Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (31.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
4 (25%)
Сделать запрос пароля для sudo
6 (37.5%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.3%)

Проголосовало пользователей: 16

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 33388 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
В ПРА у пользователя live (от имени которого запускаются Хоrg и все остальное) права sudo на все без пароля. Т.е. по сути это тот же root (как в классическом пупи)
Это упрощает многие вещи, но небезопасно
Можно поставить в sudo запрос пароля, но вводить придется очень часто, т.к. при фругале все операции с модулями надо от root

Простое решение - запускать "опасные приложения" типа браузеров и т.п. от бесправного юзера
Никаких паролей и безопасно

В аттаче скрипт, запускать который надо от юзера live :
Код
run-as-nobody palemoon
Проверил так же ffox chromium c minirc и systemd
Он создаст  /home/live/nobody, в котором будет профиль palemoon и пр. запускаемых так приложений
Если у вас уже есть настроенный профиль - переместить в /home/live/nobody и
Код
sudo chown -R nobody /home/live/nobody
Соответственно сохранить что-то из запущенных от nobody приложений можно будет только в  /home/live/nobody
Юзер live (точнее все) имеют в /home/live/nobody права на чтение
Теоретически можно намутить и запись

Если делать такой запуск по умолчанию - надо будет переделать модули профилей браузеров 083

слетели закладки браузера

логично было бы запускать Х от рута
« Последнее редактирование: 09 Июнь 2018, 11:44:44 от sfs »

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
 Зачем это?? Все пользовательские программы и так запускаются от пользователя, а к системным пользователя подпускать не надо. Всегда так было. В классическом Puppy да, надо, в Richy и PRA - нет.
« Последнее редактирование: 12 Апрель 2018, 13:52:23 от DdShurick »
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Зачем это??
В ПРА у пользователя live (от имени которого запускаются Хоrg и все остальное) права sudo на все без пароля. Т.е. по сути это тот же root
Настроить sudo будет сложнее

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Нет там ничего сложного.
Как минимум надо гуй с вопросом
А можно и вообще без sudo.
Как?

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Как минимум надо гуй с вопросом
Вот этого не надо, надо просто почитать документацию и вникнуть.
Как?
Я реализовал средствами busybox.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
https://github.com/unu/unumix/blob/master/package/ncore/etc/busybox.conf
Это некий аналог sudo : перечисление что можно всем от рута
В разрешения придется половину бинарников прописать (пол года ловить придется что недописали) . По итогу выйдет тот же рут. Урезанный чуть чуть
Нормальным решением был бы запрос пароля 1 раз. Это гуй мутить и пр. сложности непонятные новичку

run-as-nobody  - просто и наверняка.
Тогда , возможно логично было бы запускать Х от рута и выкинуть sudo...

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
В разрешения придется половину бинарников прописать (пол года ловить придется что недописали) .
У меня всего 10 прописано.
Нормальным решением был бы запрос пароля 1 раз.
В Richy-219 у меня для этих целей loginroot на gtkdialog. Пример использования - "loginroot gparted".
выкинуть sudo...
Я уже, а вы ещё не?
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
У меня всего 10 прописано.
В конфиге по ссылке 6. Где еще 4?
    Как минимум надо гуй с вопросом
Вот этого не надо,
В Richy-219 у меня для этих целей loginroot на gtkdialog.
Вы как-то определитесь

acl вам в помощь
можно подробнее

логично было бы запускать Х от рута и выкинуть sudo...
Подумал - реализовать просто :
1. Добавить live в админскую группу
2. В /usr/local/bin заглушку :
Код
#!/bin/ash
[ -e /usr/bin/sudo ] && exec /usr/bin/sudo "$@" || exec  "$@"
Надо попробовать....
По сути все трюки с sudo и busybox актуальны когда root и юзер - 2 разных человека
Дома такое вряд ли. Даже если и есть - проще сделать разные сохраненки
Когда root и юзер - 1 чел - получается сам себе не доверяешь - юзай тогда фругал+save.pfs. Ребут вылечит все юзерские косяки
« Последнее редактирование: 16 Апрель 2018, 10:12:24 от sfs »

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
По сути все трюки с sudo и busybox актуальны когда root и юзер - 2 разных человека
Дома такое вряд ли. Даже если и есть - проще сделать разные сохраненки
Когда root и юзер - 1 чел - получается сам себе не доверяешь
А вот тут и возникает вопрос зачем тогда мы ушли от работы из под рута, как было изначально в puppy(rus), зачем нужен пользователь live, если ищем путь ухода от sudo и хотим его сделать администратором, т.е. рутом?
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
зачем тогда мы ушли от работы из под рута
С запуском Х приложений от другого юзера разобрались только сейчас (и то тестировали мало)
Без этого как запустить chromium vlc , которые от root не запускаются?

Ну и в начале ПРа не до этого было. Как получилось (с sudo) так и юзали. Проблем хватало без этого
По большому счету - в неубиваемом фругале можно себе позволить больше. На практике - ни у кого проблем не возникало. Никого через браузер не похакали ни у нас ни в пупи...

1. Добавить live в админскую группу
Не так все просто. Например, на запись в /bin права только у юзера (не группы) root
Сделать live uid 0  - кривовато получается
Похоже автологин и хомяк надо на root переделывать

Как видишь и сейчас вопросы есть...
« Последнее редактирование: 16 Апрель 2018, 11:26:22 от sfs »

Оффлайн RoDoN

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 6282
  • Репутация: +141/-0
Без этого как запустить chromium vlc , которые от root не запускаются?
А как же они в puppy(rus) запускались и работали? Да и сейчас в паппи работают, просто скрипт запуска пишется с указанием каталога, т.е. нет такой проблемы, причем давно.

А в PRA накручено с sudo и правами, причем не так как в больших линуксах и пользы от заморочек с live и sudo реальных не вижу.
« Последнее редактирование: 16 Апрель 2018, 12:40:56 от RoDoN »
Lenovo G500 (i3-3110M, 8 Гб, Intel + Radeon HD 8570)
PRA 16.12 JWM, Runtu 22.04 x64 XFCE

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
А как же они в puppy(rus) запускались и работали?
Не разбирался. Уж лучше один подход на все (run-as-nobody), чем с каждой прогой разбираться
в PRA накручено с sudo
Что накручено-то? Просто все разрешено
и правами
Какими?
пользы от заморочек с live и sudo реальных не вижу.
Польза только одна - теоретическая возможность настроить правильно. Актуально такое только в реально многоюзерской системе. Никто не хвастался что настроил sudo в ПРа

run-as-nobody - реальная безопасность
sudo и busybox - полумеры и неудобство
« Последнее редактирование: 16 Апрель 2018, 13:17:14 от sfs »

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
run-as-nobody - реальная безопасность
Абсолютно ненужная ненужность этот ваш новый забугорный идол, да и с бородой он.
Код
# generic wrapper to run as spot (when currently running as root)
# (C) James Budiono 2012
Запасного пользователя всегда можно создать штатными средствами, только зачем?
Код
# id -u
0
# su live -c seamonkey
Пример запуска seamonkey из-под рута.
sudo и busybox - полумеры и неудобство
Это не про вас?
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Запасного пользователя всегда можно создать штатными средствами
Он и так есть : nobody
только зачем?
Чтобы запускать из под него потенциально небезопасные приложения
Пример запуска seamonkey из-под рута.
Если Х не от live - работать не будет - надо установить переменные
Абсолютно ненужная ненужность
Ок. Давайте с начала
Как сделать нужную нужность?

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Как сделать нужную нужность?
Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64