From: Evgeny Sinelnikov <sin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144)
Date: Thu, 8 Nov 2018 17:01:46 +0400
Message-ID: <CAK42-Gp7SRca7AtyrGjPS9msaj9hMMb-4M8eFFS+R=PzK9RWqw@mail.gmail.com> (raw)
In-Reply-To: <20181108103415.15176576@sem-notebook>
чт, 8 нояб. 2018 г. в 14:34, Mikhail Efremov <sem@altlinux.org>:
>
> On Thu, 8 Nov 2018 12:44:43 +0300 Andrey Cherepanov wrote:
> > 08.11.2018 12:41, Mikhail Efremov пишет:
> > > On Thu, 8 Nov 2018 04:44:20 +0000 QA Team Robot wrote:
> > >> #18344 sudo normal FIXED
> > >> Использование sudo для группы wheel по умолчанию
> > > Т.е. sudo у нас теперь сломан по умолчанию так же, как и в Убунту?
> >
> > Не, теперь у нас свобода, демократия и всё такое. Как в остальных
> > дистрибутивах.
>
> Свобода и демократия были как раз раньше. А теперь вдруг любой член
> группы wheel имеет привилегии root'а по умолчанию. Мне всегда
> нравилось, что по умолчанию в пакетах у нас гайки по безопасности
> закручены максимально. В конкретном дистрибутиве всегда можно что-то
> открутить, конечно. Но в пакете таких умолчаний быть не должно.
Это вопрос политики по умолчанию. В таком виде, как оно было, sudo
можно не устанавливать совсем. Но, если он установлен, то использовать
его будут в подавляющем большинстве случаев именно так, как он теперь
настроен.
Группа wheel, по умолчанию, у нас для пользователей не задаётся.
Сейчас любой пользователь группы wheel, по умолчанию, имеет право
запуска su. А теперь, да, если установлен sudo, имеет право не просто
запустить sudo, но рассчитывать на то, что для него доступен и
настроен sudo.
Какие варианты использования возможны для группы wheel + sudo?
Мы добавили пользователя в группу wheel и нас установлен sudo:
1) Пользователь имеет право сделать su -, но должен знать пароль рута
(хотя бы для того, чтобы пойти и один раз настроить себе sudo). В
принципе, если он пароль рута не знает, то группа wheel ему нужна
только для того, чтобы сделать su - another_user, если знает пароль
другого пользователя.
2) Пользователь имеет право сделать sudo su -, зная только собственный пароль.
Для десктопа группа wheel у нас в альтераторе задаётся не как
привилегия, а как роль Администратор. Соответственно, парольный sudo
по умолчанию для группы wheel выглядит вполне адекватно. На сервере
можно либо, вообще, не устанавливать sudo, либо исходить из такой же
логики.
В целом, это вопрос политики. Но даже для сервера эта политика
выглядит более адекватно, чем прописывать ssh-ключ для пользователя
root. Если я создал пользователя и хочу выдать ему права
администратора на удалённом сервере, то я добавляю его в группу wheel,
и не думаю о том, чтобы каким-то образом вспомнить, найти и передать
ещё и пароль локального рута на этом узле. Если я не хочу давать права
администратора, то я не добавляю пользователя в группу wheel на
удалённом узле.
Я не особо много могу придумать вариантов использования, когда я явно
добавляю пользователя в группу wheel, но не собираюсь давать ему права
рута. Такие варианты использования, вообще, практикуются?
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2018-11-08 13:01 UTC|newest]
Thread overview: 45+ messages / expand[flat|nested] mbox.gz Atom feed top
2018-11-08 9:41 ` Mikhail Efremov
2018-11-08 9:44 ` Andrey Cherepanov
2018-11-08 10:26 ` Alexey V. Vissarionov
2018-11-08 10:34 ` Mikhail Efremov
2018-11-08 12:56 ` [devel] sudo/wheel | " Michael Shigorin
2018-11-08 14:25 ` Evgeny Sinelnikov
2018-11-09 5:35 ` Sergey Afonin
2018-11-09 9:02 ` Sergey Afonin
2018-11-09 9:18 ` Alexey V. Vissarionov
2018-11-09 10:21 ` Evgeny Sinelnikov
2018-11-12 17:15 ` [devel] sudo/wheel Alexey V. Vissarionov
2018-11-15 8:27 ` Evgeny Sinelnikov
2018-11-15 8:39 ` Stas
2018-11-15 23:18 ` Vladimir D. Seleznev
2018-11-16 0:20 ` Dmitry V. Levin
2018-11-16 7:17 ` Alexey V. Vissarionov
2018-11-16 7:25 ` Michael Shigorin
2018-11-16 7:38 ` Alexey V. Vissarionov
2018-11-16 8:09 ` Michael Shigorin
2018-11-16 7:47 ` Alexey Gladkov
2018-11-16 8:14 ` Ivan A. Melnikov
2018-11-16 9:50 ` Evgeny Sinelnikov
2018-11-16 7:02 ` Alexey V. Vissarionov
2018-11-16 10:52 ` Anton V. Boyarshinov
2018-11-16 11:27 ` Denis Medvedev
2018-11-09 10:42 ` [devel] sudo/wheel | Re: [cyber] I: Sisyphus-20181108 bugs: +2 -3 (3144) Stas
2018-11-09 11:12 ` Alexey V. Vissarionov
2018-11-10 9:27 ` Stas
2018-11-08 13:01 ` Evgeny Sinelnikov [this message]
2018-11-08 13:06 ` [devel] " Dmitry V. Levin
2018-11-08 13:10 ` Dmitry V. Levin
2018-11-08 13:11 ` Alexey V. Vissarionov
2018-11-08 13:24 ` Alexey V. Vissarionov
2018-11-08 13:57 ` Evgeny Sinelnikov
2018-11-09 10:48 ` Dmitry V. Levin
2018-11-09 11:19 ` Alexey V. Vissarionov
2018-11-09 8:05 ` Mikhail Efremov
2018-12-13 11:16 ` Sergey Afonin
2018-12-13 11:23 ` Dmitry V. Levin
2018-12-13 11:32 ` Alexey V. Vissarionov
2018-12-13 11:55 ` Denis Medvedev
2018-12-13 11:58 ` Alexey V. Vissarionov
2018-12-13 12:00 ` [devel] sudo/wheel | " Sergey Afonin
2018-12-13 12:06 ` Denis Medvedev
2018-12-13 16:21 ` [devel] " Vladimir D. Seleznev
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='CAK42-Gp7SRca7AtyrGjPS9msaj9hMMb-4M8eFFS+R=PzK9RWqw@mail.gmail.com' \
--to=sin@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git