Otazka pro paranoiky: Je "sudo" bezpecne?

AbcLinuxu:/ Blogy / pathfinder / Otazka pro paranoiky: Je "sudo" bezpecne?

Štítky: bezpečnost, distribuce, kernel, Linux, Ubuntu

Otazka pro paranoiky: Je "sudo" bezpecne?

1.7.2007 09:17 | Přečteno: 1584×

*NIXové systémy jsou ukázkou kvalitního návrhu. Bezpečnost byla domyslena do nejmensiho detailu. V Posledni dobe se ovsem dostalo do popredi zajmu "sudo", ktere lze dneska vyuzivat v sirokem spektru distribuci....

Vcera kdyz jsem sedel u PC, napadla ma takova vec. Kdyz clovek provadi administratorske ukony, je pri prvnim zadani "sudo" pozadan o heslo. Pak uz jen staci psat "sudo" kdykoli clovek provadi dalsi administratorsky ukon bez hesla.... Je to vubec bezpecne? Ubuntu ma defaultne jednoho usera, ktery se prostrednictvim sudo stava administratorem. A ted k veci:

user pracuje... provadi nejaky administratorsky ukon, tak jednou provede prikaz se "sudo" a od teto chvile nemusi zadavat heslo pri dalsim sudo.... Co kdyz ale tento user, spusti nejaky skodlivy kod? staci aby mel implementovany volani "sudo" a jelikoz jiz user nemusi zadavat heslo, nema tento kod problem s tim, ze nezna administratorske heslo. Obycejny ucet user tak muze spustit cokoli.... Mám pravdu, nebo je to jinak osetreno?

Hodnocení: 43 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (2) ? , Tisk

Vložit další komentář

1.7.2007 09:33 miso | skóre: 36 | blog: iSCSI_initiator_howto | Praha
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

To nad cim rozmyslas je v rozpore s tym, co si na zaciatku napisal - bezpecnost premyslena do najmensich detailov ;-)

Taketo veci riesia rozne secure nadstavby : apparmor, selinux, grsecurity, ...

Project Satan infects Calculon with Werecar virus

1.7.2007 09:36 David Heidelberg | skóre: 46 | blog: blog_
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

No samozřejmě, jenomže to heslo sudo, má dobu trvání, kdy se to neptá omezenou a tedy je malá pravděpodobnost, že by nějaky skript člověk spustil v tom časovém limitu(myslím 5minut pokuď se nemýlím) po spuštění sudo... Já třeba používám sudo pro mého uživatele bez hesla.. je potom menší riziko, že něco udělám pod rootem co jsem nechtěl, ale že mně to nebude pořád otravovat s heslem... ale pravda, že jsem ještě nedal "sudo něco" a nespouštěl to nové video, které mně došlo emailem: enter to console - "bash paris.hilton.nude.wmv" :-D

0K!AS

1.7.2007 09:45 fakenickname | skóre: 42 | blog: fakeblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

Defaultní zabezpečení linuxových distribucí obsahující software "sudo" je na relativně dobré úrovni. Sudo samotné je při běžném použití celkem dobrá věc, jen musí mít člověk neustále na paměti tu první hlášku co vyplivne při prvním spuštění (něco o zbrani hromadného ničení). Každopádně - blbuvzdorné není snad nic. Pokud si se sudo začne hrát idiot tak si ten systém prostě zničí a nepomůže mu ani linus svatý.

1.7.2007 10:03 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

beztak to používám pro:

$ sudo bash

Hlasuj pro zavedení OpenID na Abclinuxu!

1.7.2007 10:54 Joseph | skóre: 7 | blog: No_bullshiting_please | Ba'aretz
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

sudo je prave tak bezpecne ako clovek co editoval sudoers rozumie pojmom skupiny, uzivatelia a prava.

אם אין אני לי, מי לי; וכשאני לעצמי, מה אני; ואם לא עכשיו, אימתי.(פרקי אבות, פרק א, משנה יד

1.7.2007 11:05 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Me spise zajima sudo vs. su. Fakt, ze sudo je jen tak bezpecne, jak je jeho administrator je zrejmy. Poukazoval jsem spise na fakt, ze zatimco u "su" si clovek muze pod administratorem spustit nebezpecny kod jedine sam, u "sudo" tomu tak muze v nekterych pripadech ucinit i v pripade, ze zrovna nepracuje jako administrator. (ale pouzil pred tim nekdy sudo)

1.7.2007 11:26 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

preco predpokladas, ze je sudo nastavene na spustanie kadejakej blbosti? ubuntu? sudo nepatri do ruk detom.

1.7.2007 11:42 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

ja nepredpokladam. Ja se ptam. Jinak pokud sudo neni nastavene na spusteni cehokoli, co Admin chce, pak mi neco rika, ze tezko muze nahradit su. Protoze se dostavame do situace podobne Windows, kde administrator muze delat jen to, co mu Windows milostive dovoli.

1.7.2007 12:37 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

a kto hovori, ze sudo je nahrada su?

> Protoze se dostavame do situace podobne Windows, kde administrator muze delat jen to, co mu Windows milostive dovoli.

mne sa pod rootom da robit vsetko. mas to rozbity...

1.7.2007 13:03 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

mno. nevim. On ale ani nikdo nerekl, ze sudo nesupluje su, a defaultni ignorace roota v Ubuntu (prukopnika sudo) tomu jen nahrava

1.7.2007 14:45 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

som mal kedysi davno na fedore sudo. to som nevedel, ze nieco ako ubuntu existuje (a asi ani neexistovalo?)

1.7.2007 14:50 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Sudo vzniklo zhruba v době, kdy Mark Shuttleworth šel do první třídy. ;-)

Jak moc jsou ábíčkáři inteligentní? ;-)

1.7.2007 14:54 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

to ja len k tomu, ze ubuntu je "priekopnikom". ja pouzivam sudo odkedy mam pre neho vyuzitie, nie od vynalezu ubuntu...

1.7.2007 15:06 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

zamerne je napsano "prukopnika" nikoli "vynalezce". Sudo je sice stare jak svet, ale misto roota jej pouziva snad jen ubuntu. A je to prave Ubuntu, ktere dostalo sudo do sirsiho povedomi...

1.7.2007 15:07 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Ne, to udělal Microsoft (ve Vistě). :-D

Jak moc jsou ábíčkáři inteligentní? ;-)

1.7.2007 15:18 Zdenek.Z | skóre: 14
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Žádný Unixový guru nejsem, Kubuntu používám asi měsíc, ale co jsem předtím používal Fedoru, tak jsem ho znal a používal taky. A i v Ubuntu jde použít sudo su, případně nastavit rootovi heslo, zrušit jeden řádek v /etc/sudoers a používat to stejně jako jinde.

1.7.2007 15:27 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

/ironie/ opravdu??? To jsem nevedel /ironie/ :-)

1.7.2007 15:42 Zdenek.Z | skóre: 14
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

No já vím, že nejdu s žádnou novinkou (i když tak můj příspěvek možná zní), ale nějak mi nepřijde to, že je v Ubuntu zakázaný root a přidaný jeden řádek do sudoers jako průkopnictví. Z hlediska uživatele v tom nevidím zas tak velký rozdíl (kromě toho, že používá pouze jedno heslo místo dvou). A z hlediska bezpečnosti nějak taky ne.

1.7.2007 16:32 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

myslel jsem to tak, ze bezny user, ktery predtim pracoval se sudo muze bez sudo spustit skodlivy kod, ktery volanim sudo ziska administratorska prava... aleto je jedno.. diskuze se stejne dostala jinam...

problemy s windows? Reboot

problemy s Linuxem? Be root

2.7.2007 08:25 Zdenek.Z | skóre: 14
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Tak mu stačí nastavit, aby se na to heslo ptal vždycky, ne?

2.7.2007 10:08 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

cimz z nej ovsem udelam "su"

2.7.2007 11:48 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

nie

2.7.2007 12:16 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

jak to ze nie???

2.7.2007 12:22 Robo
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

su je nebezpecnejsie, pretoze po jeho zadani pracujes ako root (resp. nejaky iny user), pri sudo iba spustas konkretny prikaz, ktory nasleduje, s pravami roota.

2.7.2007 12:27 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

nie

2.7.2007 12:28 Robo
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

2.7.2007 12:32 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

ked niekomu cez sudo povolis vsetko, tak mu mozes rovno povedat heslo na roota (sudo su -, sudo passwd)

2.7.2007 12:41 Robo
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

no jasne, ale predpokladame teraz pre zjednodusenie, ze je to v podstate root

2.7.2007 16:34 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

preco by som mal predpokladat taku blbost? skus ty predpokladat, ze ubuntu neexistuje.

2.7.2007 16:35 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

predstavit

2.7.2007 12:28 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

sudo obycajne pyta heslo usera
sudo ti dovoli spustit len to co ma nastavene

2.7.2007 12:29 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

no a som zabudol dodat, ze uz je asi najvacsi cas zacat listovat tymi manualmi...

2.7.2007 12:35 Robo
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

su nepyta heslo uzivatela :) . su - je substitute user, cize sa na isty cas stavas inym userom sudo - je spustenie prikazu, ktory nasleduje s pravami, ktore su v sudoers, spravidla root . dolezite je to, ze ked pouzivas sudo, tak musis vsetky administratorske ukony robit cez prikaz sudo, ked zadas su mozes spustat prikazy standardne pricom mas take prava ake ma pridelene user, ktorym si sa stal

2.7.2007 16:32 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

prosim? (predtym nez odpovies si to skus este raz precitat)

2.7.2007 11:45 Robo
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

AFAIK bez sudo (gksudo) nemoze spustit skodlivy kod. Ak by pred prikazom nezadal sudo, vypisala by sa hlaska, ze program potrebuje na svoje spustenie administratorske prava.

2.7.2007 11:38 megalama
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

no já to mám v ubuntu tak, že root není povolený, místo něho používám něco jako ve windowsech administrator,který je ve skupině sudo, tudíž nepotřebuje zadávat heslo,ale musí zadat ono sudo před příkaz), pak jednoho power usera(to jsem já :-)

),který může použít sudo,ale musí zadat heslo(vetšinou v xkách na synaptic a tak dále) a pak jednoho bfu(to je manželka :-)

). a lidi neblbnite, že používáte doma linux ještě neznamená že vám doma běží našláplý server, ke kterému se připojují tisíce lidí a vy máte plné ruce práce uhlídat bezpečnost.:-}

2.7.2007 12:19 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

to ja se zeptal jenom tak.... napadlo me to pri praci v konzoli.... zadne akcni zaveryz toho necinim.... vzdyt ja ovetsinou ani neupdatuju :-D

1.7.2007 11:55 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Me spise zajima sudo vs. su.

Rozdíl v tom není. Pokud má někdo možnost spouštět vlastní kód pod právy uživatele, tak má asi i možnost odposlechnout všechna hesla (userspace keylogger). Heslo od ostatního vstupu odliší nejspíše tak, že bylo napsáno v době, kdy vznikl proces běžící pod rootem, který je synem procesu obyčejného uživatele. Případně vyzkouší trik, který jsem zmínil tady (funguje pro su i sudo).

1.7.2007 14:31 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Pokud má někdo možnost spouštět vlastní kód pod právy uživatele, tak má asi i možnost odposlechnout všechna hesla (userspace keylogger).

Možná jsem úplně tupý, ale jak kód pod právy uživatele "jen tak" přijde ke CAP_SYS_RAWIO? To se tahle capability jen tak válí na chodníku či co?

Jak moc jsou ábíčkáři inteligentní? ;-)

1.7.2007 15:03 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

"userspace" jsem si vysvětlil tak trochu po svém, ok. Nicméně věřím, že možnost odchytávat vlastní události klávesnice aspoň na úrovni x serveru, tu bude.

1.7.2007 15:09 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Třeba xeyes by asi těžko mohli fungovat, pokud by bylo přijímání událostí nějak omezeno.

1.7.2007 15:36 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Inu, tohle je pravda, ani Window Manager není nijak privilegovaný proces. Můžu se zeptat Xkařů v práci, jak je zabezpeč{itel|e}né tohle, určitě mi bude odpovězeno rychleji, než kdybych se po tom pídil sám. :-)

Jak moc jsou ábíčkáři inteligentní? ;-)

1.7.2007 16:03 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

hmm, xeyes nebyl zrovna dobrý příklad, ty se periodicky dotazují pomocí XQueryPointer(). Ale wm nebo různé programy na klávesové zkratky by snad takovu schopnost mít mohly.

A zdá se, že jsem díky hledání náhodou narazil i na zajímavou věc - více ukazatelů myši v jednom x sezení - http://wearables.unisa.edu.au/mpx/

Co ten linux všechno neumí :-)

1.7.2007 16:23 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

SUPER!!! Přesně toto jsem nedávno potřeboval a nenašel, tak jsem to vzdal.

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

2.7.2007 11:37 Robo
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

u "sudo" tomu tak muze v nekterych pripadech ucinit i v pripade, ze zrovna nepracuje jako administrator

Ak spustas programy standardnym spodsobom, nerobis to cez sudo. Prilis nerozumiem, co chces povedat.

1.7.2007 12:06 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

Správce systému si může délku platnosti sudo nastavit.

1.7.2007 12:23 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

jako treba na jedno pouziti?

1.7.2007 12:39 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

ano. a bez si citat manual, mozno aj pochopis na co sudo sluzi...

1.7.2007 13:03 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Ehm. neptam se k cemu sudo slouzi :-)

1.7.2007 14:34 eXces | skóre: 15 | blog: i hate mondays;) | Jihlava
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Ale evidentně by jsi měl.

Only two things are infinite, the universe and human stupidity, and I'm not sure about the former. --Albert Einstein

1.7.2007 14:42 Linux.pathfinder | blog: pathfinder
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

protoze s ptam, zda vyuzivani sudo oprti su nesnizuje bezpecnost systemu???

1.7.2007 14:51 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

odpoved zavisi od konfiguracie.

1.7.2007 15:17 Zdenek.Z | skóre: 14
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Tak asi podle toho, co bude v /etc/sudoers.

1.7.2007 19:46 Václav Kramář | skóre: 31 | Nechanice
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Odpovědět | Sbalit | Link | Blokovat | Admin

Je to do jisté míry ošetřeno timeoutem.

Jo, su je proti sudo a asi o trochu bezpečnější: o jedno heslo (pro sudo se zadává heslo uživatele, pro su rootovo). :-)

2.7.2007 14:15 Hynek (Pichi) Vychodil | skóre: 43 | blog: Pichi | Brno
Rozbalit Rozbalit vše Re: Otazka pro paranoiky: Je "sudo" bezpecne?

Krom toho je sudo určeno k dosti odlišným věcem než su. Jestli ho někdo používá jen ke spouštění sudo su potažmo sudo bash tak je mu sudo platné jak mrtvému zimník. Já třeba sudo spouštím třeba i takto:

$ sudo -u docdaemon /var/www/html/docs/bin/docupdate

XML je zbytečný, pomalý, nešikovný balast, znovu vynalézané kolo a ještě ke všemu šišaté, těžké a kýčovitě pomalované.

Založit nové vlákno • Nahoru