheel добавляют в принципе тех, кому можно
 > позвать sudo (с control sudo wheelonly). А тут раз - и они
 > получают все права.

Права на запуск sudo (как и любого другого suid-бинарника) надо
давать отдельной группе (в данном случае sudoers). А %wheel уже
использовать в /etc/sudoers

То, что у нас control-файл для sudo такой же, как для su - это
само по себе ошибка.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-09  9:18                 ` Alexey V. Vissarionov
@ 2018-11-09 10:21                   ` Evgeny Sinelnikov
  2018-11-12 17:15                     ` [devel] sudo/wheel Alexey V. Vissarionov
  0 siblings, 1 reply; 45+ messages in thread
From: Evgeny Sinelnikov @ 2018-11-09 10:21 UTC (permalink / raw)
  To: ALT Linux Team development discussions

пт, 9 нояб. 2018 г. в 13:18, Alexey V. Vissarionov <gremlin@altlinux.org>:
>
> On 2018-11-09 13:02:20 +0400, Sergey Afonin wrote:
>
>  >> В группу wheel добавляют конкретных пользователей. Так что
>  >> все пользователи конкретны. Какие ещё конкретные возражения
>  >> по этой конкретной настройке?
>  > Сейчас в группу wheel добавляют в принципе тех, кому можно
>  > позвать sudo (с control sudo wheelonly). А тут раз - и они
>  > получают все права.
>
> Права на запуск sudo (как и любого другого suid-бинарника) надо
> давать отдельной группе (в данном случае sudoers). А %wheel уже
> использовать в /etc/sudoers
>
> То, что у нас control-файл для sudo такой же, как для su - это
> само по себе ошибка.

Группа wheel не принадлежит программе su. Это более широкая группа.
Поэтому, если "сейчас в группу wheel добавляют в принципе тех, кого
можно позвать sudo", тем кто не хочет сразу "звать sudo", можно этот
пакет просто не устанавливать. Да и нет особого смысла давать wheel
без пароля рута. На самом деле, есть один разумный вариант - это
давать wheel для su в другого пользователя. Но это редкий случай. И
для умолчания он не подходит.

А речь идёт об умолчаниях. Я ещё раз это подчёркиваю. Я не понимаю
зачем давать wheel, как повод потом "позвать sudo"? Почему оно сразу
не должно работать? Для какого разумного варианта использования этот
промежуточный этап имеет смысл?

Чем включенный парольный sudo удобен - понятно (первое, что делаю я и
многие пользователи Альтов после установки системы - это лезут
настраивать sudo). А чем настроенный вариант объективно плох (помимо
личных предпочтений и традиции, которые тоже стоит учитывать, конечно)
есть внятные аргументы?

У меня есть. Пароль даже первого пользователя может быть не так строг,
как пароль рута. Но ssh для такого пользователя тоже будет работать. Я
бы тут предложил здесь включить ограничение на строгость пароля для
пользователя через ssh, при сохранении возможности заходить нестрогим
паролем локально.

____________________

В целом, я не понимаю содержания спора. Я откатил sudo, до
оригинального состояния с этой политикой. Планирую включить в
Альтератор возможность её включения. Зачем спорить по поводу её
необходимости по умолчанию, если задача не стоит в том, чтобы это
утвердить?

Мне тут очевидно только одно - желающих следовать исходному варианту в
рамках личных предпочтений и сложившейся традиции достаточно много. А
те, кому это неудобно, в [devel] не активны или, вообще, в нём
отсутствуют. Я получил в багзиле пока только один отзыв поддержку. В
рассылке положительных отзывов не было совсем.

Лично моё мнение тут такое - тех, кому такое умолчание для sudo было
бы удобно, достаточно много, но они почему-то об этом не
высказываются.

-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 12:56       ` [devel] sudo/wheel | " Michael Shigorin
  2018-11-08 14:25         ` Evgeny Sinelnikov
@ 2018-11-09 10:42         ` Stas
  2018-11-09 11:12           ` Alexey V. Vissarionov
  1 sibling, 1 reply; 45+ messages in thread
From: Stas @ 2018-11-09 10:42 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Коллеги!

В файле sudoers есть пример, как корректно настраивать запуск sudo
конкретными пользователями - там для этого предлагается использовать
группу sudo

И в каждой установке altlinux я переделываю запуск sudo:

groupadd sudo
chown :sudo $(which sudo)
chmod 750 $(which sudo)

Удобнее было бы это делать через control, но править его после каждого
обновления - увольте.

Я слишком ленив, чтобы написать в багзиллу, ведь устанавливаю систему не
каждый день :)

-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - email: stas.grumbler@gmail.com и stas@vashadmin.su
 - телефоны в Е-бурге +79045430461, +79222112259, +79505571146, +79193628944


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 13:11         ` Alexey V. Vissarionov
  2018-11-08 13:24           ` Alexey V. Vissarionov
@ 2018-11-09 10:48           ` Dmitry V. Levin
  2018-11-09 11:19             ` Alexey V. Vissarionov
  1 sibling, 1 reply; 45+ messages in thread
From: Dmitry V. Levin @ 2018-11-09 10:48 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 885 bytes --]

On Thu, Nov 08, 2018 at 04:11:30PM +0300, Alexey V. Vissarionov wrote:
> On 2018-11-08 17:01:46 +0400, Evgeny Sinelnikov wrote:
> 
>  > Я не особо много могу придумать вариантов использования, когда
>  > я явно добавляю пользователя в группу wheel, но не собираюсь
>  > давать ему права рута. Такие варианты использования, вообще,
>  > практикуются?
> 
> Допускаю, что можно найти каких-то маргиналов (они есть всегда),
> но общепринятая практика такова: если пользователя добавили в
> группу wheel - это администратор (само название wheel, напомню,
> происходит от штурвала, а не какого-то абстрактного колеса) и
> может рулить системой.

У нас в ALT другая традиция: в группу wheel входят аккаунты,
допущенные до инструментов администрирования, таких как su и sudo.

> А вот держать suid-бинарник доступным на выполнение всем подряд
> лучше не надо.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-09 10:42         ` [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Stas
@ 2018-11-09 11:12           ` Alexey V. Vissarionov
  2018-11-10  9:27             ` Stas
  0 siblings, 1 reply; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-09 11:12 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On 2018-11-09 15:42:41 +0500, Stas wrote:

 > В файле sudoers есть пример, как корректно настраивать запуск
 > sudo конкретными пользователями - там для этого предлагается
 > использовать группу sudo

Это вообще должно быть правилом для suid-бинарников.

 > И в каждой установке altlinux я переделываю запуск sudo:
 > groupadd sudo
 > chown :sudo $(which sudo)
 > chmod 750 $(which sudo)

Здесь, насколько я пони мяу, все же 4750.

 > Удобнее было бы это делать через control, но править его после
 > каждого обновления - увольте.
 > Я слишком ленив, чтобы написать в багзиллу, ведь устанавливаю
 > систему не каждый день :)

А разработчики в массе своей далеки от администрирования чего-либо
кроме своих рабочих станций.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-09 10:48           ` Dmitry V. Levin
@ 2018-11-09 11:19             ` Alexey V. Vissarionov
  0 siblings, 0 replies; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-09 11:19 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 1119 bytes --]

On 2018-11-09 13:48:09 +0300, Dmitry V. Levin wrote:

 >>> Я не особо много могу придумать вариантов использования,
 >>> когда я явно добавляю пользователя в группу wheel, но
 >>> не собираюсь давать ему права рута. Такие варианты
 >>> использования, вообще, практикуются?

 >> Допускаю, что можно найти каких-то маргиналов (они есть всегда),
 >> но общепринятая практика такова: если пользователя добавили в
 >> группу wheel - это администратор (само название wheel, напомню,
 >> происходит от штурвала, а не какого-то абстрактного колеса) и
 >> может рулить системой.
 > У нас в ALT другая традиция: в группу wheel входят аккаунты,
 > допущенные до инструментов администрирования, таких как su и sudo.

Инструменты администрирования - это rpm и vi.
А su и sudo - шелловский интерфейс к setuid()

 >> А вот держать suid-бинарник доступным на выполнение всем подряд
 >> лучше не надо.

Здесь, насколько я пони мяу, возражений нет? :-)


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-09 11:12           ` Alexey V. Vissarionov
@ 2018-11-10  9:27             ` Stas
  0 siblings, 0 replies; 45+ messages in thread
From: Stas @ 2018-11-10  9:27 UTC (permalink / raw)
  To: ALT Linux Team development discussions



On 09.11.2018 16:12, Alexey V. Vissarionov wrote:
> On 2018-11-09 15:42:41 +0500, Stas wrote:
>
>  > В файле sudoers есть пример, как корректно настраивать запуск
>  > sudo конкретными пользователями - там для этого предлагается
>  > использовать группу sudo
>
> Это вообще должно быть правилом для suid-бинарников.
>
>  > И в каждой установке altlinux я переделываю запуск sudo:
>  > groupadd sudo
>  > chown :sudo $(which sudo)
>  > chmod 750 $(which sudo)
>
> Здесь, насколько я пони мяу, все же 4750.

Разумеется (я писал по памяти).


-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - email: stas.grumbler@gmail.com и stas@vashadmin.su
 - телефоны в Е-бурге +79045430461, +79222112259, +79505571146, +79193628944



^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-09 10:21                   ` Evgeny Sinelnikov
@ 2018-11-12 17:15                     ` Alexey V. Vissarionov
  2018-11-15  8:27                       ` Evgeny Sinelnikov
  0 siblings, 1 reply; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-12 17:15 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 5324 bytes --]

On 2018-11-09 14:21:32 +0400, Evgeny Sinelnikov wrote:

 >>>> В группу wheel добавляют конкретных пользователей. Так что
 >>>> все пользователи конкретны. Какие ещё конкретные возражения
 >>>> по этой конкретной настройке?
 >>> Сейчас в группу wheel добавляют в принципе тех, кому можно
 >>> позвать sudo (с control sudo wheelonly). А тут раз - и они
 >>> получают все права.
 >> Права на запуск sudo (как и любого другого suid-бинарника) надо
 >> давать отдельной группе (в данном случае sudoers). А %wheel уже
 >> использовать в /etc/sudoers
 >> То, что у нас control-файл для sudo такой же, как для su - это
 >> само по себе ошибка.
 > Группа wheel не принадлежит программе su. Это более широкая
 > группа. Поэтому, если "сейчас в группу wheel добавляют в
 > принципе тех, кого можно позвать sudo", тем кто не хочет
 > сразу "звать sudo", можно этот пакет просто не устанавливать.

Ура! Дядя Женя разрешил не ставить sudo! :-)

 > Да и нет особого смысла давать wheel без пароля рута.

Жень, ты когда в прошлый раз администрировал что-то критичное? Ну,
хотя бы такое, что в случае косяка придется несколько лет ущерб
компенсировать?

Пользователь root в таких системах, как правило, заблокирован чуть
более, чем полностью, и лишь в редчайших случаях под ним бывает
можно зайти по SSH.

 > На самом деле, есть один разумный вариант - это давать wheel
 > для su в другого пользователя. Но это редкий случай. И для
 > умолчания он не подходит.

Группа wheel - админская. Какие права ей давать, в общем случае
решают сами администраторы, но в большинстве случаев это доступ
к чтению логов (0640 root:wheel /var/log/*) и конфигов. Просто
для того, чтобы лишний раз не работать с UID==0.

 > А речь идёт об умолчаниях. Я ещё раз это подчёркиваю. Я не
 > понимаю зачем давать wheel, как повод потом "позвать sudo"?
 > Почему оно сразу не должно работать? Для какого разумного
 > варианта использования этот промежуточный этап имеет смысл?

Попробую объяснить: sudo - это средство повышения привилегий
пользователя, что противоестественно (в норме привилегии только
понижаются). При этом сам по себе любой бинарник с установленным
SetUID создает риски для системы (обычно со средней вероятностью
и высоким ущербом), где повлиять на уровень ущерба нельзя (root
может делать что угодно), зато можно снизить вероятность хотя бы
до низкой (а еще лучше очень низкой), сузив круг пользователей,
которым этот бинарник доступен для выполнения.

Поэтому su следует держать с правами 0711 root:root, а sudo - с
правами 4710 root:sudoers. И еще в httpd есть suexec - для него
полагается выставлять 4710 root:httpd

А общедоступных suid-бинарников в грамотно настроенной системе
быть не должно вообще ни при каких условиях.

 > Чем включенный парольный sudo удобен - понятно (первое, что делаю
 > я и многие пользователи Альтов после установки системы - это
 > лезут настраивать sudo). А чем настроенный вариант объективно
 > плох (помимо личных предпочтений и традиции, которые тоже
 > стоит учитывать, конечно) есть внятные аргументы?
 >
 > У меня есть. Пароль даже первого пользователя может быть не
 > так строг, как пароль рута. Но ssh для такого пользователя тоже
 > будет работать. Я бы тут предложил здесь включить ограничение
 > на строгость пароля для пользователя через ssh, при сохранении
 > возможности заходить нестрогим паролем локально.

Ты, наверное, сильно удивишься, но администраторы давно решили
эту дилемму:

gremlin@nb:~ > grep -i password /etc/ssh/sshd_config
PasswordAuthentication  no
PermitEmptyPasswords    no
PermitRootLogin         without-password

Это мой домашний ноутбук, но SSH у меня везде настроен одинаково,
то есть в точности так же, как на боевых серверах, доступных из
внешнего мира. Да, заодно рекомендую обратить внимание на то, что
для цитирования конфига мне хватило прав обычного пользователя:

gremlin@nb:~ > ll /etc/ssh/sshd_config
-rw-r----- 1 root wheel 933 июн 16  2016 /etc/ssh/sshd_config

 > В целом, я не понимаю содержания спора. Я откатил sudo, до
 > оригинального состояния с этой политикой. Планирую включить в
 > Альтератор возможность её включения. Зачем спорить по поводу
 > её необходимости по умолчанию, если задача не стоит в том,
 > чтобы это утвердить?

Лично у меня к sudo ровно два пожелания:
1. Выставить для /usr/bin/sudo права 4710 root:sudoers
2. Вынести все "политики по умолчанию" в /etc/sudoers.d/*

 > Мне тут очевидно только одно - желающих следовать исходному
 > варианту в рамках личных предпочтений и сложившейся традиции
 > достаточно много. А те, кому это неудобно, в [devel] не активны
 > или, вообще, в нём отсутствуют. Я получил в багзиле пока только
 > один отзыв поддержку. В рассылке положительных отзывов не
 > было совсем.
 > Лично моё мнение тут такое - тех, кому такое умолчание для sudo
 > было бы удобно, достаточно много, но они почему-то об этом не
 > высказываются.

Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
(так даже лучше, чем sudo-defaults-wheel), куда поместить файл
/etc/sudoers.d/wheel примерно такого содержания:

%wheel ALL = (ALL) ALL


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-12 17:15                     ` [devel] sudo/wheel Alexey V. Vissarionov
@ 2018-11-15  8:27                       ` Evgeny Sinelnikov
  2018-11-15  8:39                         ` Stas
                                           ` (2 more replies)
  0 siblings, 3 replies; 45+ messages in thread
From: Evgeny Sinelnikov @ 2018-11-15  8:27 UTC (permalink / raw)
  To: ALT Linux Team development discussions

Здравствуйте,

очень сложно комментировать множество разнородных доводов из другого
контекста. Проблема sudo/wheel - это проблема политики. А политика
всегда противоречива.

На боевом сервере одни предпочтения, на десткопе - другие. Нельзя
говорить, что я админю все машины, как сервера, забывая о том, что
всех, как хочешь, не поадминишь. Предпочтения должны браться из целей,
а не из прихотей.

Если мы хотим иметь гибкую, строгую, единую пакетную базу, нам
приходится иметь по умолчанию более строгие предпочтения. Это понятно.

На текущий момент мы рассматриваем решение, которое получается после
установки пакета. При этом установить его можно в дистрибутвном
решении ориентированном на различные предпочтения.

пн, 12 нояб. 2018 г. в 21:16, Alexey V. Vissarionov <gremlin@altlinux.org>:
>
> On 2018-11-09 14:21:32 +0400, Evgeny Sinelnikov wrote:
>
>  >>>> В группу wheel добавляют конкретных пользователей. Так что
>  >>>> все пользователи конкретны. Какие ещё конкретные возражения
>  >>>> по этой конкретной настройке?
>  >>> Сейчас в группу wheel добавляют в принципе тех, кому можно
>  >>> позвать sudo (с control sudo wheelonly). А тут раз - и они
>  >>> получают все права.
>  >> Права на запуск sudo (как и любого другого suid-бинарника) надо
>  >> давать отдельной группе (в данном случае sudoers). А %wheel уже
>  >> использовать в /etc/sudoers
>  >> То, что у нас control-файл для sudo такой же, как для su - это
>  >> само по себе ошибка.
>  > Группа wheel не принадлежит программе su. Это более широкая
>  > группа. Поэтому, если "сейчас в группу wheel добавляют в
>  > принципе тех, кого можно позвать sudo", тем кто не хочет
>  > сразу "звать sudo", можно этот пакет просто не устанавливать.
>
> Ура! Дядя Женя разрешил не ставить sudo! :-)

Не за что. Всегда пожалуйста.


>  > Да и нет особого смысла давать wheel без пароля рута.
>
> Жень, ты когда в прошлый раз администрировал что-то критичное? Ну,
> хотя бы такое, что в случае косяка придется несколько лет ущерб
> компенсировать?
>
> Пользователь root в таких системах, как правило, заблокирован чуть
> более, чем полностью, и лишь в редчайших случаях под ним бывает
> можно зайти по SSH.

У меня есть встречный вопрос. Ты когда последний раз просил своего
сына или подругу (не ITшника), по быстрому, уcтановить и настроить
программу на своём десктопе или ноутбуке самостоятельно?

Настраивать компьютеры армии пользователей, которым и рута-то дать
страшно - это, наверное, достойное занятие для каждого "тыж
программиста". Но время не резиновое. Всех "руками" не поадминишь. А
львиная часть проблем состоит, как сейчас с sudo, в обхождении
аккуратано раставленных граблей. Причём из лучших побуждений.


>  > На самом деле, есть один разумный вариант - это давать wheel
>  > для su в другого пользователя. Но это редкий случай. И для
>  > умолчания он не подходит.
>
> Группа wheel - админская. Какие права ей давать, в общем случае
> решают сами администраторы, но в большинстве случаев это доступ
> к чтению логов (0640 root:wheel /var/log/*) и конфигов. Просто
> для того, чтобы лишний раз не работать с UID==0.

На десктопе каждый пользователь, как правило, сам себе администратор,
поскольку администрировать его лично слишком дорого. Никаких
специальных администраторов, в большинстве случаев, нет. Да, в
отдельных случаях, существуют IT-отделы, которые иногда обладают
достаточной компетенцией, чтобы быть администраторами, которые что-то
там "решают". Но это мизирный процент, по отношению в огромному
количеству компьютеров, которые никакие админы проконтролировать не
смогут. Просто в силу того, что их на это не хватит, даже при всём
желании.

Можно называть это как угодно (Windows-подходом или Убунту-стилем), но
простые в администрировании решения тоже нужно уметь строить.

>  > А речь идёт об умолчаниях. Я ещё раз это подчёркиваю. Я не
>  > понимаю зачем давать wheel, как повод потом "позвать sudo"?
>  > Почему оно сразу не должно работать? Для какого разумного
>  > варианта использования этот промежуточный этап имеет смысл?
>
> Попробую объяснить: sudo - это средство повышения привилегий
> пользователя, что противоестественно (в норме привилегии только
> понижаются). При этом сам по себе любой бинарник с установленным
> SetUID создает риски для системы (обычно со средней вероятностью
> и высоким ущербом), где повлиять на уровень ущерба нельзя (root
> может делать что угодно), зато можно снизить вероятность хотя бы
> до низкой (а еще лучше очень низкой), сузив круг пользователей,
> которым этот бинарник доступен для выполнения.

Я никак не могу понять эту логику понижения привилегий. Повышения
могу, а понижения - не очень.

Значит так. Захожу я под рутом (как-то) и боюсь что-нибудь сломать.
Дай, думаю понижу себе приоритет. Так это что-ли работает?

По мне, так это странно. Я вижу другой сценарий, в качестве
нормального. Захожу я с минимальными привилегиями и, по мере
необходимости, могу себе повысить привилегии (через супер-повышение
привелегий, то есть заход в рута) под заданную задачу. Что же тут
"противоестественного"?


> Поэтому su следует держать с правами 0711 root:root, а sudo - с
> правами 4710 root:sudoers. И еще в httpd есть suexec - для него
> полагается выставлять 4710 root:httpd
>
> А общедоступных suid-бинарников в грамотно настроенной системе
> быть не должно вообще ни при каких условиях.
>
>  > Чем включенный парольный sudo удобен - понятно (первое, что делаю
>  > я и многие пользователи Альтов после установки системы - это
>  > лезут настраивать sudo). А чем настроенный вариант объективно
>  > плох (помимо личных предпочтений и традиции, которые тоже
>  > стоит учитывать, конечно) есть внятные аргументы?
>  >
>  > У меня есть. Пароль даже первого пользователя может быть не
>  > так строг, как пароль рута. Но ssh для такого пользователя тоже
>  > будет работать. Я бы тут предложил здесь включить ограничение
>  > на строгость пароля для пользователя через ssh, при сохранении
>  > возможности заходить нестрогим паролем локально.
>
> Ты, наверное, сильно удивишься, но администраторы давно решили
> эту дилемму:
>
> gremlin@nb:~ > grep -i password /etc/ssh/sshd_config
> PasswordAuthentication  no
> PermitEmptyPasswords    no
> PermitRootLogin         without-password
>
> Это мой домашний ноутбук, но SSH у меня везде настроен одинаково,
> то есть в точности так же, как на боевых серверах, доступных из
> внешнего мира. Да, заодно рекомендую обратить внимание на то, что
> для цитирования конфига мне хватило прав обычного пользователя:
>
> gremlin@nb:~ > ll /etc/ssh/sshd_config
> -rw-r----- 1 root wheel 933 июн 16  2016 /etc/ssh/sshd_config

И как эти настройки решают описанную выше проблему? Вот
устанавливается ОС. Вот мы отключили аутентификацию в ssh по паролю.
Супер. Дальше что? Давайте тогда в документации сразу писать о том,
как сгенерировать ssh-ключи.

Даже студенты факультета компьютерных наук не особо в этом разбираются
на первых курсах (а некоторые и на последних), ибо давние пользователи
популярной ОС, в том числе и Убунты.


>  > В целом, я не понимаю содержания спора. Я откатил sudo, до
>  > оригинального состояния с этой политикой. Планирую включить в
>  > Альтератор возможность её включения. Зачем спорить по поводу
>  > её необходимости по умолчанию, если задача не стоит в том,
>  > чтобы это утвердить?
>
> Лично у меня к sudo ровно два пожелания:
> 1. Выставить для /usr/bin/sudo права 4710 root:sudoers
> 2. Вынести все "политики по умолчанию" в /etc/sudoers.d/*

Конструктивные пожелания - это хорошо. А как они вписываются в
настройку для уже установленных решений? Что будет с правами в системе
после обновления до реализации этих пожеланий?


>  > Мне тут очевидно только одно - желающих следовать исходному
>  > варианту в рамках личных предпочтений и сложившейся традиции
>  > достаточно много. А те, кому это неудобно, в [devel] не активны
>  > или, вообще, в нём отсутствуют. Я получил в багзиле пока только
>  > один отзыв поддержку. В рассылке положительных отзывов не
>  > было совсем.
>  > Лично моё мнение тут такое - тех, кому такое умолчание для sudo
>  > было бы удобно, достаточно много, но они почему-то об этом не
>  > высказываются.
>
> Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
> (так даже лучше, чем sudo-defaults-wheel), куда поместить файл
> /etc/sudoers.d/wheel примерно такого содержания:
>
> %wheel ALL = (ALL) ALL

Такой пакет с настройками уже обсуждался. И он имеет право на
существование, но это - не решение. Это тот же неудобный костыль,
только для него ещё и сеть нужна, чтобы настроить первоначально
дескотпную систему. Для сертифицированных SPT решений - это, вообще,
мрак. Доставить пакет с настройками там как-то не очень логично.

Да и, собственно, зачем это? Сейчас, после установки десктопной
системы, нужно войти в первого юзера, у котрого есть wheel, потом
сделать su -, потом поправить файл /etc/sudoers. Что предлагается
вместо этого? Всё тоже самое, только вместо "поправить один файл"
нужно предварительно настроить сеть, проверить и настроить apt и, если
имеется доступ к интернет, обновить базы apt и установить пакет, имя
которого нужно ещё вспомнить.

Если серьёзно, то это не рабочий вариант.


--
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-15  8:27                       ` Evgeny Sinelnikov
@ 2018-11-15  8:39                         ` Stas
  2018-11-15 23:18                         ` Vladimir D. Seleznev
  2018-11-16 10:52                         ` Anton V. Boyarshinov
  2 siblings, 0 replies; 45+ messages in thread
From: Stas @ 2018-11-15  8:39 UTC (permalink / raw)
  To: ALT Linux Team development discussions



On 15.11.2018 13:27, Evgeny Sinelnikov wrote:
> Здравствуйте,
>
> очень сложно комментировать множество разнородных доводов из другого
> контекста. Проблема sudo/wheel - это проблема политики. А политика
> всегда противоречива.
>
> На боевом сервере одни предпочтения, на десткопе - другие. Нельзя
> говорить, что я админю все машины, как сервера, забывая о том, что
> всех, как хочешь, не поадминишь. Предпочтения должны браться из целей,
> а не из прихотей.
>
> Если мы хотим иметь гибкую, строгую, единую пакетную базу, нам
> приходится иметь по умолчанию более строгие предпочтения. Это понятно.

Именно для реализации гибкости предназначен
/etc/control.d/facilities/sudo, но сделан он не гибко. Есть варианты
"только root" (при этом sudo дублирует su, в чём нет смысла), "члены
группы wheel" (которая используется для множества других действий и
такой подход потенциально представляет дыру) и "все".

> На текущий момент мы рассматриваем решение, которое получается после
> установки пакета. При этом установить его можно в дистрибутвном
> решении ориентированном на различные предпочтения.

Выбранные в нынешнем виде предпочтения подлежат критике.

-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - email: stas.grumbler@gmail.com и stas@vashadmin.su
 - телефоны в Е-бурге +79045430461, +79222112259, +79505571146, +79193628944


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-15  8:27                       ` Evgeny Sinelnikov
  2018-11-15  8:39                         ` Stas
@ 2018-11-15 23:18                         ` Vladimir D. Seleznev
  2018-11-16  0:20                           ` Dmitry V. Levin
  2018-11-16  7:02                           ` Alexey V. Vissarionov
  2018-11-16 10:52                         ` Anton V. Boyarshinov
  2 siblings, 2 replies; 45+ messages in thread
From: Vladimir D. Seleznev @ 2018-11-15 23:18 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thu, Nov 15, 2018 at 12:27:45PM +0400, Evgeny Sinelnikov wrote:
> >  > Мне тут очевидно только одно - желающих следовать исходному
> >  > варианту в рамках личных предпочтений и сложившейся традиции
> >  > достаточно много. А те, кому это неудобно, в [devel] не активны
> >  > или, вообще, в нём отсутствуют. Я получил в багзиле пока только
> >  > один отзыв поддержку. В рассылке положительных отзывов не
> >  > было совсем.
> >  > Лично моё мнение тут такое - тех, кому такое умолчание для sudo
> >  > было бы удобно, достаточно много, но они почему-то об этом не
> >  > высказываются.
> >
> > Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
> > (так даже лучше, чем sudo-defaults-wheel), куда поместить файл
> > /etc/sudoers.d/wheel примерно такого содержания:
> >
> > %wheel ALL = (ALL) ALL
> 
> Такой пакет с настройками уже обсуждался. И он имеет право на
> существование, но это - не решение.

А по-моему, вынесение политик, отличных от умолчальных, в отдельный
пакет — правильная мысль. Особенно когда с такими политиками надо
развернуть целый парк машин.

> Это тот же неудобный костыль, только для него ещё и сеть нужна, чтобы
> настроить первоначально дескотпную систему. Для сертифицированных SPT
> решений - это, вообще, мрак. Доставить пакет с настройками там как-то
> не очень логично.
> 
> Да и, собственно, зачем это? Сейчас, после установки десктопной
> системы, нужно войти в первого юзера, у котрого есть wheel, потом
> сделать su -, потом поправить файл /etc/sudoers. Что предлагается
> вместо этого? Всё тоже самое, только вместо "поправить один файл"
> нужно предварительно настроить сеть, проверить и настроить apt и, если
> имеется доступ к интернет, обновить базы apt и установить пакет, имя
> которого нужно ещё вспомнить.
> 
> Если серьёзно, то это не рабочий вариант.

-- 
   С уважением,
   Владимир Селезнев


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-15 23:18                         ` Vladimir D. Seleznev
@ 2018-11-16  0:20                           ` Dmitry V. Levin
  2018-11-16  7:17                             ` Alexey V. Vissarionov
  2018-11-16  7:02                           ` Alexey V. Vissarionov
  1 sibling, 1 reply; 45+ messages in thread
From: Dmitry V. Levin @ 2018-11-16  0:20 UTC (permalink / raw)
  To: ALT Devel discussion list

On Fri, Nov 16, 2018 at 02:18:48AM +0300, Vladimir D. Seleznev wrote:
> On Thu, Nov 15, 2018 at 12:27:45PM +0400, Evgeny Sinelnikov wrote:
> > >  > Мне тут очевидно только одно - желающих следовать исходному
> > >  > варианту в рамках личных предпочтений и сложившейся традиции
> > >  > достаточно много. А те, кому это неудобно, в [devel] не активны
> > >  > или, вообще, в нём отсутствуют. Я получил в багзиле пока только
> > >  > один отзыв поддержку. В рассылке положительных отзывов не
> > >  > было совсем.
> > >  > Лично моё мнение тут такое - тех, кому такое умолчание для sudo
> > >  > было бы удобно, достаточно много, но они почему-то об этом не
> > >  > высказываются.
> > >
> > > Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
> > > (так даже лучше, чем sudo-defaults-wheel), куда поместить файл
> > > /etc/sudoers.d/wheel примерно такого содержания:
> > >
> > > %wheel ALL = (ALL) ALL
> > 
> > Такой пакет с настройками уже обсуждался. И он имеет право на
> > существование, но это - не решение.
> 
> А по-моему, вынесение политик, отличных от умолчальных, в отдельный
> пакет — правильная мысль. Особенно когда с такими политиками надо
> развернуть целый парк машин.

При наличии control отдельные пакеты выглядят избыточными, за исключением
случаев, когда такие пакеты содержат множество настроек различных сущностей.


-- 
ldv


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-15 23:18                         ` Vladimir D. Seleznev
  2018-11-16  0:20                           ` Dmitry V. Levin
@ 2018-11-16  7:02                           ` Alexey V. Vissarionov
  1 sibling, 0 replies; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-16  7:02 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 1512 bytes --]

On 2018-11-16 02:18:48 +0300, Vladimir D. Seleznev wrote:

 >>>> Лично моё мнение тут такое - тех, кому такое умолчание для sudo
 >>>> было бы удобно, достаточно много, но они почему-то об этом не
 >>>> высказываются.
 >>> Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
 >>> (так даже лучше, чем sudo-defaults-wheel), куда поместить файл
 >>> /etc/sudoers.d/wheel примерно такого содержания:
 >>> %wheel ALL = (ALL) ALL
 >> Такой пакет с настройками уже обсуждался. И он имеет право на
 >> существование, но это - не решение.
 > А по-моему, вынесение политик, отличных от умолчальных, в
 > отдельный пакет — правильная мысль. Особенно когда с такими
 > политиками надо развернуть целый парк машин.

Например, хотя бы десяток... нет, не компутеров, а стоек, в каждой
из которых этих компутеров штук этак по 30 :-)


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  0:20                           ` Dmitry V. Levin
@ 2018-11-16  7:17                             ` Alexey V. Vissarionov
  2018-11-16  7:25                               ` Michael Shigorin
                                                 ` (2 more replies)
  0 siblings, 3 replies; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-16  7:17 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 2510 bytes --]

On 2018-11-16 03:20:33 +0300, Dmitry V. Levin wrote:
 >>>>> Лично моё мнение тут такое - тех, кому такое умолчание для sudo
 >>>>> было бы удобно, достаточно много, но они почему-то об этом не
 >>>>> высказываются.
 >>>> Значит, для этого умолчания надо сделать пакет sudo-policy-wheel
 >>>> (так даже лучше, чем sudo-defaults-wheel), куда поместить файл
 >>>> /etc/sudoers.d/wheel примерно такого содержания:
 >>>> %wheel ALL = (ALL) ALL
 >>> Такой пакет с настройками уже обсуждался. И он имеет право на
 >>> существование, но это - не решение.
 >> А по-моему, вынесение политик, отличных от умолчальных, в
 >> отдельный пакет — правильная мысль. Особенно когда с такими
 >> политиками надо развернуть целый парк машин.
 > При наличии control отдельные пакеты выглядят избыточными,
 > за исключением случаев, когда такие пакеты содержат множество
 > настроек различных сущностей.

Когда количество машин измеряется сотнями, control просто бесполезен.
Напомню, что создавался он еще тогда, когда крупные (по тем временам)
провайдеры обходились от силы десятком серверов.

Сейчас это количество существенно возросло и, как завещали классики,
перешло в качество, в результате чего выбор невелик: либо превращать
систему на всех компутерах в помойку, либо выносить такие настройки в
пакеты. Для администраторов localhost'а разница, возможно, невелика,
а для остальных весьма ощутима.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  7:17                             ` Alexey V. Vissarionov
@ 2018-11-16  7:25                               ` Michael Shigorin
  2018-11-16  7:38                                 ` Alexey V. Vissarionov
  2018-11-16  7:47                               ` Alexey Gladkov
  2018-11-16  8:14                               ` Ivan A. Melnikov
  2 siblings, 1 reply; 45+ messages in thread
From: Michael Shigorin @ 2018-11-16  7:25 UTC (permalink / raw)
  To: devel

On Fri, Nov 16, 2018 at 10:17:13AM +0300, Alexey V. Vissarionov wrote:
> > При наличии control отдельные пакеты выглядят избыточными,
> > за исключением случаев, когда такие пакеты содержат множество
> > настроек различных сущностей.
> Когда количество машин измеряется сотнями, control просто бесполезен.
> Напомню, что создавался он еще тогда, когда крупные (по тем временам)
> провайдеры обходились от силы десятком серверов.
> Сейчас это количество существенно возросло и, как завещали классики,
> перешло в качество, в результате чего выбор невелик: либо превращать
> систему на всех компутерах в помойку, либо выносить такие настройки в
> пакеты. Для администраторов localhost'а разница, возможно, невелика,
> а для остальных весьма ощутима.

Что проще: поставить пакет или дёрнуть утилиту?
(при сборке образа её тоже можно дёрнуть)

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  7:25                               ` Michael Shigorin
@ 2018-11-16  7:38                                 ` Alexey V. Vissarionov
  2018-11-16  8:09                                   ` Michael Shigorin
  0 siblings, 1 reply; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-11-16  7:38 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On 2018-11-16 10:25:14 +0300, Michael Shigorin wrote:

 >>> При наличии control отдельные пакеты выглядят избыточными,
 >>> за исключением случаев, когда такие пакеты содержат множество
 >>> настроек различных сущностей.
 >> Когда количество машин измеряется сотнями, control просто
 >> бесполезен. Напомню, что создавался он еще тогда, когда
 >> крупные (по тем временам) провайдеры обходились от силы
 >> десятком серверов. Сейчас это количество существенно возросло
 >> и, как завещали классики, перешло в качество, в результате
 >> чего выбор невелик: либо превращать систему на всех
 >> компутерах в помойку, либо выносить такие настройки в пакеты.
 > Что проще: поставить пакет или дёрнуть утилиту?

Поставить пакет, разумеется.

 > (при сборке образа её тоже можно дёрнуть)

Какого еще нахрен образа? Что ты будешь делать с этим образом,
когда возникнет нужда поставить систему на компутер, где нет
видеоадаптера?

Я понимаю, что тутошняя публика в массе своей думает в рамках
рабочих станций, но еще бывают, например, серверы. В том числе
весьма отдаленные серверы. И даже без IPMI.

У меня решение на этот случай ээээ... ну, почти есть - для моих
хотелок его уже хватает, но до конечного продукта ему еще далеко.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  7:17                             ` Alexey V. Vissarionov
  2018-11-16  7:25                               ` Michael Shigorin
@ 2018-11-16  7:47                               ` Alexey Gladkov
  2018-11-16  8:14                               ` Ivan A. Melnikov
  2 siblings, 0 replies; 45+ messages in thread
From: Alexey Gladkov @ 2018-11-16  7:47 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 732 bytes --]

On Fri, Nov 16, 2018 at 10:17:13AM +0300, Alexey V. Vissarionov wrote:
> Когда количество машин измеряется сотнями, control просто бесполезен.
> Напомню, что создавался он еще тогда, когда крупные (по тем временам)
> провайдеры обходились от силы десятком серверов.

ansible/salt/puppet совершенно всё равно устанавливать пакет или выполнять
утилиту. Никто сотни серверов руками не обслуживает. Пакет, кстати,
дороже, чем утилита.

-- 
Rgrds, legion


[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 163 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  7:38                                 ` Alexey V. Vissarionov
@ 2018-11-16  8:09                                   ` Michael Shigorin
  0 siblings, 0 replies; 45+ messages in thread
From: Michael Shigorin @ 2018-11-16  8:09 UTC (permalink / raw)
  To: devel

On Fri, Nov 16, 2018 at 10:38:28AM +0300, Alexey V. Vissarionov wrote:
> > Что проще: поставить пакет или дёрнуть утилиту?
> Поставить пакет, разумеется.

Садись, два.  Нет, потому что для установки пакета тоже надо
дёрнуть утилиту (и ещё иметь пакет созданным и в доступности).
:)

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  7:17                             ` Alexey V. Vissarionov
  2018-11-16  7:25                               ` Michael Shigorin
  2018-11-16  7:47                               ` Alexey Gladkov
@ 2018-11-16  8:14                               ` Ivan A. Melnikov
  2018-11-16  9:50                                 ` Evgeny Sinelnikov
  2 siblings, 1 reply; 45+ messages in thread
From: Ivan A. Melnikov @ 2018-11-16  8:14 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Fri, Nov 16, 2018 at 10:17:13AM +0300, Alexey V. Vissarionov wrote:
> On 2018-11-16 03:20:33 +0300, Dmitry V. Levin wrote:
[...]
>  > При наличии control отдельные пакеты выглядят избыточными,
>  > за исключением случаев, когда такие пакеты содержат множество
>  > настроек различных сущностей.
> 
> Когда количество машин измеряется сотнями, control просто бесполезен.
> Напомню, что создавался он еще тогда, когда крупные (по тем временам)
> провайдеры обходились от силы десятком серверов.
> 
> Сейчас это количество существенно возросло и, как завещали классики,
> перешло в качество, в результате чего выбор невелик: либо превращать
> систему на всех компутерах в помойку, либо выносить такие настройки в
> пакеты. Для администраторов localhost'а разница, возможно, невелика,
> а для остальных весьма ощутима.
> 

Везде, где я видел хотя бы пяток серверов, той автоматизации, которая их
разворачивает и потом что-то с ними делает, всё равно, дёрнуть утилиту или
поставить пакет. Утилиту дёрнуть во многих случаях даже проще.

Недостаток control в другом (и у отдельных пакетов он, кстати, такой же):
о реализуемых им политиках нужно как-то узнать. То же сообщение
"/usr/bin/sudo: Permission denied" ничего не говорит про control человеку,
пришедшему с другого дистрибутива. Опытные альтовцы тоже иногда подолгу
тупят прежде чем вспомнят, что у какого-то незнакомого им пакета может
быть control. И как сделать control, что называется, discoverable, не
понятно. Может, хотя бы стандартный текст в %description придумать?

--
  wbr,
    iv m.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16  8:14                               ` Ivan A. Melnikov
@ 2018-11-16  9:50                                 ` Evgeny Sinelnikov
  0 siblings, 0 replies; 45+ messages in thread
From: Evgeny Sinelnikov @ 2018-11-16  9:50 UTC (permalink / raw)
  To: ALT Linux Team development discussions

пт, 16 нояб. 2018 г. в 12:14, Ivan A. Melnikov <iv@altlinux.org>:
>
> On Fri, Nov 16, 2018 at 10:17:13AM +0300, Alexey V. Vissarionov wrote:
> > On 2018-11-16 03:20:33 +0300, Dmitry V. Levin wrote:
> [...]
> >  > При наличии control отдельные пакеты выглядят избыточными,
> >  > за исключением случаев, когда такие пакеты содержат множество
> >  > настроек различных сущностей.
> >
> > Когда количество машин измеряется сотнями, control просто бесполезен.
> > Напомню, что создавался он еще тогда, когда крупные (по тем временам)
> > провайдеры обходились от силы десятком серверов.
> >
> > Сейчас это количество существенно возросло и, как завещали классики,
> > перешло в качество, в результате чего выбор невелик: либо превращать
> > систему на всех компутерах в помойку, либо выносить такие настройки в
> > пакеты. Для администраторов localhost'а разница, возможно, невелика,
> > а для остальных весьма ощутима.
> >
>
> Везде, где я видел хотя бы пяток серверов, той автоматизации, которая их
> разворачивает и потом что-то с ними делает, всё равно, дёрнуть утилиту или
> поставить пакет. Утилиту дёрнуть во многих случаях даже проще.
>
> Недостаток control в другом (и у отдельных пакетов он, кстати, такой же):
> о реализуемых им политиках нужно как-то узнать. То же сообщение
> "/usr/bin/sudo: Permission denied" ничего не говорит про control человеку,
> пришедшему с другого дистрибутива. Опытные альтовцы тоже иногда подолгу
> тупят прежде чем вспомнят, что у какого-то незнакомого им пакета может
> быть control. И как сделать control, что называется, discoverable, не
> понятно. Может, хотя бы стандартный текст в %description придумать?
>

Да, тут два момента - отсутствие документации и отсутствие
инструментов управления, которые позволят для начала оценить
возможности настройки, а не получить право для их реализации. И то, и
другое - клиентская/юзерская сторона вопроса, которой необходимо
заняться.

Согласен, с Михаилом:

пт, 16 нояб. 2018 г. в 12:09, Michael Shigorin <mike@altlinux.org>:
>
> On Fri, Nov 16, 2018 at 10:38:28AM +0300, Alexey V. Vissarionov wrote:
> > > Что проще: поставить пакет или дёрнуть утилиту?
> > Поставить пакет, разумеется.
>
> Садись, два.  Нет, потому что для установки пакета тоже надо
> дёрнуть утилиту (и ещё иметь пакет созданным и в доступности).
> :)

Всё верно, я уже писал, что, если для настройки требуется доступ к
сети, то это плохой вариант. В законченных решениях такой вариант,
вообще, не допустим.

Он допустим лишь в одном случае - как элемент настройки при создании
самого законченного решения, но не как элемент управления.


-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-15  8:27                       ` Evgeny Sinelnikov
  2018-11-15  8:39                         ` Stas
  2018-11-15 23:18                         ` Vladimir D. Seleznev
@ 2018-11-16 10:52                         ` Anton V. Boyarshinov
  2018-11-16 11:27                           ` Denis Medvedev
  2 siblings, 1 reply; 45+ messages in thread
From: Anton V. Boyarshinov @ 2018-11-16 10:52 UTC (permalink / raw)
  To: Evgeny Sinelnikov; +Cc: ALT Linux Team development discussions

On Thu, 15 Nov 2018 12:27:45 +0400 Evgeny Sinelnikov wrote:

> Для сертифицированных SPT решений - это, вообще,
> мрак. Доставить пакет с настройками там как-то не очень логично.
Вот для сертифицированных решений всё в любом случае закручивается по
максимуму, иначе просто не пройти сертификацию.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel
  2018-11-16 10:52                         ` Anton V. Boyarshinov
@ 2018-11-16 11:27                           ` Denis Medvedev
  0 siblings, 0 replies; 45+ messages in thread
From: Denis Medvedev @ 2018-11-16 11:27 UTC (permalink / raw)
  To: ALT Linux Team development discussions, Anton V. Boyarshinov,
	Evgeny Sinelnikov



On 11/16/2018 01:52 PM, Anton V. Boyarshinov wrote:
> On Thu, 15 Nov 2018 12:27:45 +0400 Evgeny Sinelnikov wrote:
>
>> Для сертифицированных SPT решений - это, вообще,
>> мрак. Доставить пакет с настройками там как-то не очень логично.
> Вот для сертифицированных решений всё в любом случае закручивается по
> максимуму, иначе просто не пройти сертификацию.
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
Для сертифицированных решений вариант
control .vs. rpm пакет выбирается однозначно в пользу пакета.
Чем меньше изменений в установленных пакетах (а скрипты и бинарники
установленных пакетов могут быть еще и подписаны - никаким control-ом их
не поменяешь!)
в сертифицированных системах - тем лучше.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-11-08 10:34     ` Mikhail Efremov
  2018-11-08 12:56       ` [devel] sudo/wheel | " Michael Shigorin
  2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
@ 2018-12-13 11:16       ` Sergey Afonin
  2018-12-13 11:23         ` Dmitry V. Levin
                           ` (2 more replies)
  2 siblings, 3 replies; 45+ messages in thread
From: Sergey Afonin @ 2018-12-13 11:16 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thursday 08 November 2018, Mikhail Efremov wrote:

> > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > дистрибутивах. 
> 
> Свобода и демократия были как раз раньше. А теперь вдруг любой член
> группы wheel имеет привилегии root'а по умолчанию. Мне всегда
 
Похоже, это уже давно так при условии наличия polkit. Ну или при наличии
polkit+systemd, не знаю: https://forum.altlinux.org/index.php?topic=41933.0

"systemd-run -t /bin/bash" успешно срабатывает для пользователя из группы
wheel (в свежеобновлённом p8 проверил).

-- 
С уважением, Сергей Афонин.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 11:16       ` Sergey Afonin
@ 2018-12-13 11:23         ` Dmitry V. Levin
  2018-12-13 11:32         ` Alexey V. Vissarionov
  2018-12-13 16:21         ` [devel] " Vladimir D. Seleznev
  2 siblings, 0 replies; 45+ messages in thread
From: Dmitry V. Levin @ 2018-12-13 11:23 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 710 bytes --]

On Thu, Dec 13, 2018 at 03:16:07PM +0400, Sergey Afonin wrote:
> On Thursday 08 November 2018, Mikhail Efremov wrote:
> 
> > > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > > дистрибутивах. 
> > 
> > Свобода и демократия были как раз раньше. А теперь вдруг любой член
> > группы wheel имеет привилегии root'а по умолчанию. Мне всегда
>  
> Похоже, это уже давно так при условии наличия polkit. Ну или при наличии
> polkit+systemd, не знаю: https://forum.altlinux.org/index.php?topic=41933.0
> 
> "systemd-run -t /bin/bash" успешно срабатывает для пользователя из группы
> wheel (в свежеобновлённом p8 проверил).

Повесьте баг на пакет systemd, пожалуйста.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 11:16       ` Sergey Afonin
  2018-12-13 11:23         ` Dmitry V. Levin
@ 2018-12-13 11:32         ` Alexey V. Vissarionov
  2018-12-13 11:55           ` Denis Medvedev
  2018-12-13 16:21         ` [devel] " Vladimir D. Seleznev
  2 siblings, 1 reply; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-12-13 11:32 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 576 bytes --]

On 2018-12-13 15:16:07 +0400, Sergey Afonin wrote:

 >> Свобода и демократия были как раз раньше. А теперь вдруг
 >> любой член группы wheel имеет привилегии root'а по умолчанию.
 > Похоже, это уже давно так при условии наличия polkit. Ну или
 > при наличии polkit+systemd
 > "systemd-run -t /bin/bash" успешно срабатывает для пользователя
 > из группы wheel (в свежеобновлённом p8 проверил).

Дырища...


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 11:32         ` Alexey V. Vissarionov
@ 2018-12-13 11:55           ` Denis Medvedev
  2018-12-13 11:58             ` Alexey V. Vissarionov
  2018-12-13 12:00             ` [devel] sudo/wheel | " Sergey Afonin
  0 siblings, 2 replies; 45+ messages in thread
From: Denis Medvedev @ 2018-12-13 11:55 UTC (permalink / raw)
  To: ALT Linux Team development discussions, Alexey V. Vissarionov


On 12/13/18 2:32 PM, Alexey V. Vissarionov wrote:
> On 2018-12-13 15:16:07 +0400, Sergey Afonin wrote:
>
>  >> Свобода и демократия были как раз раньше. А теперь вдруг
>  >> любой член группы wheel имеет привилегии root'а по умолчанию.
>  > Похоже, это уже давно так при условии наличия polkit. Ну или
>  > при наличии polkit+systemd
>  > "systemd-run -t /bin/bash" успешно срабатывает для пользователя
>  > из группы wheel (в свежеобновлённом p8 проверил).
>
> Дырища...
Это почему это дырища? Пользователь группы wheel по правам эквивалентен
руту.
>
>
>
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 11:55           ` Denis Medvedev
@ 2018-12-13 11:58             ` Alexey V. Vissarionov
  2018-12-13 12:00             ` [devel] sudo/wheel | " Sergey Afonin
  1 sibling, 0 replies; 45+ messages in thread
From: Alexey V. Vissarionov @ 2018-12-13 11:58 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 584 bytes --]

On 2018-12-13 14:55:03 +0300, Denis Medvedev wrote:

 >>> "systemd-run -t /bin/bash" успешно срабатывает для пользователя
 >>> из группы wheel (в свежеобновлённом p8 проверил).
 >> Дырища...
 > Это почему это дырища? Пользователь группы wheel по правам
 > эквивалентен руту.

У всех этих пользователей UID==0? Нет? Значит, происходит повышение
привилегий.

Оно где-то документировано? Нет? Значит, это дырища.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 11:55           ` Denis Medvedev
  2018-12-13 11:58             ` Alexey V. Vissarionov
@ 2018-12-13 12:00             ` Sergey Afonin
  2018-12-13 12:06               ` Denis Medvedev
  1 sibling, 1 reply; 45+ messages in thread
From: Sergey Afonin @ 2018-12-13 12:00 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thursday 13 December 2018, Denis Medvedev wrote:

> Это почему это дырища? Пользователь группы wheel по правам
> эквивалентен руту.

Ранее, в этом же самом обсуждении про Sisyphus-20181108 bugs,
но касаемо sudo, уже решили иначе.

-- 
С уважением, Сергей Афонин.


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 12:00             ` [devel] sudo/wheel | " Sergey Afonin
@ 2018-12-13 12:06               ` Denis Medvedev
  0 siblings, 0 replies; 45+ messages in thread
From: Denis Medvedev @ 2018-12-13 12:06 UTC (permalink / raw)
  To: ALT Linux Team development discussions, Sergey Afonin


On 12/13/18 3:00 PM, Sergey Afonin wrote:
> On Thursday 13 December 2018, Denis Medvedev wrote:
>
>> Это почему это дырища? Пользователь группы wheel по правам
>> эквивалентен руту.
> Ранее, в этом же самом обсуждении про Sisyphus-20181108 bugs,
> но касаемо sudo, уже решили иначе.
>
sudo вообще странная штука...


^ permalink raw reply	[flat|nested] 45+ messages in thread

* Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
  2018-12-13 11:16       ` Sergey Afonin
  2018-12-13 11:23         ` Dmitry V. Levin
  2018-12-13 11:32         ` Alexey V. Vissarionov
@ 2018-12-13 16:21         ` Vladimir D. Seleznev
  2 siblings, 0 replies; 45+ messages in thread
From: Vladimir D. Seleznev @ 2018-12-13 16:21 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Thu, Dec 13, 2018 at 03:16:07PM +0400, Sergey Afonin wrote:
> On Thursday 08 November 2018, Mikhail Efremov wrote:
> 
> > > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > > дистрибутивах. 
> > 
> > Свобода и демократия были как раз раньше. А теперь вдруг любой член
> > группы wheel имеет привилегии root'а по умолчанию. Мне всегда
>  
> Похоже, это уже давно так при условии наличия polkit. Ну или при наличии
> polkit+systemd, не знаю: https://forum.altlinux.org/index.php?topic=41933.0
> 
> "systemd-run -t /bin/bash" успешно срабатывает для пользователя из группы
> wheel (в свежеобновлённом p8 проверил).

В догонку ещё:

$ hsh-run -- rpm -qvl polkit |egrep "^...s|control.d"
-r-s--x--x    1 root    root                    23192 Sep 18 12:10 /usr/bin/pkexec
-r-s--x--x    1 root    root                    14680 Sep 18 12:10 /usr/libexec/polkit-1/polkit-agent-helper-1

Возникает вопрос: чем в этом случае polkit лучше sudo?

-- 
   С уважением,
   Владимир Селезнев


^ permalink raw reply	[flat|nested] 45+ messages in thread

end of thread, other threads:[~2018-12-13 16:21 UTC | newest]

Thread overview: 45+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-11-08  9:41 ` [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Mikhail Efremov
2018-11-08  9:44   ` Andrey Cherepanov
2018-11-08 10:26     ` Alexey V. Vissarionov
2018-11-08 10:34     ` Mikhail Efremov
2018-11-08 12:56       ` [devel] sudo/wheel | " Michael Shigorin
2018-11-08 14:25         ` Evgeny Sinelnikov
2018-11-09  5:35           ` Sergey Afonin
2018-11-09  9:02               ` Sergey Afonin
2018-11-09  9:18                 ` Alexey V. Vissarionov
2018-11-09 10:21                   ` Evgeny Sinelnikov
2018-11-12 17:15                     ` [devel] sudo/wheel Alexey V. Vissarionov
2018-11-15  8:27                       ` Evgeny Sinelnikov
2018-11-15  8:39                         ` Stas
2018-11-15 23:18                         ` Vladimir D. Seleznev
2018-11-16  0:20                           ` Dmitry V. Levin
2018-11-16  7:17                             ` Alexey V. Vissarionov
2018-11-16  7:25                               ` Michael Shigorin
2018-11-16  7:38                                 ` Alexey V. Vissarionov
2018-11-16  8:09                                   ` Michael Shigorin
2018-11-16  7:47                               ` Alexey Gladkov
2018-11-16  8:14                               ` Ivan A. Melnikov
2018-11-16  9:50                                 ` Evgeny Sinelnikov
2018-11-16  7:02                           ` Alexey V. Vissarionov
2018-11-16 10:52                         ` Anton V. Boyarshinov
2018-11-16 11:27                           ` Denis Medvedev
2018-11-09 10:42         ` [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Stas
2018-11-09 11:12           ` Alexey V. Vissarionov
2018-11-10  9:27             ` Stas
2018-11-08 13:01       ` [devel] " Evgeny Sinelnikov
2018-11-08 13:06         ` Dmitry V. Levin
2018-11-08 13:10         ` Dmitry V. Levin
2018-11-08 13:11         ` Alexey V. Vissarionov
2018-11-08 13:24           ` Alexey V. Vissarionov
2018-11-08 13:57             ` Evgeny Sinelnikov
2018-11-09 10:48           ` Dmitry V. Levin
2018-11-09 11:19             ` Alexey V. Vissarionov
2018-11-09  8:05         ` Mikhail Efremov
2018-12-13 11:16       ` Sergey Afonin
2018-12-13 11:23         ` Dmitry V. Levin
2018-12-13 11:32         ` Alexey V. Vissarionov
2018-12-13 11:55           ` Denis Medvedev
2018-12-13 11:58             ` Alexey V. Vissarionov
2018-12-13 12:00             ` [devel] sudo/wheel | " Sergey Afonin
2018-12-13 12:06               ` Denis Medvedev
2018-12-13 16:21         ` [devel] " Vladimir D. Seleznev

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git