Gian Uberto Lauri scrisse in data 13/12/2013 11:54:
sai che ho letto la tua mail 2 o 3 volte ma non sono riuscito a capire dove sia il problema di sudo? Ho capito che riguarda la cache ma poi...Perché di default sudo fa il caching delle credenziali: con la configurazione di default, per alcuni minuti sudo non chiede nuovamente l'autenticazione (su -c non lo fa mai).
secondo la tua visione direi che è peggio di così: ogni volta che crei un account di tipo amministrativo viene inserito nel gruppo sudo (per debian, admin per ubuntu) che ha appunto i privilegi di cui parli. Questo per dire che non solo il primo account ma ogni account di tipo amministrativo ha quei privilegi.La cache delle credenziali non è di per se negativa, meglio usare 3 sudo verso programmi binari che far eseguire tutto uno script con l'id 0:0 (parlo dell'id utente), sarebbe meglio avere un'opzione per dire "da qui tieni le credenziali in cache" e oltre a quella già presente "annulla la cache delle credenziali" in modo da controllare il campo di esistenza della transazione. A questo aggiungi che la configurazione di default di Debian e Ubuntu prevede che il primo utente creato compaia in /etc/sudoers come "primo ALL=(ALL) ALL", in pratica fa diventare sudo una copia di su che non richiede di conoscere la password di root.
parli di gksudo o di sudo? AFAIK la cache delle credenziali di sudo può essere utilizzata soltanto dal terminale dalla quale viene usata... direi che è molto difficile per il cavallo di troia diventare figlio del terminale in cui hai inserito il comando sudo... per quanto riguarda gksudo invece mi sembra che non abbia affatto cache delle credenziali o mi sbaglio?[...] fare un piccolo cavallo di troia che si metta in attesa del momento in cui vede che la cache delle credenziali sia attiva per poi iniettare codice malevolo sfruttando sudo e la configurazione 'utente ALL=(ALL)ALL'.
Ancora non mi hai convinto ma se insiti forse... ;) Piviul