Сайт | Скачать | Видео | Wiki

Автор Тема: Уменьшить права sudo в pra-roll. Запрос пароля  (Прочитано 16298 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #15 : 18 Октябрь 2017, 12:43:15 »
То есть если подвести итог оно сделано так не для того чтоб не словить чего нить по сети
На самом деле, теоретически, то что браузер запущен по сути от рутового юзера - не хорошо
По хорошему бы запускать от обычного
Т.е. в идеале с sudo надо бы разобраться

Оффлайн Ekim

  • Ветеран
  • *****
  • Сообщений: 610
  • Репутация: +7/-0
Re: Как уменьшить права sudo в pra-roll
« Ответ #16 : 18 Октябрь 2017, 14:04:15 »
Цитата
На самом деле, теоретически, то что браузер запущен по сути от рутового юзера - не хорошо
Не совсем от рутового. Скорее "Operator" состоящего в группе "wheel".
Так на многих полновесных системах настроено OpenSuse и Ubuntu. Правда я уже пару лет ими не пользуюсь.
Если уж из под простого юзера делать, то нужно третий профиль создавать урезанный в правах. Для мобильной системы неактуально. Я так думаю.
Кому надо запаролит sudo и все.
« Последнее редактирование: 18 Октябрь 2017, 14:06:44 от Ekim »
# A78M-E35 Athlon-840 Nvidia-GT-710 DDR3-8GB Win7 64(bit)/PRA03-1612Game
# H96MaxUltraHD RK3318 2/16 aarch64 kernel 4.4.159

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #17 : 18 Октябрь 2017, 14:17:48 »
Не совсем от рутового.
По факту - если у юзера sudo на все без пароля - он рут
Не буду сейчас этим заниматься - много других планов
Если бы кто-нибудь вписался - было бы хорошо

Оффлайн Ekim

  • Ветеран
  • *****
  • Сообщений: 610
  • Репутация: +7/-0
Re: Как уменьшить права sudo в pra-roll
« Ответ #18 : 18 Октябрь 2017, 14:38:06 »
Попробую детальнее разобраться, но нужно знать изначальную концепцию которой нужно придерживаться.
Либо отдельную ветку создавать. Есть же "PRA-Game" , можно запилить и "PRA-Sequrity" ;D
# A78M-E35 Athlon-840 Nvidia-GT-710 DDR3-8GB Win7 64(bit)/PRA03-1612Game
# H96MaxUltraHD RK3318 2/16 aarch64 kernel 4.4.159

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #19 : 18 Октябрь 2017, 14:50:01 »
нужно знать изначальную концепцию которой нужно придерживаться.
1. Найти gui для sudo
2. Создать /usr/local/bin/sudo
Код
#!/bin/ash
if [ "`pidof X Xorg Xorg-bin`" ];then
  gui_для_sudo "$@" &
else
 sudo "$@" &
fi
3. включаем для live запрос пароля
4. Пробуем - насколько работает без правки своих скриптов

Оффлайн Ekim

  • Ветеран
  • *****
  • Сообщений: 610
  • Репутация: +7/-0
Re: Как уменьшить права sudo в pra-roll
« Ответ #20 : 18 Октябрь 2017, 15:40:49 »
Завтра попробую, сегодня уже рабочий день у меня закончен )
# A78M-E35 Athlon-840 Nvidia-GT-710 DDR3-8GB Win7 64(bit)/PRA03-1612Game
# H96MaxUltraHD RK3318 2/16 aarch64 kernel 4.4.159

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #21 : 18 Октябрь 2017, 16:05:23 »
1. Найти gui для sudo
Что-то легких не видать
Можно:
Код
SUDO_ASKPASS=/скрипт_на_yad wt -o "sudo -A "$@""
скрипт_на_yad - сделать из chpass.sh
« Последнее редактирование: 18 Октябрь 2017, 18:00:21 от sfs »

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #22 : 18 Октябрь 2017, 17:34:52 »
а этот https://sourceforge.net/projects/xroot-gui/ не подойдет?
С sudo вроде работает, но на паскале - оформление другое и большой

Оффлайн totiks2012

  • Ветеран
  • *****
  • Сообщений: 857
  • Репутация: +23/-0
  • Автор темы
Re: Как уменьшить права sudo в pra-roll
« Ответ #23 : 18 Октябрь 2017, 17:49:11 »
главно ща не получить по шапке но рискну, просто помочь хочется , программа gparted и synaptik в ubuntu запускают посредством вот этого https://linux.die.net/man/1/pkexec может оно сгодится ? но по звисимостям тянет , по сути составляет часть policykit , вечером гляну что за chpass.sh... стало любопытно
« Последнее редактирование: 18 Октябрь 2017, 17:58:07 от totiks2012 »

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #24 : 18 Октябрь 2017, 18:07:01 »
2. Создать /usr/local/bin/sudo
Похоже так не прокатит
Шквал окон запроса пароля
Придется править в скриптах sudo на гуй_для sudo
В остальном работает

https://linux.die.net/man/1/pkexec
Аналог sudo через polkit
Тоже консольный и тоже есть ключ -A
Т.е. не поможет
что за chpass.sh... стало любопытно
гуй на yad
Надо ввести в окне пасс звездочками и получить его в консоль

Оффлайн Ekim

  • Ветеран
  • *****
  • Сообщений: 610
  • Репутация: +7/-0
Re: Как уменьшить права sudo в pra-roll
« Ответ #25 : 19 Октябрь 2017, 11:35:27 »
В общем и целом надо править sudoers
Сейчас закомментированн " ♯ Cmnd_Alias PROCESSES = "  с типичным набором того, что можно выполнять. То есть сейчас можно все из под sudo.
Если если открыть то можно будет только то что там прописано
 Cmnd_Alias   PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
              /usr/bin/pkill, /usr/bin/top

Можно например прописать алиас только для работы с сетью через sudo
 Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

Соответственно на выполнение других задач будет запрет.

Короче нужен круг разрешенных задач для Live, остальное из под SU

« Последнее редактирование: 19 Октябрь 2017, 11:39:08 от Ekim »
# A78M-E35 Athlon-840 Nvidia-GT-710 DDR3-8GB Win7 64(bit)/PRA03-1612Game
# H96MaxUltraHD RK3318 2/16 aarch64 kernel 4.4.159

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #26 : 19 Октябрь 2017, 12:27:48 »
Короче нужен круг разрешенных задач для Live, остальное из под SU
Это один путь
Другой - разрешить все, но по паролю
В идеале реализовать оба

1. Давайте наоборот подойдем - что и для чего запретить
Первое что приходит в голову - запись в папки доступные root ... Ну и как обновлять , например флэш...
Короче вижу тут много проблем
Предлагаю начать с варианта с  паролем. Скрипты скоро выложу

Оффлайн Ekim

  • Ветеран
  • *****
  • Сообщений: 610
  • Репутация: +7/-0
Re: Как уменьшить права sudo в pra-roll
« Ответ #27 : 19 Октябрь 2017, 13:06:11 »
Есть еще вариант, но не очень эффективный, впрочем мне кажется что для Pra вполне сносный. Разрешить ВСЕ кроме наиболее важного. В конце концов это же не сервер а домашний ПК  ;D  Я так в puppy tahr вообще под рут работаю и ничего ....

Цитата
Теперь давайте пробежимся по неприятным ситуациям в которые попадают даже опытные системные администраторы. Иногда вам требуется запретить пользователям выполнять определенный набор команд, разрешив при этом выполнение всех остальных. Вы можете попробовать сделать это при помощи оператора отрицания !. Имейте в виду, что это абсолютно неэффективно. Поскольку такие попытки делаются довольно часто, мы обсудим, как это работает и в чем тут подвох.

Во-первых определим командный псевдоним, в котором будут описаны запрещенные команды. Часто запрещаются оболочки командных интерпретаторов (поскольку если вы можете выполнить оболочку от имени определенного пользователя, то вы можете делать все под именем этого пользователя) и команда su (1). А теперь давайте запретим вашему пользователю использовать команды описанные этим псевдонимом при помощи модификатора !:

Cmnd_Alias    SHELLS = /bin/sh,/bin/csh,/usr/local/bin/tcsh
Cmnd_Alias    SU = /usr/bin/su
mwlucas       ALL = ALL,!SHELLS,!SU

Выглядит замечательно, не правда ли? Поглядим, как это работает:

$ sudo sh
Password:
Sorry, user mwlucas is not allowed
to execute '/bin/sh' as root on openbsd.

Вспомните, sudo использует полные пути для описания команд. Вы позволили пользователю запускать любую требующуюся ему команду, кроме нескольких запрещенных, описанных полными именами. Все что требуется пользователю для запуска запрещенных команд, это сменить путь к их файлам. Простейшим средством для реализации этой затеи будет простое копирование файлов в необходимое место.

$ id
uid=1000(mwlucas) gid=1000(mwlucas) groups=1000(mwlucas), 0(wheel)
$ cp /bin/sh .
$ sudo ./sh
$ id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys),
                 4(tty), 5(operator), 20(staff), 31(guest)

Привет, root!

Надеюсь вы теперь поняли, что такой способ ограничений может быть чрезвычайно просто обойден, любым человеком, мало-мальски разбирающимся в работе sudo. Эта проблема хорошо документирована в разнообразной литературе, а так же поставляемом с sudo руководстве. Но, несмотря на это, люди настойчиво наступают на одни и те же грабли, используя ограничения такого рода для защиты рабочих машин.

« Последнее редактирование: 19 Октябрь 2017, 13:12:36 от Ekim »
# A78M-E35 Athlon-840 Nvidia-GT-710 DDR3-8GB Win7 64(bit)/PRA03-1612Game
# H96MaxUltraHD RK3318 2/16 aarch64 kernel 4.4.159

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #28 : 19 Октябрь 2017, 13:17:44 »
разрешить все, но по паролю
Думаю для начала надо сделать это -пожить с ним - придет понимание

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
    • PuppyRus-A
Re: Как уменьшить права sudo в pra-roll
« Ответ #29 : 19 Октябрь 2017, 17:23:12 »
http://mirror.yandex.ru/puppyrus/roll/170808/089-zzz-pra-roll-upd-170808-sf02.pfs
Изменил в sudoers ALL на live. Запрос пароля не включал
Добавил sudoq - заготовку  Gui к sudo