Форум проекта PuppyRus Linux

Дистрибутивы проекта PuppyRus Linux => PuppyRus-A [PRA] => Тема начата: totiks2012 от 17 Октябрь 2017, 13:48:21

Название: Уменьшить права sudo в pra-roll. Запрос пароля
Отправлено: totiks2012 от 17 Октябрь 2017, 13:48:21
Заметил такую особеность при запуске какой либо команды через sudo,не происходит запроса пароля,подскажите пожалуйста что нужно сделать чтоб стал запрашивать пароль для sudo то есть пользователю live нужно принизить права,вот не знаю как .Насчет того что можно создать нового пользователя знаю , корректно ли будет это для frugall?
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 17 Октябрь 2017, 14:25:47
Надо настроить sudo (https://wiki.archlinux.org/index.php/Sudo_(%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9))
В некоторых скриптах может понадобиться заменить sudo на какой-то GUI аналог:
Gui к sudo - мой (http://forum.puppyrus.org/index.php?topic=20146.msg136182#msg136182)
ktsus - есть в репе пра64. У меня после ввода пароля в гуе просит его в консоле и в итоге  cannot open display:
На yad от автора yad (http://forum.puppyrus.org/index.php?topic=20146.msg138438#msg138438)
Т.е. если что-то перестало работать - запускайте в консоле - если спрашивает пасс в консоле - надо менять на GUI

Итог (http://forum.puppyrus.org/index.php?topic=20146.msg142837#msg142837)
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 17 Октябрь 2017, 15:17:46
Я так понял нужно в терминале ввести sudo passwd live и задать паспорт для пользователя live,но предчуствую что этого недостаточно ... просто подготавливаю ща свою теоретическую базу на вечер
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 17 Октябрь 2017, 15:22:16
Нет. passwd - это смена пароля. Вам надо читать вики и править /etc/sudoers

Главный вопрос - зачем Вам это вообще?
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 17 Октябрь 2017, 15:36:37
А ну ведь сыкотно работать открытым всем известным пользователем,так хоть прикрыт фиговым листочком пароля.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Pro от 17 Октябрь 2017, 15:37:56
А ну ведь сыкотно работать открытым всем известным пользователем,так хоть прикрыт фиговым листочком пароля.
Дефолтный пароль разрешаю сменить юному падавану.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 17 Октябрь 2017, 15:53:33
а какой он в pra-roll, и все таки Sfs прав вечером попробую ковырнуть из вики заныканые для моего сознания  команды ...
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 17 Октябрь 2017, 15:54:59
сыкотно работать открытым всем известным пользователем
Здесь (http://forum.puppyrus.org/index.php?topic=20032.0) обосновал, что бояться надо не всего и не всем
Если настроить sudo - запаритесь вводить пароль
Судя по глубине вопросов - скорее не настроите, а сломаете  ;)
Есть сомнения - юзайте фругал и бэкаптье конфиги и доки с фотками
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 17 Октябрь 2017, 15:56:53
какой он в pra-roll,
Ща повешусь. Не знаю уже где это еще написать. Тем более имея рута это не важно
Читайте вики
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 17 Октябрь 2017, 20:12:19
 ??? эммм, стоп Sfs не стоит вам вешатся, сообщество мне этого не простит вычислят по ip и заставят выучить все man от а до я, и не знаю что еще,  а я лучше почитаю обоснования...
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 17 Октябрь 2017, 20:25:56
Цитировать
В пра - по дефолту открытых портов нет
вооот а теперь я начал понимать и тему можно считать закрытой.

Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 18 Октябрь 2017, 09:12:51
Цитировать
при запуске какой либо команды через sudo,не происходит запроса пароля,подскажите пожалуйста что нужно сделать чтоб стал запрашивать пароль для sudo


1) меняешь пароль для live
2) правишь из под root  /etc/sudoers
должно быть так:
## Same thing without a password
%wheel ALL=(ALL) ALL
3)вырубаешь root командой sudo passwd -l root
4)обратно включить root выполняешь sudo  passwd -u root

(делал это все на pra 1608)


Вот как то так , но для домашнего использования оно не нужно.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 09:36:20
для домашнего использования оно не нужно.
Особенно - если юзер системы один
Если несколько - удобнее фругал с разными сохраненками или у каждого свой фул
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 18 Октябрь 2017, 11:53:47
То есть если подвести итог оно сделано так не для того чтоб не словить чего нить по сети ,а для того чтоб не сведующий юзер(дети и жена) не по сносил чего нить к чертям,мои домашние юзера  во первых нифига не смыслят,во вторых не знают слово sudo, а втретьих боятся моего долгого укоряющего взгляда(правда ржут и кривляют за спиной), все так и останется,я понял. А вот для поднятия моего уровня знаний большое спасибо Ekim, люто плюсую, и после создания очередного бэкапа чисто для усвоения таки испробую  эти команды а потом все верну назад потому что удобнее... спасибо вам всем ;)
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 18 Октябрь 2017, 12:21:11
Да на здоровье.
Но сразу прими на счет тот факт, что будут неудобства.
Из графической среды ты не сможешь перезапустить или выключить комп. Придется в терминале sudo reboot или соответственно sudo shutdown -h now
Ну там еще по мелочи наверно что-нибудь найдется  ;)
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 12:43:15
То есть если подвести итог оно сделано так не для того чтоб не словить чего нить по сети
На самом деле, теоретически, то что браузер запущен по сути от рутового юзера - не хорошо
По хорошему бы запускать от обычного
Т.е. в идеале с sudo надо бы разобраться
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 18 Октябрь 2017, 14:04:15
Цитировать
На самом деле, теоретически, то что браузер запущен по сути от рутового юзера - не хорошо
Не совсем от рутового. Скорее "Operator" состоящего в группе "wheel".
Так на многих полновесных системах настроено OpenSuse и Ubuntu. Правда я уже пару лет ими не пользуюсь.
Если уж из под простого юзера делать, то нужно третий профиль создавать урезанный в правах. Для мобильной системы неактуально. Я так думаю.
Кому надо запаролит sudo и все.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 14:17:48
Не совсем от рутового.
По факту - если у юзера sudo на все без пароля - он рут
Не буду сейчас этим заниматься - много других планов
Если бы кто-нибудь вписался - было бы хорошо
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 18 Октябрь 2017, 14:38:06
Попробую детальнее разобраться, но нужно знать изначальную концепцию которой нужно придерживаться.
Либо отдельную ветку создавать. Есть же "PRA-Game" , можно запилить и "PRA-Sequrity" ;D
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 14:50:01
нужно знать изначальную концепцию которой нужно придерживаться.
1. Найти gui для sudo
2. Создать /usr/local/bin/sudo
#!/bin/ash
if [ "`pidof X Xorg Xorg-bin`" ];then
  gui_для_sudo "$@" &
else
 sudo "$@" &
fi
3. включаем для live запрос пароля
4. Пробуем - насколько работает без правки своих скриптов
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 18 Октябрь 2017, 15:40:49
Завтра попробую, сегодня уже рабочий день у меня закончен )
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 16:05:23
1. Найти gui для sudo
Что-то легких не видать
Можно:
SUDO_ASKPASS=/скрипт_на_yad wt -o "sudo -A "$@""скрипт_на_yad - сделать из chpass.sh
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 17:34:52
а этот https://sourceforge.net/projects/xroot-gui/ не подойдет?
С sudo вроде работает, но на паскале - оформление другое и большой
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: totiks2012 от 18 Октябрь 2017, 17:49:11
главно ща не получить по шапке но рискну, просто помочь хочется , программа gparted и synaptik в ubuntu запускают посредством вот этого https://linux.die.net/man/1/pkexec может оно сгодится ? но по звисимостям тянет , по сути составляет часть policykit , вечером гляну что за chpass.sh... стало любопытно
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 18 Октябрь 2017, 18:07:01
2. Создать /usr/local/bin/sudo
Похоже так не прокатит
Шквал окон запроса пароля
Придется править в скриптах sudo на гуй_для sudo
В остальном работает

https://linux.die.net/man/1/pkexec
Аналог sudo через polkit
Тоже консольный и тоже есть ключ -A
Т.е. не поможет
что за chpass.sh... стало любопытно
гуй на yad
Надо ввести в окне пасс звездочками и получить его в консоль
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 19 Октябрь 2017, 11:35:27
В общем и целом надо править sudoers
Сейчас закомментированн " ♯ Cmnd_Alias PROCESSES = "  с типичным набором того, что можно выполнять. То есть сейчас можно все из под sudo.
Если если открыть то можно будет только то что там прописано
 Cmnd_Alias   PROCESSES = /usr/bin/nice, /bin/kill, /usr/bin/renice, \
              /usr/bin/pkill, /usr/bin/top

Можно например прописать алиас только для работы с сетью через sudo
 Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

Соответственно на выполнение других задач будет запрет.

Короче нужен круг разрешенных задач для Live, остальное из под SU

Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 19 Октябрь 2017, 12:27:48
Короче нужен круг разрешенных задач для Live, остальное из под SU
Это один путь
Другой - разрешить все, но по паролю
В идеале реализовать оба

1. Давайте наоборот подойдем - что и для чего запретить
Первое что приходит в голову - запись в папки доступные root ... Ну и как обновлять , например флэш...
Короче вижу тут много проблем
Предлагаю начать с варианта с  паролем. Скрипты скоро выложу
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 19 Октябрь 2017, 13:06:11
Есть еще вариант, но не очень эффективный, впрочем мне кажется что для Pra вполне сносный. Разрешить ВСЕ кроме наиболее важного. В конце концов это же не сервер а домашний ПК  ;D  Я так в puppy tahr вообще под рут работаю и ничего ....

Цитировать
Теперь давайте пробежимся по неприятным ситуациям в которые попадают даже опытные системные администраторы. Иногда вам требуется запретить пользователям выполнять определенный набор команд, разрешив при этом выполнение всех остальных. Вы можете попробовать сделать это при помощи оператора отрицания !. Имейте в виду, что это абсолютно неэффективно. Поскольку такие попытки делаются довольно часто, мы обсудим, как это работает и в чем тут подвох.

Во-первых определим командный псевдоним, в котором будут описаны запрещенные команды. Часто запрещаются оболочки командных интерпретаторов (поскольку если вы можете выполнить оболочку от имени определенного пользователя, то вы можете делать все под именем этого пользователя) и команда su (1). А теперь давайте запретим вашему пользователю использовать команды описанные этим псевдонимом при помощи модификатора !:

Cmnd_Alias    SHELLS = /bin/sh,/bin/csh,/usr/local/bin/tcsh
Cmnd_Alias    SU = /usr/bin/su
mwlucas       ALL = ALL,!SHELLS,!SU

Выглядит замечательно, не правда ли? Поглядим, как это работает:

$ sudo sh
Password:
Sorry, user mwlucas is not allowed
to execute '/bin/sh' as root on openbsd.

Вспомните, sudo использует полные пути для описания команд. Вы позволили пользователю запускать любую требующуюся ему команду, кроме нескольких запрещенных, описанных полными именами. Все что требуется пользователю для запуска запрещенных команд, это сменить путь к их файлам. Простейшим средством для реализации этой затеи будет простое копирование файлов в необходимое место.

$ id
uid=1000(mwlucas) gid=1000(mwlucas) groups=1000(mwlucas), 0(wheel)
$ cp /bin/sh .
$ sudo ./sh
$ id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys),
                 4(tty), 5(operator), 20(staff), 31(guest)

Привет, root!

Надеюсь вы теперь поняли, что такой способ ограничений может быть чрезвычайно просто обойден, любым человеком, мало-мальски разбирающимся в работе sudo. Эта проблема хорошо документирована в разнообразной литературе, а так же поставляемом с sudo руководстве. Но, несмотря на это, люди настойчиво наступают на одни и те же грабли, используя ограничения такого рода для защиты рабочих машин.

Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 19 Октябрь 2017, 13:17:44
разрешить все, но по паролю
Думаю для начала надо сделать это -пожить с ним - придет понимание
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 19 Октябрь 2017, 17:23:12
http://mirror.yandex.ru/puppyrus/roll/170808/089-zzz-pra-roll-upd-170808-sf02.pfs
Изменил в sudoers ALL на live. Запрос пароля не включал
Добавил sudoq - заготовку  Gui к sudo
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 02 Ноябрь 2017, 14:05:20
Сегодня пощупал  свежий Austrumi64_3.7.1, так вот там реализована такая функция.
То есть запрос пароля для выполнения системных задач.
Субъективно - немного напрягает. Объективно - неплохой вариант "защиты системы от дураков/новичков/детей".
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: DdShurick от 02 Ноябрь 2017, 18:36:40
 Отредактируйте /etc/sudoers по их образцу.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: Ekim от 03 Ноябрь 2017, 15:59:30
этого недостаточно, над еще прикручивать ktsuss(исправил), чтобы окно авторизации всплывало.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 07 Ноябрь 2017, 09:05:04
над еще прикручивать ktsuss(исправил)
Добавил sudoq - заготовку  Gui к sudo
Все есть. Надо только настраивать и тестировать
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 09 Декабрь 2017, 09:42:25
Нарыл еще вариант для su
= Graphical frontend for su(1) = (https://sourceforge.net/p/yad-dialog/code/HEAD/tree/wiki/Examples.wiki) - в конце страницы
Нужны утилиты xorg-xhost и empty
Если ввести правильный пасс - работает. Неправильный - не выдает ошибки. Код завершения в любом случае выдает 1 - т.е. свое сообщение про неправильный пасс не прикрутить
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 30 Декабрь 2017, 16:55:56
https://forum.manjaro.org/t/gksu-replacement-in-gtk3/29174/8
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 16 Апрель 2018, 18:03:09
Доработал. В аттаче
Соответственно, если пароль live не менялся (и сохранен в сохраненке)- теряется смысл
Таким образом если Вас (юзера live) похакали - выполнить что-либо через sudo не зная пароля live не получится
Скрипт выводит в гуй - какой скрипт запросил sudo
Можно уменьшить запросы пароля, переместив все с  sudo из ~/config/autostart в /etc/rc.local или т.п.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 16 Апрель 2018, 18:09:00
Цитировать
Причем, чтобы срок действия пароля можно было менять
- из комментария к голосованию (http://forum.puppyrus.org/index.php?topic=20622.15;viewresults)
Ну так меняйте пароль хоть каждую минуту. Это по любому придется делать руками
Или что Вы хотите?
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: krasnyh от 16 Апрель 2018, 18:12:18
 Чтобы на каждое sudo не вводить пароль.
 Пусть запоминается на некоторый срок.
 Это даже есть в каком то линуксе, не я придумал эту фишку.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 17 Апрель 2018, 09:27:14
Чтобы на каждое sudo не вводить пароль.
Это и так по дефолту в sudo. В одной сессии пароль вводится 1 раз.
Возможно это плохо, если браузер в этой же сессии. Глубоко не разбирался
Посмотрите gksu
Чем он лучше моего sudoq на yad?
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: DdShurick от 17 Апрель 2018, 09:38:55
Чем он лучше моего sudoq на yad?
Не пользовался, не знаю, но думаю ничем, так-же как и мой loginroot на gtkdialog.
Gksu <- gksudo в альтлинуксе.
Название: Re: Как уменьшить права sudo в pra-roll
Отправлено: sfs от 17 Апрель 2018, 11:17:28
089-zzz-sudoq-180112-sf02.pfs (http://forum.puppyrus.org/index.php?topic=20146.msg142837#msg142837) - добавил вывод сообшения об ошибке
Название: Re: run-as-nobody - запуск приложения от пользователя без прав
Отправлено: knn от 20 Апрель 2018, 10:59:08
sudoq - универсальнее - подключайтесь
  Про "универсальность" и вцелом "по теме" ничего определенного сказать пока не могу(--? и может на сколько-то продлить голосование?).

  Про Гуи-sudoq:
  Пробовал - не сразу сообразил, что нужен live-пароль. => может добавить(в гуй) -
---
Запуск 'any' от root:
Пароль !! live !! (3 попытки)

---
---------------
  Гуй закрывался при отмене(отказе от ввода) только с 3-го раза.
-----------------------------
Что-то вроде шутки:
  Если "Запуск-от-Рута" + "nobody"(а где live-user я не понимаю(пока не могу вцелом представить) => его нет=>
=>  ...был "live-дистрибутив"  --> страшно подумать, какой " :-X...-дистрибутив" получится
Название: Re: Уменьшить права sudo в pra-roll. Запрос пароля
Отправлено: sfs от 20 Апрель 2018, 11:12:37
Пароль !! live !! (3 попытки)
Т.к. гуй встроен в sudo - вероятно настраивается в конфиге sudo
Гуй закрывался при отмене(отказе от ввода) только с 3-го раза.
Я не уверен, что во всех скриптах есть обработка ошибки после sudo. А sudo встречается в середине многих скриптов
Т.е. если не ввести пасс (ввести неправильно) - могут вылезти косяки
Активности в теме и скачке скрипта не наблюдается. Соответственно желания дорабатывать то, что никто юзать не будет нет
Название: Re: Уменьшить права sudo в pra-roll. Запрос пароля
Отправлено: knn от 23 Апрель 2018, 20:38:47
"чего-то не то" -
  Про Гуи-sudoq:
  Пробовал - не сразу сообразил, что нужен live-пароль. => может добавить(в гуй) -
---
Запуск 'any' от root:
Пароль !! live !! (3 попытки)
---
- как "говорят сейчас в и-нете" -
- Карл !!! Спрашивать у Лайва пароль Лайва !!!...
 ;D - короче - заметил очепятку.

p.s. ...sudoq..02.pfs
p.p.s.
не сразу сообразил
- только-что случайно дошло  :D
p.p.p.s -хотя, ночь, может "туплю" и чего-то недопонимаю

!!! Вот это осенило !!!
Всё понял -
подробнее для таких как я здесь: http://www.cyberforum.ru/ubuntu-linux/thread1476052.html

  :-X удалять не буду - может кому пригодится.