Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Zdravim
Je mozne, aby spustitelny BASH skript byl spustitelny pod obycejnym uzivatelem, ale aby tento skript mohl pouzivat rootovske prikazy (nastaveni firewallu) bez pouziti sudo nebo root-hesla?
Diky.Samozřejmě vám nikdo nezabrání udělat si Céčkový wrapper, který ten suid bit nastaven mít bude a uvnitř spustí ten váš skript – a nejspíš už něco takového dávno existuje.Ano, sudo. Původnímu tazateli doporučuju se chvíli věnovat nastavení sudo a pak ho ve skriptu použít. Všechny ostatní metody pravděpodobně skončí hůř.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
sudo nebo suid bit ale umožní ty příkazy s právy roota spouštět komukoli (suid) nebo uživatelům povoleným pro sudo. Pokud to chce tazatel povolit, pak to není problém – ale pokud chtěl povolit jen omezenou množinu příkazů, pak tohle použít nemůže – např. pokud tazatel chtěl skriptem povolit upravovat jeden řetězec v iptabels, když nastaví suid bit nebo povolí sudo na iptables, umožní dotyčnému třeba kompletně smazat všechna pravidla firewallu.
iptables (bez celé cesty), tak si uživatel může změnit cestu tak, aby na začátku měl nějaký vlastní program jménem iptables – a ten se spustí s právy roota. Shell není dělaný na to, aby se spouštěl s právy roota a pomocí skriptu se omezilo, co přesně může uživatel dělat. Naopak shelly mají normálně spoustu možností,jak spouštět další programy atd. Možná někdo, kdo zná třeba Bash opravdu dobře, by dokázal napsat skript a říci, že je bezpečné spouštět jej pod jiným uživatelem s právy roota. Já akorát vím, že Bash neznám tak dobře, abych to o jakémkoli skriptu dokázal říci.
Já akorát vím, že Bash neznám tak dobře, abych to o jakémkoli skriptu dokázal říci.
Tak to zní trochu depresivně pro člověka, který si je vědom toho, že zná bash ještě podstatně míň než vy. Ale jak jsem tak letmo nakouknul do man sudoers, tak problémy, které naznačujete, zřejmě budou řešitelné. Ale neodvažuju se o tom kohokoli jakkoli poučovat.
Proto taky doporučuji použít sudo a nebastlit si vlastní "suid wrapper" - tvůrci suda už si tím vším prošli.Jak složitou gramatiku pro popis přípustných kombinací parametrů umí nadefinovat sudo? Účelem toho mnou zmíněného wrapperu by byla právě kontrola parametrů. Třeba jestli IP adresa zadaná jako parametr je uvedená v databázi u příslušného uživatele – to mi asi
sudo nezkontroluje.
Odstraněním proměnných prostředí se odfiltruje jediný možný vektor útoku z předchozího shellu.To těžko. Když budete mít ve skriptu
TEST=`$1`, pořád může uživatel snadno spustit cokoli s právy roota.
Účelem toho mnou zmíněného wrapperu by byla právě kontrola parametrů. Třeba jestli IP adresa zadaná jako parametr je uvedená v databázi u příslušného uživatele – to mi asi sudo nezkontroluje.Asi by to chtělo konkrétní příklad, co a jak chcete kontrolovat? Obvykle se složitější kontroly provedou ještě před sudo, aby kód pod rootem byl co nejmenší. Pokud to je nezbytně nutné, můžete kontrolovat po sudo, ale zbytečně zesložiťujete privilegovaný kód. Nicméně psát z gruntu vlastní wrapper Vám dá to horší z obou: kontroly poběží pod rootem a navíc můžete udělat nějakou jinou chybku, kterou už sudo řeší samo o sobě.
To těžko. Když budete mít ve skriptu TEST=`$1`, pořád může uživatel snadno spustit cokoli s právy roota.To je věc kontroly vstupu Vašeho skriptu. Zrovna tak, pokud skript explicitně používá nějakou proměnnou, soubor, bere vstup z stdin, a kdoví co. Já jsem mluvil o ovlivnění funkce Vašeho interpretu, tj. shellu. Ta se dá ovlivnit jen proměnnou prostředí, protože jiný vstup nebere.
Asi by to chtělo konkrétní příklad, co a jak chcete kontrolovat?To, že uživatel má právo provést danou akci. Třeba přidělím uživatelům rozsahy portů s tím, že každý si na svém rozsahu může dělat DNAT, jaký chce. S pevnými rozsahy portů by to do
sudoers ještě šlo nacpat, ale pokud budu chtít rozsahy mít třeba v databázi, sudoers už mi nepomůže a musím to kontrolovat programově.
Obvykle se složitější kontroly provedou ještě před sudoJenže to pak nikomu nezabrání spustit tu aplikaci (třeba
iptables) přes sudo bez složitějších kontrol.
To je věc kontroly vstupu Vašeho skriptu. Zrovna tak, pokud skript explicitně používá nějakou proměnnou, soubor, bere vstup z stdin, a kdoví co.Jenže udělat tyhle kontroly v shellu není nic jednoduchého, protože shell je určen k tomu, aby neustále něco interpretoval – a vy najednou chcete docílit toho, aby neinterpretoval skoro nic.
Třeba přidělím uživatelům rozsahy portů s tím, že každý si na svém rozsahu může dělat DNAT, jaký chce.Tohle by asi šlo řešit dost jednoduše tak, že každej dostane svůj chain, kde si může dělat třeba suchý z vrby a do toho chainu se pošlou pakety z toho rozsahu. S trochou práce by to asi šlo naroubovat i na tu databázi. Sudo pak nastavíte tak, že povoluje něco jako "iptables -[AIDF] mujchain *".
Jenže to pak nikomu nezabrání spustit tu aplikaci (třeba iptables) přes sudo bez složitějších kontrol.Sudo nastavíte samozřejmě tak, že se smí daná operace volat pouze z toho skriptu. Pokud někdo nabourá ten skript tak získá možnost si nastavit firewall (resp. DNAT) jak chce, ale už nezíská o moc víc (cf. kdyby celý skript běžel pod rootem).
Jenže udělat tyhle kontroly v shellu není nic jednoduchého, protože shell je určen k tomu, aby neustále něco interpretoval – a vy najednou chcete docílit toho, aby neinterpretoval skoro nic.Tak to zase pr. Shell je pouze interpretovaný jazyk a většina normálních interpretovaných jazyků má prostředky k tomu aby nějaký řetězec interpretovala, nebo taky ne, podle toho, jak chce programátor. V bashi jsou na to uvozovky. Perl má navíc taint operátor, který kontrolu toho co kam strkáte dělá za Vás.
Tohle by asi šlo řešit dost jednoduše tak…Tohle konkrétně ano, protože můžete použít jinou funkcionalitu
iptables. Ale mohou existovat programy, které takové možnosti nemají.
Sudo nastavíte samozřejmě tak, že se smí daná operace volat pouze z toho skriptu.To se nastaví jak?
Tohle konkrétně ano, protože můžete použít jinou funkcionalitu iptables. Ale mohou existovat programy, které takové možnosti nemají.Pointa je, že stojíte vždy před konkrétním problémem a obvykle si vyberete to "lehčí" řešení.
Nejjednodušší je pro skript rezervovat uid, uživatelům povolit sudo na skript pod tím uid, a teprve tomu uid povolit sudo iptables pod rootem.Sudo nastavíte samozřejmě tak, že se smí daná operace volat pouze z toho skriptu.To se nastaví jak?
Tiskni
Sdílej:
