run-as-nobody palemoon
sudo chown -R nobody /home/live/nobody
Зачем это??
В ПРА у пользователя live (от имени которого запускаются Хоrg и все остальное) права sudo на все без пароля. Т.е. по сути это тот же rootНастроить sudo будет сложнее
Нет там ничего сложного.Как минимум надо гуй с вопросом
А можно и вообще без sudo.Как?
Как минимум надо гуй с вопросомВот этого не надо, надо просто почитать документацию и вникнуть.
Как?Я реализовал средствами busybox.
https://github.com/unu/unumix/blob/master/package/ncore/etc/busybox.confЭто некий аналог sudo : перечисление что можно всем от рута
В разрешения придется половину бинарников прописать (пол года ловить придется что недописали) .У меня всего 10 прописано.
Нормальным решением был бы запрос пароля 1 раз.В Richy-219 у меня для этих целей loginroot на gtkdialog. Пример использования - "loginroot gparted".
выкинуть sudo...Я уже, а вы ещё не?
У меня всего 10 прописано.В конфиге по ссылке 6. Где еще 4?
Как минимум надо гуй с вопросом
Вот этого не надо,
В Richy-219 у меня для этих целей loginroot на gtkdialog.Вы как-то определитесь
acl вам в помощьможно подробнее
логично было бы запускать Х от рута и выкинуть sudo...Подумал - реализовать просто :
#!/bin/ash
[ -e /usr/bin/sudo ] && exec /usr/bin/sudo "$@" || exec "$@"
По сути все трюки с sudo и busybox актуальны когда root и юзер - 2 разных человекаА вот тут и возникает вопрос зачем тогда мы ушли от работы из под рута, как было изначально в puppy(rus), зачем нужен пользователь live, если ищем путь ухода от sudo и хотим его сделать администратором, т.е. рутом?
Дома такое вряд ли. Даже если и есть - проще сделать разные сохраненки
Когда root и юзер - 1 чел - получается сам себе не доверяешь
зачем тогда мы ушли от работы из под рутаС запуском Х приложений от другого юзера разобрались только сейчас (и то тестировали мало)
1. Добавить live в админскую группуНе так все просто. Например, на запись в /bin права только у юзера (не группы) root
Без этого как запустить chromium vlc , которые от root не запускаются?А как же они в puppy(rus) запускались и работали? Да и сейчас в паппи работают, просто скрипт запуска пишется с указанием каталога, т.е. нет такой проблемы, причем давно.
А как же они в puppy(rus) запускались и работали?Не разбирался. Уж лучше один подход на все (run-as-nobody), чем с каждой прогой разбираться
в PRA накручено с sudoЧто накручено-то? Просто все разрешено
и правамиКакими?
пользы от заморочек с live и sudo реальных не вижу.Польза только одна - теоретическая возможность настроить правильно. Актуально такое только в реально многоюзерской системе. Никто не хвастался что настроил sudo в ПРа
run-as-nobody - реальная безопасностьАбсолютно ненужная ненужность этот ваш новый забугорный идол, да и с бородой он.
# generic wrapper to run as spot (when currently running as root)
# (C) James Budiono 2012
# id -u
0
# su live -c seamonkey
sudo и busybox - полумеры и неудобствоЭто (http://narodstory.net/basni_krilov.php?id=34) не про вас?
Запасного пользователя всегда можно создать штатными средствамиОн и так есть : nobody
только зачем?Чтобы запускать из под него потенциально небезопасные приложения
Пример запуска seamonkey из-под рута.Если Х не от live - работать не будет - надо установить переменные
Абсолютно ненужная ненужностьОк. Давайте с начала
Как сделать нужную нужность?Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.
логично было бы запускать Х от рута иВ аттаче. Проверено с systemd и minirc PRA-rollвыкинуть sudo...
run-as-nobody программа
sudo ln -s /usr/local/bin/run-as-nobody-ln /usr/local/bin/программа
sudo chown -R nobody /home/live/nobody
Т.е. теперь каталог /root становится симлинком на /home/liveВременно - да
Чтобы не переделывать все ДЕ - root сделан симлинком. Т.к. профиль live в каждой DE свой
а может не надо городить никаких костылей и велосипедов, а сделать, как и большинство Live-систем с одним пользователем root ?Уже так и сделано. live заблокирован
За что мы вообще боремся?Удобство и безопасность
В PuppyRus один только root и интересно сколько пользователей пострадало от такой "небезопасной" системы?
По большому счету - в неубиваемом фругале можно себе позволить больше. На практике - ни у кого проблем не возникало. Никого через браузер не похакали ни у нас ни в пупи...
Мож потому и не пострадало, что прм упоминании работы от root все сразу разбегались. На том же ЛОР, например.Теперь есть все варианты
acl вам в помощь
можно подробнее
1. Положить 089-zzz-root*.pfs в /baseRun-as-spot и отказаться от sudo?
В свое время у меня была сборка Windows XP.
Как и во всякой сборке там пользователь по умолчанию с правами администратора (а потом жалуются, что их вирусы одолели).
Пользователь был удален и создан новый с пониженными правами (вроде с гостевыми).
Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.
Так же, через инструменты Windows, создан белый список расширений файлов,
которым разрешено запускаться в системе и белый список разрешенных для запуска программ.
Роутер с включенным фаерволом. (На нем прописан яндекс.DNS /Безопасный/)
В системе фаервол был отключен и удален антивирус.
Иногда я прогонял проверку системы через dr.Web и AVZ.
За все время использования XP у меня не было проблем с вирусами.
Хотя в интернете можно увидеть постоянные Хелп! Вирусы!
P.s. Правда еще, с помощью ACRONIS, был создан образ восстановления XP, после ее установки и настройки (backup.tib ). :)
Access Control List - списки контроля доступаЧто это я знаю - мне не понятно чем поможет в этой теме
идея с run-as-spot не добавляет безопасностиЧто может быть безопаснее запуска от пользователя без прав??? Только запуск в chroot. Можно и такое намутить с повторным монтированием сквоша. Что-то подобное есть в свежих дистрах Бари. Сложно будет для понимания
Может сделать как в magos, sudo через графическую утилиту с паролем.Это будет лучше чем sudo без пароля и правильнее, но сделать сложнее
За все время использования XP у меня не было проблем с вирусами.А за время использования ПРа даже без ухищрений - были? ;)
Это концептуальный вопрос и решаться должен был давно уже.да
Если будет принят курс на изменение, то это уже будет новый вариант системыНадо тестировать , определяться и при переходе на следующий срез арчрепы внедрять с минимум костылей и максимумом удобства и безопасности
как мы пользуемся sudo в PRA (без пароля) это насмешка над здравым смыслом.Да. И если не изменен в сохраненке пароль root - дальше бесполезно вообще что-то делать по безопасности :) У кого изменен... ? ;)
:) У кого изменен... ? ;)И что тут смешного? Напр., у меня.
И что тут смешного? Напр., у меня.То что только у тебя. Заморачиваеися сложными вещами, а простые не сделаны
Sudo есть, гуй для его настройки включен по просьбам трудящихся,Самодельный? на чем написан? Пакетом есть?
Для запуска с правами рута испрльзуем beesu, если надо с граф.интерфейсом.http://dl.fedoraproject.org/pub/fedora/linux/releases/26/Everything/x86_64/os/Packages/b/beesu-2.7-29.fc26.x86_64.rpm
По файрфоксу от бесправного юзера интересно, но не понятно как к примеру он будет работать с загрузками, ведь если есть права на запись в хомяк пользователя какой вообще смысл.Стандартно. Загружает в свой хомяк (расположить можно где угодно). На запись в чужие хомяки прав не имеет. Да практически никаких прав не имеет
какой вообще смысл.Никакого. Вот здесь (https://habrahabr.ru/post/44783/) объясняется смысл sudo. Вывод: в однопользовательской системе - излишество. Достаточно su (gksu) и правильных /etc/passwd и /etc/group.
На запись в чужие хомяки прав не имеет.А они в однопользовательской системе есть? Думай, голова.
А они в однопользовательской системе есть?Во всех линуксах на все хомяки запись только у хозяина
По итогу планирую написать в вики про 3 модели безопасности из шапки и на этом закончитьнаписал (http://wiki.puppyrus.org/puppyrus/pra-roll?&#%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C)
Если делать такой запуск по умолчанию - надо будет переделать модули профилей браузеров 083Может в относительно отдаленной перспективе "переделать модули профилей браузеров 083" - "для запуска на выбор(из меню)" --пр.: "меню" -> "и-нет" -->> "браузер--live" и "браузер--nobody".
Да. И если не изменен в сохраненке пароль root - дальше бесполезно вообще что-то делать по безопасности :) У кого изменен... ? ;)изменены :)
"переделать модули профилей браузеров 083" - "для запуска на выбор(из меню)" --пр.: "меню" -> "и-нет" -->> "браузер--live" и "браузер--nobody".Это можно сделать доп. ярлыком... Только юзать то от live то от nobody смысла нет. Надо 1 раз определиться
приложения(не браузеры) - потом "подтянуть?Пока не знаю что бы еще , кроме браузеров, запускать от nobody ... transmission?
дать ссылки на "как менять пароли".Дал. И в меню есть гуй
Только юзать то от live то от nobody смысла нет. Надо 1 раз определитьсяПодразумевались моменты, когда браузеры запускаются из других приложений.
Цитата: knn от Вчера в 19:39:56
приложения(не браузеры) - потом "подтянуть?
Пока не знаю что бы еще , кроме браузеров, запускать от nobody ...
Плохо себе представляю технологию "таких запусков" с т. зр. "системы.Пр.: когда-то делал профиль-паленума с двумя профилями внутри => не глобально, но что-то было "не совсем так" в "увязке с MyTetr(ой)".
Подразумевались моменты, когда браузеры запускаются из других приложений.sudo ln -s /usr/local/bin/run-as-nobody-ln /usr/local/bin/программа
Предпочитаю фругал, но смонтированы другие разделы, поэтому - второй вариант.Ну так смонтируйте с правами для live или юзайте ФМ от root
Не запарились вводить пасс?Нет. Только Gparted требует. Теоретически пароль рута требуеися для настройки сети, но у меня автоматом.
Только Gparted требует.
Я спрашивал про ПРА-роллмногова-то вводить приходится
многова-то вводить приходитсяТо то и оно
-"run-as-nobody - опционально" - это отдельным модулем/или стартом скрипта/или...?1. Это значит run-as-nobody в дистре есть, а симлинки или поправить ярлыки - самостоятельно
И нет читаемых шрифтов, и нет pra-курсора.В исо все ок. Без сохраненки пробовали?
Проверил и без save. Не работают антиалиасинг и хинтинг (Внешний вид шрифта v.160820).И нет читаемых шрифтов, и нет pra-курсора.В исо все ок. Без сохраненки пробовали? Можно подробнее
Не работают антиалиасинг и хинтинг На firefox без nobody влияет.Так работает или нет...?
Чтобы эти настройки отразились на приложения, запущенные от nobody - сделайте sudo ln -s /home/live/.Xresources /home/live/nobody/.Xresources1. Зачем здесь sudo?
midlle не поддерживается. В ретро у кого-нибудь эти проблемы есть?А в чем для работы программ такая уж большая разница, если ретро основан на мидл?
ОтключаемоНаверно лучше было бы "Подключаемо"
А в чем для работы программ такая уж большая разница, если ретро основан на мидл?Не знаю. Если есть желающие заняться поддержкой мидл - я только ЗА
"Внешний вид шрифта v.160820" - этот скрипт изменяет ~/.XresourcesБез nobody всё работает.Не работают антиалиасинг и хинтинг На firefox без nobody влияет.Так работает или нет...?
Чтобы эти настройки отразились на приложения, запущенные от nobody - сделайте sudo ln -s /home/live/.Xresources /home/live/nobody/.Xresources
midlle не поддерживается. В ретро у кого-нибудь эти проблемы есть?
А вообще по хорошему, либо все настройки дублировать в nobody, либо на всё повесить линки.Все. Сделаю ln -s /home/live/.config /home/live/nobody/.config
Сделаю ln -s /home/live/.config /home/live/nobody/.configв аттаче
Все. СделаюА оно надо?
Что "оно" ?Да всё это...
В "классическом" Puppy это имеет смысл, но не в Richy и PRAПочему?
Разработчик уже определился.Для себя - да. Юзаю
Почему?Потому что правильнее разобраться с sudoers (или с busybox.conf), а не делать из live привилегтрованного юзера и добавлять неразбериху с nobody.
Полностью согласен с DdShurick, что надо бы настроить sudo, чем городить огород из костылей.Тут все об этом и говорят, но sfs просто упоротый в хлам. imho
просто упоротый в хлам.Ничего, воспитаем...
правильнее разобраться с sudoers (или с busybox.conf), а не делать из live привилегтрованного юзера и добавлять неразбериху с nobody.Мне кажется это будет сложнее.
Мне кажется это будет сложнее.Это как посмотреть: или разобраться как следует одному и не дурить остальным голову, или каждый в этот маразм въезжает сам.
По итогу в конфиге sudo окажется разрешение почти всегоТребуется не так уж и много.
Жду от желающих настроенного конфига sudoВ Richy-219 хватало этого (/etc/sudoers) :
User_Alias WHEEL_USERS = %wheel
%wheel ALL = NOPASSWD: /bin/busybox reboot, /bin/busybox poweroff, /bin/busybox losetup, /bin/busybox losetup -f, /bin/mount, /bin/umount, /bin/mkdir, /bin/rmdir, /bin/ntfs-3g, /sbin/blkid
Требуется не так уж и много.У меня не мало копирования от юзера в системные каталоги
По итогу в конфиге sudo окажется разрешение почти всего (что сейчас и так имеем)Кто попробует с конфигом Дяди Шурика - отпишитесь
У меня не мало копирования от юзера в системные каталогиНо это ж не правильно, во всех линуксах в системные каталоги имеет право копировать только суперюзер и никто больше... или я что-то не понимаю?
Но это ж не правильно, во всех линуксах в системные каталоги имеет право копировать только суперюзер и никто больше... или я что-то не понимаю?Заходим на второй круг обсуждения. Краткое содержание предыдущих серий:
На выходе реальные неудобства , усложнения и мнимая безопасностьЭто все в полной мере относится ко всем сборкам PRA с пользователем live, поскольку эти системы ничуть не безопасней сборок Puppy(Rus), где пользователь только root.
Какие -то теоретические проблемы не от себя любимого (практических фактов не зафиксировано) можно получить из инета. Наиболее вероятно = через браузер.Хотелось бы примеров проблем, но практических фактов не зафиксировано!!!
поскольку эти системы ничуть не безопасней сборок Puppy(Rus), где пользователь только root.Я нигде не говорил, что PRA безопаснее PR. sudo в PRA по ходу жизни нарисовалось.
Хотелось бы примеров проблем, но практических фактов не зафиксировано!!!Ну так я про это и пишу. Тема религиозная . Веришь что тебя обезопасит ... (нужное подчеркнуть) - юзай. Можно иконки на комп повесить или презерватив одеть - "обезопасит" одинаково :D Оговорюсь - все написанное - про домашний фругал, а не про линукс вообще (сервера, например)
Короче - куча проблем на ровном месте.От nobody - да.
На выходе реальные неудобства , усложнения и мнимая безопасностьТо же самое вижу от твоего nobody, который в пра не нужен по любым соображеним. Сделай это поделие отдельным модулем и любители пусть его себе в модули кидают или подключай через меню загрузки (load=nobody), а из основной поставки для всех по умолчанию удали!!!
Даже если Вас хакнули - все восстановится. Да и кому Вы нужны... с линуксом (да еще и нестандартным) , без белого ип и постоянно включенного компаРеальный хак - перемыкают кабели провайдеров. Ничего ломать не нужно; ждут, когда информация сама проскочит.
Еще можно ограничить межбраузерное сотрудничество созданием нескольких брауз-nobody.Можно. Создаете несколько бесправных юзеров и запускаете каждую прогу от своего юзера
firefox. Не открываются html с дискаКакой iso?
Цитата: sfs от 30 Май 2018, 21:31:03Откуда опять инфа про всех людей?
переделал запуск только для тех браузеров, где поправил 083
да кому оно надо, люди своими профилями для браузера пользуются и выкинь свой nobody на помойку.
По сути это тот же п.1Где пункт nobody модулем и нет проблем? Это снова надо будет сохраненку лопатить, убирая твои тройные ярлыки и симлинки?! У тебя же модульность где-то была ;)
Очень просто - выкинуть все ненужные ненужности и останется нужная нужность. Чем и занимаюсь.В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurick
Где пункт nobody модулем и нет проблем?5 и есть модулем.
У тебя же модульность где-то былаНе надо извращать идею
В сохраненке в основном удаления твоих ненужностей, утомляет их отлавливать. В этоп плане солидарен с DdShurickhttp://forum.puppyrus.org/index.php?topic=20264.msg144149#msg144149
переделал запуск только для тех браузеров, где поправил 083Т.е. решил сам за всех людей, т.е. пользователей.
Т.е. решил сам за всех людей, т.е. пользователей.http://forum.puppyrus.org/index.php?topic=20622.msg143986#msg143986
Жестко всех перевел на nobody - чтобы получить результаты тестирования ("по хорошему" плохо у нас тестируют). Получил. Поправил. Всем поучаствовавшим - спасибо. Теперь можно переделать подобрееТы про это?
Сделать отдельным пунктиком , кому интересно - попробуют, не интересно - мимо пройдут.Нафиг наши пунктики, так как это поделие не уберешь так хотя бы МОДУЛЕМ сделай! Что бы не надо было выгребать, а просто удалить модуль! Или модульность уже не в почете? Зачем мне сохраненку править, там и так удалений больше, чем настроек?! Какого в меню будет еще 200 пунктов на браузеры и дубликаты симлинков. В пра удалил симлинки, но в сохраненку видимо не правильно прописал это и ваше безтельноегавно вернулось назад. C changes prar с этим легче, но все равно тот же гемор в который пра постепенно все больше превращается :(
ssh -XYC spot@127.0.0.1 firefoxТолько надо запустить ssh сервер и тратить ресурсы на шифрование трафика
Сделаю ln -s /home/live/.config /home/live/nobody/.configпогорячился. Там же конфиги браузеров
ln -s /home/live/.config/fontconfig /home/live/nobody/.config/fontconfigзалил 089 для пра03 1801 1806
ln -s /home/live/.icons /home/live/nobody/.icons
Только надо запустить ssh сервер и тратить ресурсы на шифрование трафикаЭто да.
run-as-nobody переделал на вариант 4 из шапкиИ зачем голосовалку делал, если все равно лепишь так как хочется тебе? ;)
что не так?Ненужная ненужность.
не хватало возможности сохранения страниц. Выяснилось, что с этим как-то связан режим nobody. Убрал его из профиля, теперь нормально.Т.к. браузер запущен от nobody - сохранить можно только в каталоги, доступные ему на запись, т.е. в /home/live/nobody
Добавил в викиНагородил "Ненужная ненужность" и написал об этом роман.
А nobody как-то может помешать вредоносным действиям этих расширений? Или вопрос по другому - в данной конкретной ситуации, nobody проявил бы себя с положительной стороны?запуск браузера от live и nobody отличается только местом хранения профилей и .. и все )
.. и всеНет, если попробовать что-то скачать через браузер (nobody), то он не позволит сохранить из-за недостатка прав.
Нет, если попробовать что-то скачать через браузер (nobody), то он не позволит сохранить из-за недостатка прав.естественно
не позволит сохранить из-за недостатка прав.И запустить с правами рута
запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie.Если кейлоггер нужно было запускать от рута - поможет
в хомяк nobody( не лайва ) разрешит сохранятьда и в /temp
Или еще проще - скачать что-то и автооткрыть с правами рутавот поэтому запускать скрипты\приложения откуда попало - плохая идея
Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?Может быть... Попробуйте написать. У Дяди Шурика было что-то
Nobody показался неудобным, что-нибудь скачаешь, а потом запускать ФМ-root, чтобы куда-то перенести.это решаемо )
ну или сохранять туда где ему запись разрешена
Может какое-то адаптированное visudo, со всеми разрешениями для этих утилит?Я не так выразился, ничего писать и переписывать не надо.
Это я таким способом отказался от антивируса на слабом компе. Об удобствах конечно речи не идет.о чем вы ?? какие неудобства ?? :) когда все необходимое установлено\настроено, админские права под виндой даром не нужны ) соответственно потребность вводить пароли возникает редко
Установлена программа sudo (SuRun), повышающая права через пароль, когда это требуется.эээ а запустить от админа разве нельзя(пкм) она же
и белый список разрешенных для запуска программ.Software Restriction Policies (SRP) ?
ужен просто список утилит, используемых в PRA, со всеми путями, чтобы их можно было скопом вставить в /etc/sudoers в строку ALL ALL = NOPASSWD:.кстати да, ifconfig, reboot еще несколько полезно было бы в такой список поместить