А ну ведь сыкотно работать открытым всем известным пользователем,так хоть прикрыт фиговым листочком пароля.Дефолтный пароль разрешаю сменить юному падавану.
сыкотно работать открытым всем известным пользователемЗдесь (http://forum.puppyrus.org/index.php?topic=20032.0) обосновал, что бояться надо не всего и не всем
какой он в pra-roll,Ща повешусь. Не знаю уже где это еще написать. Тем более имея рута это не важно
В пра - по дефолту открытых портов нетвооот а теперь я начал понимать и тему можно считать закрытой.
при запуске какой либо команды через sudo,не происходит запроса пароля,подскажите пожалуйста что нужно сделать чтоб стал запрашивать пароль для sudo
для домашнего использования оно не нужно.Особенно - если юзер системы один
То есть если подвести итог оно сделано так не для того чтоб не словить чего нить по сетиНа самом деле, теоретически, то что браузер запущен по сути от рутового юзера - не хорошо
На самом деле, теоретически, то что браузер запущен по сути от рутового юзера - не хорошоНе совсем от рутового. Скорее "Operator" состоящего в группе "wheel".
Не совсем от рутового.По факту - если у юзера sudo на все без пароля - он рут
нужно знать изначальную концепцию которой нужно придерживаться.1. Найти gui для sudo
#!/bin/ash
if [ "`pidof X Xorg Xorg-bin`" ];then
gui_для_sudo "$@" &
else
sudo "$@" &
fi
1. Найти gui для sudoЧто-то легких не видать
SUDO_ASKPASS=/скрипт_на_yad wt -o "sudo -A "$@""
а этот https://sourceforge.net/projects/xroot-gui/ не подойдет?С sudo вроде работает, но на паскале - оформление другое и большой
2. Создать /usr/local/bin/sudoПохоже так не прокатит
https://linux.die.net/man/1/pkexecАналог sudo через polkit
что за chpass.sh... стало любопытногуй на yad
Короче нужен круг разрешенных задач для Live, остальное из под SUЭто один путь
Теперь давайте пробежимся по неприятным ситуациям в которые попадают даже опытные системные администраторы. Иногда вам требуется запретить пользователям выполнять определенный набор команд, разрешив при этом выполнение всех остальных. Вы можете попробовать сделать это при помощи оператора отрицания !. Имейте в виду, что это абсолютно неэффективно. Поскольку такие попытки делаются довольно часто, мы обсудим, как это работает и в чем тут подвох.
Во-первых определим командный псевдоним, в котором будут описаны запрещенные команды. Часто запрещаются оболочки командных интерпретаторов (поскольку если вы можете выполнить оболочку от имени определенного пользователя, то вы можете делать все под именем этого пользователя) и команда su (1). А теперь давайте запретим вашему пользователю использовать команды описанные этим псевдонимом при помощи модификатора !:
Cmnd_Alias SHELLS = /bin/sh,/bin/csh,/usr/local/bin/tcsh
Cmnd_Alias SU = /usr/bin/su
mwlucas ALL = ALL,!SHELLS,!SU
Выглядит замечательно, не правда ли? Поглядим, как это работает:
$ sudo sh
Password:
Sorry, user mwlucas is not allowed
to execute '/bin/sh' as root on openbsd.
Вспомните, sudo использует полные пути для описания команд. Вы позволили пользователю запускать любую требующуюся ему команду, кроме нескольких запрещенных, описанных полными именами. Все что требуется пользователю для запуска запрещенных команд, это сменить путь к их файлам. Простейшим средством для реализации этой затеи будет простое копирование файлов в необходимое место.
$ id
uid=1000(mwlucas) gid=1000(mwlucas) groups=1000(mwlucas), 0(wheel)
$ cp /bin/sh .
$ sudo ./sh
$ id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys),
4(tty), 5(operator), 20(staff), 31(guest)
Привет, root!
Надеюсь вы теперь поняли, что такой способ ограничений может быть чрезвычайно просто обойден, любым человеком, мало-мальски разбирающимся в работе sudo. Эта проблема хорошо документирована в разнообразной литературе, а так же поставляемом с sudo руководстве. Но, несмотря на это, люди настойчиво наступают на одни и те же грабли, используя ограничения такого рода для защиты рабочих машин.
разрешить все, но по паролюДумаю для начала надо сделать это -пожить с ним - придет понимание
над еще прикручивать ktsuss(исправил)
Добавил sudoq - заготовку Gui к sudoВсе есть. Надо только настраивать и тестировать
Причем, чтобы срок действия пароля можно было менять- из комментария к голосованию (http://forum.puppyrus.org/index.php?topic=20622.15;viewresults)
Чтобы на каждое sudo не вводить пароль.Это и так по дефолту в sudo. В одной сессии пароль вводится 1 раз.
Посмотрите gksuЧем он лучше моего sudoq на yad?
Чем он лучше моего sudoq на yad?Не пользовался, не знаю, но думаю ничем, так-же как и мой loginroot на gtkdialog.
sudoq - универсальнее - подключайтесьПро "универсальность" и вцелом "по теме" ничего определенного сказать пока не могу(--? и может на сколько-то продлить голосование?).
Пароль !! live !! (3 попытки)Т.к. гуй встроен в sudo - вероятно настраивается в конфиге sudo
Гуй закрывался при отмене(отказе от ввода) только с 3-го раза.Я не уверен, что во всех скриптах есть обработка ошибки после sudo. А sudo встречается в середине многих скриптов
Про Гуи-sudoq:- как "говорят сейчас в и-нете" -
Пробовал - не сразу сообразил, что нужен live-пароль. => может добавить(в гуй) -
---
Запуск 'any' от root:
Пароль !! live !! (3 попытки)
---
не сразу сообразил- только-что случайно дошло :D
1. В /etc/sudoers.d/g_whel раскомментировать 3 строку, закомментировать 2Выполнил это в фул, но появились вопросы при выполнении в терминале sudo pacman -S slim, а именно появилось окно для ввода пароля (рис.1) - хорошо, ввел, а потом ввести "y" для продолжения установки не могу (рис.2). ЧЯДНТ?
2. Переименовать /usr/local/bin/sudo- в /usr/local/bin/sudo
Под фул ,может будет меньше вопросов
правильно через polkitнадо гуглить
Лучше прописать с безпарольное sudo : sfs-get и т.п.Вроде - норм
Можно ли реализовать такое(один раз на аналогичные операции) в ПРА?Для этого надо понять как там это организовано. Разберетесь - пишите
ввод sudo с "определенным" параметромМожно подробнее
Можно ли теоретически/практически сделать какого-то (наверное) даемона, который бы выводил уведомление при запросе sudo(/su)-пароля?Можно подменить /usr/local/bin/sudo , в котором перед вызовом /bin/sudo что-то вывести
Можно подробнееi
Только если пароль не перепроверяется при каждом действии - чем это лучше sudo без пароля?Заметил, когда настраивал Меню-открытия Rox по типам файлов( в частности для inode-directory - sudo rox "$@").
Можно подменить /usr/local/bin/sudo , в котором перед вызовом /bin/sudo что-то вывестиспасибо за наводку. Для su (по-аналогии) также возможно?
Для su (по-аналогии) также возможно?да. для чего угодно
Для su (по-аналогии) также возможно?Постоянно использую su -c rox для работы от рута.
Альтернативные запращивалки пароляскомпилил rust. Жирновато...
https://www.archlinux.org/packages/community/x86_64/x11-ssh-askpass/ - без tk зависимостейесть проблемы со шрифтами
xaskpass-1.0.0-1-x86_64.pkg.tar.xz