The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"При портировании во FreeBSD утилиты doas, аналога sudo от Op..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от opennews (??) on 24-Июн-16, 22:31 
В дерево портов FreeBSD добавлена утилита doas (http://www.freshports.org/security/doas/), представляющая собой упрощённый аналог программы sudo, позволяющий выполнять команды от имени другого пользователя. Утилита развивается в недрах проекта OpenBSD в ответ на усложнение современных выпусков sudo,  которые не отвечают требованиям OpenBSD по безопасности и зависимостям.


Портирование (https://github.com/slicer69/doas) не обошлось без казуса - спустя несколько часов после публикации порта, в нём была обнаружена критическая уязвимость (https://github.com/slicer69/doas/issues/2), позволяющая (https://twitter.com/mordin_/status/746372693071642624) выполнить привилегированные операции, даже если был указан неверный пароль пользователя. Т.е. любой пользователь, указанный в секции "permit" в файле doas.conf может выполнить любые допустимые команды, указав любые символы в ответ на запрос пароля. Проблема была вызвана  ошибкой (https://github.com/slicer69/doas/commit/720db7212167f05bcdcb...) в коде обработки отрицательного результата проверки пароля через PAM (при ошибке программа не завершала свою работу).


URL: https://www.reddit.com/r/freebsd/comments/4pmp78/openbsds_do.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44663

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +2 +/
Сообщение от G.NercY.uR on 24-Июн-16, 22:32 
Бывает. Строк кода много, разрабов мало, тех кто смотрит этот код ещё меньше.
А добавили проблему я так понимаю этим коммитом:
https://github.com/slicer69/doas/commit/d55af6cdf4267e6e1cfb...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –11 +/
Сообщение от Kodir (ok) on 25-Июн-16, 00:46 
> (void) strlcpy(cmdline, argv[0], sizeof(cmdline));
> char *challenge = NULL, *response, rbuf[1024], cbuf[128];

* facepalm.avi 10GB *

Шёл 21 век. В мире FOSS все знали про языки с GC, но сказать вслух плохое про святую сипиписю никто не отваживался и мыши продолжали жрать кактус и писать фиксед буфера с копированием строк уровня CPU.
капец....

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 25-Июн-16, 12:05 
> Бывает. Строк кода много, разрабов мало, тех кто смотрит этот код ещё меньше.

А уж тех, кто понимает...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

48. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 08-Июл-16, 02:43 
> Бывает. Строк кода много, разрабов мало, тех кто смотрит этот код ещё
> меньше.

Что «бывает» — согласен. А вот насчёт «строк кода много» — это в doas-то?

<pre>$ wc -l doas.c doas.h parse.y
     475 doas.c
      23 doas.h
     324 parse.y
     822 total</pre>

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +3 +/
Сообщение от Аноним (??) on 24-Июн-16, 22:43 
да и в названии опечатались и пропустили вторую "s" вконце
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +9 +/
Сообщение от A.Stahl (ok) on 24-Июн-16, 23:04 
А откуда ты знаешь, что пропустили именно вторую "s"? Мне кажется первую...
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +3 +/
Сообщение от _ (??) on 25-Июн-16, 00:24 
А мне кажется что там DoАзЪ должен быть ... истинно вам говорю!, иже херувимы ... :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +14 +/
Сообщение от anonymous (??) on 25-Июн-16, 00:32 
do. do as. do as root
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –2 +/
Сообщение от Аноним (??) on 26-Июн-16, 12:49 
do
do ass
do ass hard
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

5. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 24-Июн-16, 23:18 
doass — хорошее название программы, прям как 1С
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Аноним (??) on 25-Июн-16, 18:49 
Ага, хотели портировать хорошую утилиту doas, а вышло как всегда - doass ;)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Онаним on 24-Июн-16, 23:22 
А что умудрились в sudo-то усложнить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 25-Июн-16, 12:09 
> А что умудрились в sudo-то усложнить?

Много чего -- поэтому в альте до сих пор 1.6.8p12 имени courtesan.com, а в федоре, скажем, https://bugzilla.redhat.com/buglist.cgi?component=sudo&list_...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

42. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от . on 27-Июн-16, 16:31 
и сколько в альте правок этой самой p12 поверх оригинала?
Не получится ли больше чем в федоре (причем там - половина в том что что-то не работает как задумано) при на два порядка меньшей user base и соответственно меньшей верифицированности?

хотя, конечно, sudo и от рождения-то была не фонтан (в частности и пресловутый pam - так же как в этой do-ass, добавлен туда далеко не сразу, и не с первой попытки без существенных косяков - я помню как ковырнул, ужаснулся, и пару лет жил без sudo), а наверчивание на нее все новых и новых нужных непойми кому приблуд (на, пардон, _security_ утилиту, которая обязана быть как можно более простой) лучше ее не сделало.

Но я бы нынче смотрел в сторону хака sudo по образцу libressl, а не в сторону портирования поделий из openbsd.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

43. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Июн-16, 17:25 
> и сколько в альте правок этой самой p12 поверх оригинала?

Жалких сорок килобайт: https://packages.altlinux.org/ru/Sisyphus/srpms/sudo/patches :)

> Не получится ли больше чем в федоре (причем там - половина в
> том что что-то не работает как задумано) при на два порядка
> меньшей user base и соответственно меньшей верифицированности?

Те users, которые вычитывали этот код, явно минимум на порядок *более* квалифицированны, судя по сопоставлению списков применимых CVE...

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от . on 28-Июн-16, 12:45 
Makefile.in     |   17 ++--
UPGRADE         |   12 +++
aclocal.m4      |   16 ++--
auth/pam.c      |   23 ++++-
check.c         |   18 ++++
config.h.in     |    3 +
configure.in    |   35 +++++---
defaults.c      |    3 +-
env.c           |   33 +++++--
find_path.c     |    5 +-
logging.c       |    5 +-
parse.c         |  255 ++++++++++++++++++++++++++++++++++++++++++++++++++-----
parse.yacc      |   13 +++
pathnames.h.in  |   14 +++
rpminst.sudoers |   19 +++++
sample.pam      |   33 +------
sudo.c          |   92 ++------------------
sudo.control    |   17 ++++
sudo.h          |    1 -
sudo.pod        |   15 ++--
sudoers         |   22 ++---
sudoers.control |   19 +++++
sudoers.man.in  |    2 +-
sudoers.pod     |    9 +-
tgetpass.c      |    7 +-
visudo.man.in   |    2 +-
visudo.pod      |    5 +-
27 files changed, 487 insertions(+), 208 deletions(-)

то есть затронуто этими сорока килобайтами - почти все и не по разу. Ну и стоило оно того?

> Те users, которые вычитывали этот код, явно минимум на порядок *более*
> квалифицированны, судя по сопоставлению списков применимых CVE...

еще раз, медленно: большая часть этих CVE относится к фичам, которых в вашей версии вообще нет, и, не всегда, но часто, совершенно безвредны, если этими самыми фичами не пользоваться - то есть это следствия добавления нового функционала. А у тебя уже полтыщи правок - без копейки нового, разумеется, оно так спокойнее, но причем тут квалификация?

Ну и было за что бороться?

Я за хорошие форки. Но в данном случае это трудно назвать хорошим форком - скорее просто унылое сидение на версии, которая "вроде показалась устраивающей" (конкретных нескольких человек, а не всех пользователей даже) с бесконечным бэкпортом этих же самых CVE

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 28-Июн-16, 14:07 
> Ну и стоило оно того?

Да.

> причем тут квалификация?

При выборе, среди прочего -- что тянуть, что нет.

PS: su(8) тоже другой, но иначе. :)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

49. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 08-Июл-16, 02:45 
>[оверквотинг удален]
> меньшей user base и соответственно меньшей верифицированности?
> хотя, конечно, sudo и от рождения-то была не фонтан (в частности и
> пресловутый pam - так же как в этой do-ass, добавлен туда
> далеко не сразу, и не с первой попытки без существенных косяков
> - я помню как ковырнул, ужаснулся, и пару лет жил без
> sudo), а наверчивание на нее все новых и новых нужных непойми
> кому приблуд (на, пардон, _security_ утилиту, которая обязана быть как можно
> более простой) лучше ее не сделало.
> Но я бы нынче смотрел в сторону хака sudo по образцу libressl,
> а не в сторону портирования поделий из openbsd.

x/0

Ничего, что автор doas — один из основателей LibreSSL?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

7. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Аноним (??) on 24-Июн-16, 23:26 
Какая-то желтая насквозь новость. Представляется, как сразу после опубликования порта все пошли вдруг устанавливать doas, но тут вдруг, критическая уязвимость! Сколько невинных душ пострадало за этот час.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 24-Июн-16, 23:55 
> Какая-то желтая насквозь новость. Представляется, как сразу после опубликования порта
> все пошли вдруг устанавливать doas, но тут вдруг, критическая уязвимость! Сколько
> невинных душ пострадало за этот час.

С другой стороны, если такая плюха находится в первый же час - что с остальным кодом творится? Бсдшное качество как есть.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 25-Июн-16, 00:14 
> что с остальным кодом творится? Бсдшное качество как есть.

То ли дело PPA с AURами!
Кстати, да, не у всех юниксоподобных есть такие классные друзья:
http://www.linux-magazine.com/Online/News/Microsoft-Patents-...
Так что да, лапчатые могут гордиться!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +6 +/
Сообщение от Аноним (??) on 25-Июн-16, 00:52 
этому Анониму больше не наливать
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 25-Июн-16, 00:20 
>  Бсдшное качество как есть.

А еще у них в портах есть sudo
http://www.freshports.org/security/sudo/
да-да, тот самый:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2012-0809
> Format string vulnerability in the sudo_debug function in Sudo 1.8.0 through 1.8.3p1 allows local users to execute arbitrary code via format string sequences in the program name for sudo.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0106
> Sudo 1.6.9 before 1.8.5, when env_reset is disabled, does not properly check environment variables for the env_delete restriction, which allows local users with sudo permissions to bypass intended command restrictions via a crafted environment variable.
>

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –1 +/
Сообщение от Led (ok) on 25-Июн-16, 00:40 
> Бсдшное качество

Забавно

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 25-Июн-16, 21:02 
Особенно на фоне всяких http://mobile.opennet.ru/opennews/art.shtml?num=44669
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

36. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 27-Июн-16, 08:13 
> Особенно на фоне всяких http://mobile.opennet.ru/opennews/art.shtml?num=44669

Там обычное повышение прав, в хитрой ситуации котрую не предусмотрели. Но вот не предусмотреть что пользователь введет неправильный пароль?!?!!!

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от anonymous (??) on 27-Июн-16, 10:12 
>> Особенно на фоне всяких http://mobile.opennet.ru/opennews/art.shtml?num=44669
> Там обычное повышение прав, в хитрой ситуации котрую не предусмотрели. Но вот
> не предусмотреть что пользователь введет неправильный пароль?!?!!!

Тут обычная опечатка, которую заметили и исправили моментально. А там серьезная уязвимость...

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

46. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 04-Июл-16, 07:45 
> Тут обычная опечатка, которую заметили и исправили моментально. А там серьезная уязвимость...

Спору нет, вход без знания пароля под правами рута - серьезная уязвимость. Но вот не заметить ее можно только если ни разу не запускать свой код. Автор наверное использовал putty.exe и UAC вместо doas.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

23. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Ordu email(ok) on 25-Июн-16, 16:41 
Было бы печальнее, если бы эта плюха не была бы найдена в первый час. А так, значит, что не всё ещё потеряно, и сообщество ещё в состоянии скорректировать ошибки индивидуалов.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

37. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Аноним (??) on 27-Июн-16, 08:15 
> Было бы печальнее, если бы эта плюха не была бы найдена в
> первый час. А так, значит, что не всё ещё потеряно, и
> сообщество ещё в состоянии скорректировать ошибки индивидуалов.

На месте сообщества было бы разумно объявить такую программу глубоко экспериментальной альфой, непригодной для практического применения. Чтобы люди понимали что автор в момент написания был невменяем и аудит может потребовать значительное время.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

50. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 08-Июл-16, 02:48 
>> Было бы печальнее, если бы эта плюха не была бы найдена в
>> первый час. А так, значит, что не всё ещё потеряно, и
>> сообщество ещё в состоянии скорректировать ошибки индивидуалов.
> На месте сообщества было бы разумно объявить такую программу глубоко экспериментальной
> альфой, непригодной для практического применения. Чтобы люди понимали что автор в
> момент написания был невменяем и аудит может потребовать значительное время.

Какую такую? В оригинальном doas банально нет поддержки PAM, это в FreeBSD её прикрутили.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

32. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Аноним (??) on 26-Июн-16, 13:01 
> С другой стороны, если такая плюха находится в первый же час -
> что с остальным кодом творится? Бсдшное качество как есть.

Смотрите дети, альтернативная логика очередного лапчатого зилота – это вот так! )
А сейчас он нам расскажет, что в официальных репах его дистрибутива нет PHP c OpenJDK, ну или что это совсем-совсем не тоже самое … =)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

38. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Аноним (??) on 27-Июн-16, 08:23 
> Смотрите дети, альтернативная логика очередного лапчатого зилота – это вот так! )

Это альтернативная логика зилотов. Но не лапчатых.

> А сейчас он нам расскажет, что в официальных репах его дистрибутива нет
> PHP c OpenJDK, ну или что это совсем-совсем не тоже самое … =)

PHP и OpenJDK - громадные монстры с сложным кодом. Логично что там багов - оптом. По умолчанию этого багодрома в дистрах все-таки нет. А в этом случае налицо тот факт что автор свою программу даже не запускал. Иначе как он смог прошляпить повышение прав при неправильном пароле?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –1 +/
Сообщение от имя on 27-Июн-16, 09:45 
>Иначе как он смог прошляпить повышение прав при неправильном пароле?

может у него руки из нужного места растут и он ниразу не смог ввести не правильный пароль?;(

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +1 +/
Сообщение от Аноним (??) on 27-Июн-16, 14:03 
> PHP и OpenJDK - громадные монстры с сложным кодом. Логично что там
> багов - оптом.

Т.е. можно сказать "пингвинячье качество как есть" только из-за того, что оно есть в репах дистров пингвина?

> А в этом случае налицо тот факт что автор свою программу
> даже не запускал. Иначе как он смог прошляпить повышение прав при
> неправильном пароле?

Гм, вы все-таки сходите по ссылке
https://github.com/slicer69/doas/issues/2
> slicer69 commented 3 days ago
> I have found

Там баг открыт самим автором.

ЗЫ:
https://github.com/slicer69/doas/issues/4
Эдакая "самореклама" еще одного портировщика, но уже для линукса:
> I mainly focused to port it to linux and staying

и вот прикольный каммит "fix horrible mistake"
https://github.com/Duncaen/OpenDoas/commit/9972a8ee4233ba9e4...


            ret = pam_end(pamh, ret);
            if (ret != PAM_SUCCESS)
                errx(1, "pam_end(): %s\n", pam_strerror(pamh, ret));
-            return 1;
+            return 0;
        }
    }

Ничего не напоминает? ))
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 04-Июл-16, 07:53 
> Т.е. можно сказать "пингвинячье качество как есть" только из-за того, что оно
> есть в репах дистров пингвина?

У пингвинов нет никаких заскоков с базовыми системами и прочим. Линукс это вообше только ядро, которое можно использовать с самыми разными юзермодами. Остальные отдуваются за свои баги сами.

> Там баг открыт самим автором.

Быстро поднятый маздай не считается упавшим?

> Эдакая "самореклама" еще одного портировщика, но уже для линукса:

Пусть этот портировщик себе оставит все эти качественные продукты жизнедеятельности, где авторы даже не удосуживаются запустить свой код и проверить два тривиальных юзкейса: правильный пароль и неправильный. Ладно там еще сложные баги в продвинутых фичах, но вот не поймать такое еще до релиза на публику - это фэйл.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 08-Июл-16, 02:49 
>[оверквотинг удален]
> вообше только ядро, которое можно использовать с самыми разными юзермодами. Остальные
> отдуваются за свои баги сами.
>> Там баг открыт самим автором.
> Быстро поднятый маздай не считается упавшим?
>> Эдакая "самореклама" еще одного портировщика, но уже для линукса:
> Пусть этот портировщик себе оставит все эти качественные продукты жизнедеятельности, где
> авторы даже не удосуживаются запустить свой код и проверить два тривиальных
> юзкейса: правильный пароль и неправильный. Ладно там еще сложные баги в
> продвинутых фичах, но вот не поймать такое еще до релиза на
> публику - это фэйл.

Релиза, вообще-то, ещё не было.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

8. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +2 +/
Сообщение от Аноним (??) on 24-Июн-16, 23:53 
> привилегированные операции, даже если был указан неверный пароль пользователя

Эпично!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +2 +/
Сообщение от Аноним (??) on 25-Июн-16, 15:23 
Хотели doas, а получился doass. Ну или doarse, на любителя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  –1 +/
Сообщение от Ilya Indigo (ok) on 26-Июн-16, 02:46 
Мне в sudo не нравится первое ALL в sudoers. Прописывать его всегда нуэжно и кроме значения ALL что то указывать бессмысленно. localhost оно не понимает.
Нельзя, точнее бессмысленно, писать:
user localhost=NOPASSWD:COMMANDS_LIST
user ALL=COMMANDS_LIST

А если вместо localhost, указать hostname сервера, то подключаясь по SSH с явно другого хоста, sudo всё ровно выполняет это правило. То есть указывать хост отличный от ALL обессмыслено. Как с этим в doas?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "При портировании во FreeBSD утилиты doas, аналога sudo от Op..."  +/
Сообщение от Аноним (??) on 08-Июл-16, 02:50 
> Мне в sudo не нравится первое ALL в sudoers. Прописывать его всегда
> нуэжно и кроме значения ALL что то указывать бессмысленно. localhost оно
> не понимает.
> Нельзя, точнее бессмысленно, писать:
>
user localhost=NOPASSWD:COMMANDS_LIST 
> user ALL=COMMANDS_LIST

> А если вместо localhost, указать hostname сервера, то подключаясь по SSH с
> явно другого хоста, sudo всё ровно выполняет это правило. То есть
> указывать хост отличный от ALL обессмыслено. Как с этим в doas?

Там свой конфиг, без этой «фичи», которая была актуальна в эпоху тотального монтирования /etc по NFS.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру