Начало работы с sudo

[vik]

Здравствуйте.
После установки Debian как правильно начать работать с sudo ?

Сначала установить пакет. 

Код Выделить Развернуть

su
apt-get install sudo

a.добавить свою учетную запись в группу sudo.

Код Выделить Развернуть

adduser user sudo
b.

Код Выделить Развернуть

su
visudo
пишите в самом конце файла

Код Выделить Развернуть

username ALL=(ALL) NOPASSWD:ALL
с.

Код Выделить Развернуть

su
nano -w /etc/sudoers

и пишите в самом конце файла

Код Выделить Развернуть

username ALL=(ALL) NOPASSWD:ALL

Вопросы:
1. Какой вариант правильный(a,b,c) или есть еще другой.  Или надо a и b вместе?

2.Дальше,читал,надо обязательно "перелогиниться и перезагрузиться".
Как это "перелогиниться" ?
su -username      это начать работать с учетной записи username ?

3.Знаю,что при установке правильно будет НЕ отказываться от рута.
Но все-таки, насколько распространено отказывание от рута при установке ОС?
Как поступаете Вы?

[dogsleg]

После установки Debian как правильно начать работать с sudo ?

Правильно начать работу с sudo с чтения документации.

username ALL=(ALL) NOPASSWD:ALL

Зачем в таком случае sudo? Это не безопаснее, чем просто работать под root'ом.

Например, с помощью sudo можно сделать так:

Код Выделить Развернуть


Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

Host_Alias      LOCAL = debian

Cmnd_Alias      WPASS = /usr/bin/qemu-system-i386
Cmnd_Alias      PASS = /bin/mount, /bin/umount, /usr/bin/aptitude
Cmnd_Alias      PASSENV = /usr/sbin/debootstrap

root       LOCAL=(ALL:ALL) ALL
vik         LOCAL = NOPASSWD: WPASS, PASSWD: PASS, PASSWD:SETENV: PASSENV


Это позволяет пользователю vik с помощью sudo на машине с именем узла debian
(1) запускать qemu-system-i386 без ввода пароля пользователя;
(2) запускать mount, umount, aptitude с вводом пароля пользователя;
(3) запускать debootstrap с вводом пароля пользователя и сохранением окружения этого пользователя.

Такая настройка будет давать какую-то безопасность, а username ALL=(ALL) NOPASSWD:ALL даёт выполнять пользователю любой файл с правами суперпользователя без ввода пароля, так что если у вас "случайно" запустится что-то типа sudo рм -рф /, то тут уж пеняйте на себя.

Определитесь, какие команды с правами суперпользователя вам нужно запускать, тогда и поймёте как настроить sudo.

[vik]

Документацию читал,искал в инете,но ответа не нашел.
Про username ALL=(ALL) NOPASSWD:ALL  так и понял,но решил переспросить.
А если    adduser vik sudo ,то тогда ВСЕ команды надо будет выполнять с введением пароля пользователя vik?

[dogsleg]

А если    adduser vik sudo ,то тогда ВСЕ команды надо будет выполнять с введением пароля пользователя vik?

По умолчанию в Debian после установки пакета sudo файл /etc/sudoers содержит следующую строку:

Код Выделить Развернуть

%sudo ALL=(ALL:ALL) ALL

То есть, члены группы sudo могут запускать любую команду на любой машине от лица любого пользователя, но требуется ввод пароля.

На самом деле добавлять пользователя в группу sudo не обязательно, настроить пользователей sudo можно и в /etc/sudoers.

Лучший источник документации по настройке sudo — sudoers(5). Есть даже на русском.

[vik]

Года 2 работал с Лубунту,никаких проблем не было.
Буду учить.
Последнее:
Если я установлю sudo,то тогда по умолчанию смогу выполнять все команды от  своего имени вводя пароль sudo?
А что по умолчанию останется руту?
Если я единственный пользователь ноута,надо ли тогда при установке вводить пароль рута?

[dogsleg]

Если я установлю sudo,то тогда по умолчанию смогу выполнять все команды от  своего имени вводя пароль sudo?

Если просто установить sudo, то ещё ничего не будет. Нужно либо добавить пользователя в группу sudo, либо в файл /etc/sudoers.

А что по умолчанию останется руту?

Никто у суперпользователя ничего не забирает, поэтому останется всё.

Если я единственный пользователь ноута,надо ли тогда при установке вводить пароль рута?

Конечно. Вы же будете пользоваться Сетью, какие-нибудь флеш-накопители подключать и проч.? Представьте, вы пользуетесь браузером, в котором есть незакрытая уязвимость (а она есть, и даже не одна), открываете какой-нибудь сайт, исполняется вредоносный код, который выходит из "песочницы" браузера и что-то делает от лица суперпользователя (который у вас паролем не защищён). Получается капут. С безопасностью штука такая: никогда нельзя обезопаситься полностью, но стремиться к этому необходимо. Поэтому и пароль суперпользователю ставьте, и sudoers тонко настраивайте, чтобы ваш пользователь не могу запускать всё подряд, и т. п.

[vik]

Спасибо. Что-то уже прояснилось. Сложно все это знать.
Достаточно добавить пользователя в группу sudo (adduser vik sudo), su -vik  и можно дальше спокойно работать.Этого достаточно для нормальной безопасности?

[dogsleg]

Достаточно добавить пользователя в группу sudo

Этого достаточно для нормальной безопасности?

Я уже писал, что если добавить пользователя в группу sudo, то при прочих настройках по умолчанию этот пользователь сможет выполнять все файлы на всех машинах с правами суперпользователя после ввода своего пароля. Если вы не боитесь за сохранность своего пароля, то делайте так, но помните, что в любой системе много уязвимостей, которые могут использоваться для компрометации вашего пользователя.

[ogost]

Резюмируя коллегу:
1. Использование группы sudo является наипростейшим вариантом с допустимым уровнем безопасности.
2. visudo - эта команда запускает редактор файла /etc/sudoers, по сути nano -w /etc/sudoers делает то же самое. Различие, разумеется, в выборе редактора.
3. К пункту 2 - если чётко не понимаете что делаете, то лучше в ручную этот файл не трогать, лучше использовать группу sudo.
4. Перелогиниться - это выйти из текущей сессии и войти ещё раз. в случае su - username вы создаете новую сессию в терминале под указанным username. Разница, думаю, налицо.

[alsoijw]

Здравствуйте.
После установки Debian как правильно начать работать с sudo ?

Возможно позно пить боржоми, но: если при установке выбирать дополнительные параметры, то можно не создавать рута, а сразу наделить себя нужными правами.

3.Знаю,что при установке правильно будет НЕ отказываться от рута.

Подтверждение? В убунте рут залочен, в федоре и дебиане это можно сделать руками.

Если я единственный пользователь ноута,надо ли тогда при установке вводить пароль рута?

Это не зависит от количества пользователей.

Конечно. Вы же будете пользоваться Сетью, какие-нибудь флеш-накопители подключать и проч.? Представьте, вы пользуетесь браузером, в котором есть незакрытая уязвимость (а она есть, и даже не одна), открываете какой-нибудь сайт, исполняется вредоносный код, который выходит из "песочницы" браузера и что-то делает от лица суперпользователя (который у вас паролем не защищён). Получается капут. С безопасностью штука такая: никогда нельзя обезопаситься полностью, но стремиться к этому необходимо. Поэтому и пароль суперпользователю ставьте, и sudoers тонко настраивайте, чтобы ваш пользователь не могу запускать всё подряд, и т. п.

Не верно. Монтирование более чем можно сделать автоматическим. А атака через выполнение команд из браузера выглядит абсурдной: если у меня залочен рут, то какая разница, установлен ли для него пароль или нет?
vik, рекомендую почитать на досуге.

2. visudo - эта команда запускает редактор файла /etc/sudoers, по сути nano -w /etc/sudoers делает то же самое. Различие, разумеется, в выборе редактора.

Не совсем верно. Редактор не зависит от visudo. visudo зависит от редактора

[vik]

alsoijw, Вы говорите,что можно отказаться от рута и безопасность не пострадает? Т.е. при установке отказываюсь от рута (или не ставлю пароль рута) и дальше будет работа с sudo как в Убунту ?

Если установить ОС с рутом,а потом  adduser user sudo, то (если не настраивать /etc/sudoers) какие команды надо будет выполнять с паролем рута?

[dogsleg]

Не верно. Монтирование более чем можно сделать автоматическим.

Я не про монтирование, а даже про простое подключение устройства к USB. Вот, пример уязвимости в ядре linux. При подключении специально сформированного устройства (при простом подключении к порту USB, монтировать не нужно) из-за ошибки в драйвере visor происходит разыменование null-указателя и аварийная остановка системы. Теоретически (сейчас на вскидку не найду такую уязвимость) подключение специально сформированного устройства может вызвать переполнение буфера, а где есть переполнение буфера, там с большой долей вероятности можно выполнить произвольный код. Поэтому простое подключение небезопасного устройства может компрометировать систему.

А атака через выполнение команд из браузера выглядит абсурдной: если у меня залочен рут, то какая разница, установлен ли для него пароль или нет?

Если залочен root, то конечно проблемы нет. Тем не менее, если в /etc/sudoers стоит, например, alsoijw ALL=(ALL) NOPASSWD:ALL, то хоть залочен суперпользователь, хоть нет.

[alsoijw]

alsoijw, Вы говорите,что можно отказаться от рута и безопасность не пострадает?

А от чего должна безопасность пострадать?

Т.е. при установке отказываюсь от рута (или не ставлю пароль рута)

Давай называть это залочим. Не не поставим пароль, а залочим. То есть залогинится под рутом без его разлочки будет невозможно.

Если установить ОС с рутом,а потом  adduser user sudo, то (если не настраивать /etc/sudoers)

Грязный извращенец . Настройка sudo осуществляется с помощью visudo ВСЕГДА. Остальные способы приводят к САМЫМ РАЗНЫМ, НЕ ПРЕДСКАЗУЕМЫМ ЭФФЕКТАМ.

Если залочен root, то конечно проблемы нет. Тем не менее, если в /etc/sudoers стоит, например, alsoijw ALL=(ALL) NOPASSWD:ALL, то хоть залочен суперпользователь, хоть нет

Мы говорим о разных вещах. И разумеется я не использую NOPASSWD.

[vik]

Тогда мне,как новичку в  Debian, лучше всего при установке ОС залочить рута (не помню точно как там: есть ли отказаться,или просто пароль не ставить) и можно спокойно работать дальше.
В этом случае не будет ситуаций когда после какой-то команды надо будет ввести пароль рута?    

[alsoijw]

vik, не должно. В крайнем случае создашь багрепорт.