Автор Тема: Начало работы с sudo  (Прочитано 5393 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vik

Начало работы с sudo
« : 20 Август 2016, 13:47:53 »
Здравствуйте.
После установки Debian как правильно начать работать с sudo ?

Сначала установить пакет. 
su
apt-get install sudo
a.добавить свою учетную запись в группу sudo.
adduser user sudob.su
visudo
пишите в самом конце файла
username ALL=(ALL) NOPASSWD:ALLс. su
nano -w /etc/sudoers
и пишите в самом конце файла
username ALL=(ALL) NOPASSWD:ALL
Вопросы:
1. Какой вариант правильный(a,b,c) или есть еще другой.  Или надо a и b вместе?

2.Дальше,читал,надо обязательно "перелогиниться и перезагрузиться".
Как это "перелогиниться" ?
su -username      это начать работать с учетной записи username ?

3.Знаю,что при установке правильно будет НЕ отказываться от рута.
Но все-таки, насколько распространено отказывание от рута при установке ОС?
Как поступаете Вы?
« Последнее редактирование: 21 Август 2016, 06:45:12 от ogost »
 

Оффлайн dogsleg

Re: Начало работы с sudo
« Ответ #1 : 20 Август 2016, 15:03:02 »
После установки Debian как правильно начать работать с sudo ?

Правильно начать работу с sudo с чтения документации.

username ALL=(ALL) NOPASSWD:ALL

Зачем в таком случае sudo? Это не безопаснее, чем просто работать под root'ом.

Например, с помощью sudo можно сделать так:

Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

Host_Alias      LOCAL = debian

Cmnd_Alias      WPASS = /usr/bin/qemu-system-i386
Cmnd_Alias      PASS = /bin/mount, /bin/umount, /usr/bin/aptitude
Cmnd_Alias      PASSENV = /usr/sbin/debootstrap

root       LOCAL=(ALL:ALL) ALL
vik         LOCAL = NOPASSWD: WPASS, PASSWD: PASS, PASSWD:SETENV: PASSENV

Это позволяет пользователю vik с помощью sudo на машине с именем узла debian
(1) запускать qemu-system-i386 без ввода пароля пользователя;
(2) запускать mount, umount, aptitude с вводом пароля пользователя;
(3) запускать debootstrap с вводом пароля пользователя и сохранением окружения этого пользователя.

Такая настройка будет давать какую-то безопасность, а username ALL=(ALL) NOPASSWD:ALL даёт выполнять пользователю любой файл с правами суперпользователя без ввода пароля, так что если у вас "случайно" запустится что-то типа sudo рм -рф /, то тут уж пеняйте на себя.

Определитесь, какие команды с правами суперпользователя вам нужно запускать, тогда и поймёте как настроить sudo.

Оффлайн vik

Re: Начало работы с sudo
« Ответ #2 : 20 Август 2016, 15:15:19 »
Документацию читал,искал в инете,но ответа не нашел.
Про username ALL=(ALL) NOPASSWD:ALL  так и понял,но решил переспросить.
А если    adduser vik sudo ,то тогда ВСЕ команды надо будет выполнять с введением пароля пользователя vik?
« Последнее редактирование: 20 Август 2016, 15:51:07 от vik »
 

Оффлайн dogsleg

Re: Начало работы с sudo
« Ответ #3 : 20 Август 2016, 19:25:51 »
А если    adduser vik sudo ,то тогда ВСЕ команды надо будет выполнять с введением пароля пользователя vik?

По умолчанию в Debian после установки пакета sudo файл /etc/sudoers содержит следующую строку:

%sudo ALL=(ALL:ALL) ALL
То есть, члены группы sudo могут запускать любую команду на любой машине от лица любого пользователя, но требуется ввод пароля.

На самом деле добавлять пользователя в группу sudo не обязательно, настроить пользователей sudo можно и в /etc/sudoers.

Лучший источник документации по настройке sudo — sudoers(5). Есть даже на русском.
« Последнее редактирование: 20 Август 2016, 19:29:52 от dogsleg »
 

Оффлайн vik

Re: Начало работы с sudo
« Ответ #4 : 20 Август 2016, 20:43:22 »
Года 2 работал с Лубунту,никаких проблем не было.
Буду учить.
Последнее:
Если я установлю sudo,то тогда по умолчанию смогу выполнять все команды от  своего имени вводя пароль sudo?
А что по умолчанию останется руту?
Если я единственный пользователь ноута,надо ли тогда при установке вводить пароль рута?
 

Оффлайн dogsleg

Re: Начало работы с sudo
« Ответ #5 : 20 Август 2016, 21:56:54 »
Если я установлю sudo,то тогда по умолчанию смогу выполнять все команды от  своего имени вводя пароль sudo?

Если просто установить sudo, то ещё ничего не будет. Нужно либо добавить пользователя в группу sudo, либо в файл /etc/sudoers.

А что по умолчанию останется руту?

Никто у суперпользователя ничего не забирает, поэтому останется всё.

Если я единственный пользователь ноута,надо ли тогда при установке вводить пароль рута?

Конечно. Вы же будете пользоваться Сетью, какие-нибудь флеш-накопители подключать и проч.? Представьте, вы пользуетесь браузером, в котором есть незакрытая уязвимость (а она есть, и даже не одна), открываете какой-нибудь сайт, исполняется вредоносный код, который выходит из "песочницы" браузера и что-то делает от лица суперпользователя (который у вас паролем не защищён). Получается капут. С безопасностью штука такая: никогда нельзя обезопаситься полностью, но стремиться к этому необходимо. Поэтому и пароль суперпользователю ставьте, и sudoers тонко настраивайте, чтобы ваш пользователь не могу запускать всё подряд, и т. п.
« Последнее редактирование: 20 Август 2016, 22:01:27 от dogsleg »
 

Оффлайн vik

Re: Начало работы с sudo
« Ответ #6 : 20 Август 2016, 23:10:02 »
Спасибо. Что-то уже прояснилось. Сложно все это знать.
Достаточно добавить пользователя в группу sudo (adduser vik sudo), su -vik  и можно дальше спокойно работать.Этого достаточно для нормальной безопасности?

 

Оффлайн dogsleg

Re: Начало работы с sudo
« Ответ #7 : 21 Август 2016, 01:30:15 »
Достаточно добавить пользователя в группу sudo
Этого достаточно для нормальной безопасности?

Я уже писал, что если добавить пользователя в группу sudo, то при прочих настройках по умолчанию этот пользователь сможет выполнять все файлы на всех машинах с правами суперпользователя после ввода своего пароля. Если вы не боитесь за сохранность своего пароля, то делайте так, но помните, что в любой системе много уязвимостей, которые могут использоваться для компрометации вашего пользователя.

Оффлайн ogost

Re: Начало работы с sudo
« Ответ #8 : 21 Август 2016, 06:53:06 »
Резюмируя коллегу:
1. Использование группы sudo является наипростейшим вариантом с допустимым уровнем безопасности.
2. visudo - эта команда запускает редактор файла /etc/sudoers, по сути nano -w /etc/sudoers делает то же самое. Различие, разумеется, в выборе редактора.
3. К пункту 2 - если чётко не понимаете что делаете, то лучше в ручную этот файл не трогать, лучше использовать группу sudo.
4. Перелогиниться - это выйти из текущей сессии и войти ещё раз. в случае su - username вы создаете новую сессию в терминале под указанным username. Разница, думаю, налицо.

Оффлайн alsoijw

Re: Начало работы с sudo
« Ответ #9 : 21 Август 2016, 12:12:51 »
Здравствуйте.
После установки Debian как правильно начать работать с sudo ?
Возможно позно пить боржоми, но: если при установке выбирать дополнительные параметры, то можно не создавать рута, а сразу наделить себя нужными правами.
3.Знаю,что при установке правильно будет НЕ отказываться от рута.
Подтверждение? В убунте рут залочен, в федоре и дебиане это можно сделать руками.
Если я единственный пользователь ноута,надо ли тогда при установке вводить пароль рута?
Это не зависит от количества пользователей.
Конечно. Вы же будете пользоваться Сетью, какие-нибудь флеш-накопители подключать и проч.? Представьте, вы пользуетесь браузером, в котором есть незакрытая уязвимость (а она есть, и даже не одна), открываете какой-нибудь сайт, исполняется вредоносный код, который выходит из "песочницы" браузера и что-то делает от лица суперпользователя (который у вас паролем не защищён). Получается капут. С безопасностью штука такая: никогда нельзя обезопаситься полностью, но стремиться к этому необходимо. Поэтому и пароль суперпользователю ставьте, и sudoers тонко настраивайте, чтобы ваш пользователь не могу запускать всё подряд, и т. п.
Не верно. Монтирование более чем можно сделать автоматическим. А атака через выполнение команд из браузера выглядит абсурдной: если у меня залочен рут, то какая разница, установлен ли для него пароль или нет?
vik, рекомендую почитать на досуге.

2. visudo - эта команда запускает редактор файла /etc/sudoers, по сути nano -w /etc/sudoers делает то же самое. Различие, разумеется, в выборе редактора.
Не совсем верно. Редактор не зависит от visudo. visudo зависит от редактора
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Оффлайн vik

Re: Начало работы с sudo
« Ответ #10 : 21 Август 2016, 12:56:19 »
alsoijw, Вы говорите,что можно отказаться от рута и безопасность не пострадает? Т.е. при установке отказываюсь от рута (или не ставлю пароль рута) и дальше будет работа с sudo как в Убунту ?

Если установить ОС с рутом,а потом  adduser user sudo, то (если не настраивать /etc/sudoers) какие команды надо будет выполнять с паролем рута?
 

Оффлайн dogsleg

Re: Начало работы с sudo
« Ответ #11 : 21 Август 2016, 12:57:17 »
Не верно. Монтирование более чем можно сделать автоматическим.

Я не про монтирование, а даже про простое подключение устройства к USB. Вот, пример уязвимости в ядре linux. При подключении специально сформированного устройства (при простом подключении к порту USB, монтировать не нужно) из-за ошибки в драйвере visor происходит разыменование null-указателя и аварийная остановка системы. Теоретически (сейчас на вскидку не найду такую уязвимость) подключение специально сформированного устройства может вызвать переполнение буфера, а где есть переполнение буфера, там с большой долей вероятности можно выполнить произвольный код. Поэтому простое подключение небезопасного устройства может компрометировать систему.


А атака через выполнение команд из браузера выглядит абсурдной: если у меня залочен рут, то какая разница, установлен ли для него пароль или нет?

Если залочен root, то конечно проблемы нет. Тем не менее, если в /etc/sudoers стоит, например, alsoijw ALL=(ALL) NOPASSWD:ALL, то хоть залочен суперпользователь, хоть нет.

Оффлайн alsoijw

Re: Начало работы с sudo
« Ответ #12 : 21 Август 2016, 13:29:07 »
alsoijw, Вы говорите,что можно отказаться от рута и безопасность не пострадает?
А от чего должна безопасность пострадать?
Т.е. при установке отказываюсь от рута (или не ставлю пароль рута)
Давай называть это залочим. Не не поставим пароль, а залочим. То есть залогинится под рутом без его разлочки будет невозможно.
Если установить ОС с рутом,а потом  adduser user sudo, то (если не настраивать /etc/sudoers)
Грязный извращенец :). Настройка sudo осуществляется с помощью visudo ВСЕГДА. Остальные способы приводят к САМЫМ РАЗНЫМ, НЕ ПРЕДСКАЗУЕМЫМ ЭФФЕКТАМ.
Если залочен root, то конечно проблемы нет. Тем не менее, если в /etc/sudoers стоит, например, alsoijw ALL=(ALL) NOPASSWD:ALL, то хоть залочен суперпользователь, хоть нет
Мы говорим о разных вещах. И разумеется я не использую NOPASSWD.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Оффлайн vik

Re: Начало работы с sudo
« Ответ #13 : 21 Август 2016, 13:52:50 »
Тогда мне,как новичку в  Debian, лучше всего при установке ОС залочить рута (не помню точно как там: есть ли отказаться,или просто пароль не ставить) и можно спокойно работать дальше.
В этом случае не будет ситуаций когда после какой-то команды надо будет ввести пароль рута?    
 

Оффлайн alsoijw

Re: Начало работы с sudo
« Ответ #14 : 21 Август 2016, 14:31:45 »
vik, не должно. В крайнем случае создашь багрепорт.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

Теги:
 

Сдвинуть раздел / в начало диска

Автор vadim_normal

Ответов: 2
Просмотров: 589
Последний ответ 28 Октябрь 2019, 08:27:56
от gardarea51
Debian 9 - начало работы.

Автор WN

Ответов: 9
Просмотров: 1170
Последний ответ 31 Май 2019, 17:28:12
от Modigar