Sudo 1.9.17p1 řeší zranitelnosti CVE-2025-32462 a CVE-2025-32463

BTW: Kdo používáte pokročilejší možnosti příkazu sudo a ne jen právo na vykonání konkrétního příkazu nebo dokonce jen přepnutí na roota (sudo su -)?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

1.7. 10:26 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Co máš na mysli pokročilejšími možnostmi?

1.7. 11:58 Jája
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Na root se přepínám "sudo -i".

1.7. 18:09 jenom ja
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

ja sudo -s

1.7. 12:17 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Prikazu sudo? Ne. Ale /etc/sudoers je plne, vetsina desktopoveho sw mi bezi pod svym vlastnim uzivatelem...

1.7. 17:42 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

To sudo su - je z korporátnej príručky ktorá má zabezpečiť aby sa nelogovali príkazy ktoré zadáva výkonný operátor?

2.7. 21:52 Xerces
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Je to 3.14čovina. Jako do konzole dobrý, pokud chci rychle udělat něco pod jiným uživatelem, ale jinak nevidím problém se logovat na konkrétní účty. U nás v korporátu se z toho dělá celkem mantra. :-)

2.7. 22:12 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Ono se právě dlouho tradovalo, že když se hlásíš rovnou na roota, tak v logu není, který konkrétní člověk se na něj přihlásil, zatímco při přepnutí přes sudo ano. Ale to už nějaký pátek neplatí a logují se otisky SSH klíče. Jenže řada adminů pořád ze setrvačnosti cpe sudo jako „bezpečnější“ i když jeho možnosti vlastně nevyužívají a dovolí lidem se na toho roota přepnou a ne jen pouštět pár vybraných příkazů.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

2.7. 23:42 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Nechci ti do toho kecat, ale rozdíl vidím úplně jinde než ty.

Když se přihlašuješ přes su musíš znát heslo toho, na jehož účet se hlásíš.
Když používáš sudo nepotřebuješ znát žádné jiné heslo, než to svoje

A sudo má pochopitelně i další výhodné vlastnosti. Třeba to, že můžeš umožnit určité skupině uživatelů spouštět jenom určitou konkrétní binárku. No a to pochopitelně sebou nese i riziko potenciálního zneužití k eskalaci práv. Jenže v prostředí, kde je vše read-only, navíc překryté overlayem, je to fuk.

3.7. 00:12 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: sudo - pokročilejší možnosti

Třeba to, že můžeš umožnit určité skupině uživatelů spouštět jenom určitou konkrétní binárku.

Ano, tohle je jeho smysluplné využití.

Když se přihlašuješ přes su musíš znát heslo toho, na jehož účet se hlásíš. Když používáš sudo nepotřebuješ znát žádné jiné heslo, než to svoje

Šlo mi o to, že na server se přes SSH můžeš přihlašovat přímo na roota a do logu se uloží otisk SSH klíče, takže lze dohledat, kdo se tam přihlásil. Nepřijde mi to méně bezpečné než sudo či su, kterými se běžný uživatel na roota přepne nebo pod ním spustí nějaký příkaz. Mně dává smysl zakázat přihlašování heslem, ale ne přihlašování přímo na roota – přesto to někteří dělají (přesně naopak - hesla u SSH povolí, ale na roota se dostaneš jen přes sudo).

Někdo může argumentovat tím, že to je pojistka proti lidským chybám, ale mně přijde, že to akorát komplikuje práci (např. kopírování souborů) a čím víc rutinních kroků je potřeba dělat, tím spíš někde člověk udělá chybu.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Sudo 1.9.17p1 řeší zranitelnosti CVE-2025-32462 a CVE-2025-32463

Komentáře