Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (31.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
4 (25%)
Сделать запрос пароля для sudo
6 (37.5%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.3%)

Проголосовало пользователей: 16

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 33492 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
 Насколько я помню, всё началось отсюда. В "классическом" Puppy это имеет смысл, но не в Richy и PRA. Пора прекращать необдуманно идолопоклонничать перед западом, sfs.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн I-Jurij

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 533
  • Репутация: +16/-0
Просто нужно определиться, что в дистрибутиве важнее: простота в освоении, пользовании или защищенность.
Во фругал-дистре, да еще и домашнем, особые заморочки не особо как-то.
Для тех, кому важно - написать прямо во время первой загрузки: не рассчитывайся через браузер пока не сделал то-то и то-то.
Как-то так.

Оффлайн Pro

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 10737
  • Репутация: +113/-2
Разработчик уже определился.
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33967
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
В "классическом" Puppy это имеет смысл, но не в Richy и PRA
Почему?
Разработчик уже определился.
Для себя - да. Юзаю
В дистр по умолчанию планирую : 2 ярлыка в меню. Который с nobody - по дефолту откроет страницу с вики про него
Есть другие идеи - пишите
Жестко всех перевел на nobody - чтобы получить результаты тестирования ("по хорошему" плохо у нас тестируют). Получил. Поправил. Всем поучаствовавшим - спасибо. Теперь можно переделать подобрее

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Почему?
Потому что правильнее разобраться с sudoers (или с busybox.conf), а не делать из live привилегтрованного юзера и добавлять неразбериху с nobody.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
Полностью согласен с DdShurick, что надо бы настроить sudo, чем городить огород из костылей. ИМХО, но пользователь nobody оправдан в системе работающей только из-под рута, но в системе, где есть обычный пользователь он лишний. В начале темы я уже задавал вопрос оправданности существования пользователя live и внятного ответа не было, как и не вижу внятного обоснования существования nobody в домашней системе с одним пользователем.
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1732
  • Репутация: +24/-0
Полностью согласен с DdShurick, что надо бы настроить sudo, чем городить огород из костылей.
Тут все об этом и говорят, но sfs просто упоротый в хлам. imho

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
просто упоротый в хлам.
Ничего, воспитаем...
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33967
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
правильнее разобраться с sudoers (или с busybox.conf), а не делать из live привилегтрованного юзера и добавлять неразбериху с nobody.
Мне кажется это будет сложнее.
По итогу в конфиге sudo окажется разрешение почти всего (что сейчас и так имеем)
Если запрашивать пароль - это будет слишком часто
Жду от желающих настроенного конфига sudo на базе http://wiki.puppyrus.org/puppyrus/pra-roll#sudo
Или свой вариант
Сам ближайшее время этим заниматься не буду. Делаю ролл1806

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Мне кажется это будет сложнее.
Это как посмотреть: или разобраться как следует одному и не дурить остальным голову, или каждый в этот маразм въезжает сам.
По итогу в конфиге sudo окажется разрешение почти всего
Требуется не так уж и много.
Жду от желающих настроенного конфига sudo
В Richy-219 хватало этого (/etc/sudoers) :
Код
User_Alias WHEEL_USERS = %wheel
%wheel ALL = NOPASSWD: /bin/busybox reboot, /bin/busybox poweroff, /bin/busybox losetup, /bin/busybox losetup -f, /bin/mount, /bin/umount, /bin/mkdir, /bin/rmdir, /bin/ntfs-3g, /sbin/blkid
В Richy-64 использую средства busybox.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33967
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Требуется не так уж и много.
У меня не мало копирования от юзера в системные каталоги
Если разрешить  cp mv ln - получится:
По итогу в конфиге sudo окажется разрешение почти всего (что сейчас и так имеем)
Кто попробует с конфигом Дяди Шурика - отпишитесь

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
У меня не мало копирования от юзера в системные каталоги
Но это ж не правильно, во всех линуксах в системные каталоги имеет право копировать только суперюзер и никто больше... или я что-то не понимаю?
Если делать такие разрешения для пользователя live, то это уже будет тот же рут, только чуть-чуть обрезанный, а смысл?
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33967
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Но это ж не правильно, во всех линуксах в системные каталоги имеет право копировать только суперюзер и никто больше... или я что-то не понимаю?
Заходим на второй круг обсуждения. Краткое содержание предыдущих серий:
При любых заморочках с безопасностью надо четко понимать что и от кого мы защищаем

Когда админ и юзер - 1 чел. - по любому ты root и сам от себя паролями не защитишься
Это я про настроенное sudo и ввод пароля на каждый чих

Какие -то теоретические проблемы не от себя любимого (практических фактов не зафиксировано) можно получить из инета. Наиболее вероятно = через браузер. Вот эту проблему и решает nobody

Чтобы убрать sudo cp и т.п. - надо перенести их на стадию до логина юзера. Все туда не перенести.
Сразу проблемы . Иногда это гуй, а Х еще не запущен.
Нужна управлялка. Как ее запускать - опять sudo ? - ну и кого обманываем...
Без systemd - Xorg запуcкается только от root - с этим что делать

Короче - куча проблем на ровном месте. На выходе реальные неудобства , усложнения и мнимая безопасность
nobody - поправил профиль браузера и хоть какая-то защита есть
« Последнее редактирование: 28 Май 2018, 17:37:58 от sfs »

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
На выходе реальные неудобства , усложнения и мнимая безопасность
Это все в полной мере относится ко всем сборкам PRA с пользователем live, поскольку эти системы ничуть не безопасней сборок Puppy(Rus), где пользователь только root.

Какие -то теоретические проблемы не от себя любимого (практических фактов не зафиксировано) можно получить из инета. Наиболее вероятно = через браузер.
Хотелось бы примеров проблем, но практических фактов не зафиксировано!!!
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33967
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
поскольку эти системы ничуть не безопасней сборок Puppy(Rus), где пользователь только root.
Я нигде не говорил, что PRA безопаснее PR. sudo в PRA по ходу жизни нарисовалось.
Хочешь root - юзай
Только придется решать проблемы незапуска некоторых прог от root (например chromium vlc ...)
Т.е. опять nobody  ;)
Хотелось бы примеров проблем, но практических фактов не зафиксировано!!!
Ну так я про это и пишу. Тема религиозная . Веришь что тебя обезопасит ... (нужное подчеркнуть) - юзай. Можно иконки на комп повесить или презерватив одеть  - "обезопасит" одинаково  :D Оговорюсь - все написанное - про домашний фругал, а не про линукс вообще (сервера, например)

Нет практических примеров. Главный враг юзера - сам юзер. Точнее - его безграмотность
Юзайте фругал и RO сохраненку. Бэкапте файло на облака. Даже если Вас хакнули - все восстановится. Да и кому Вы нужны... с линуксом (да еще и нестандартным) , без белого ип и постоянно включенного компа
« Последнее редактирование: 28 Май 2018, 19:00:27 от sfs »