Re: sudo ws root

To: debian-russian@lists.debian.org
Subject: Re: sudo ws root
From: Grey Fenrir <grey.fenrir@gmail.com>
Date: Tue, 9 Dec 2008 11:17:05 +0300
Message-id: <[🔎] 20081209111705.3648ab1a@ibem>
In-reply-to: <[🔎] 493D991E.9060207@gmail.com>
References: <[🔎] 493D6766.9020305@yandex.ru> <[🔎] 20081208183946.GH25098@work.uvw.ru> <[🔎] 493D6C1B.1040801@gmail.com> <[🔎] 493D9363.2000407@gmail.com> <[🔎] 493D991E.9060207@gmail.com>

On Tue, 09 Dec 2008 00:01:02 +0200
Eugene V. Lyubimkin wrote:


> В трёх словах - любая гадость, запущенная из-под юзера, способна
> следить за запускаемыми командами. Как только юзер удачно применил
> sudo, сия гадость может беспрепятственно сделать "sudo <плохая
> команда>", так как пароль не будет запрошен. За конкретной
> реализацией прошу к Дмитрию и BTS на sudo.
> 
Думаю, что эта гадость вполне может подменить пути и
вместо /usr/bin/sudo вызвать свой модуль, спрашивающий пароль и
затем выполняющий sudo. В этом случае любые таймауты не помогут. 
И реализация этого проще, чем "следить за командами". 
ИМХО баг судо в головах пользователей (и админов), использующих его
(sudo а не баг :) для замены su, а не как не в самой программе. 
Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
никакого выигрыша от неиспользования root password мы не получим.

------
Grey Fenrir

Reply to:

Follow-Ups:
- Re: sudo ws root
  - From: Victor Wagner <vitus@wagner.pp.ru>

References:
- sudo ws root
  - From: "russian-linuxoid@yandex.ru" <russian-linuxoid@yandex.ru>
- Re: sudo ws root
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: sudo ws root
  - From: "Eugene V. Lyubimkin" <jackyf.devel@gmail.com>
- Re: sudo ws root
  - From: Stanislav Kruchinin <stanislav.kruchinin@gmail.com>
- Re: sudo ws root
  - From: "Eugene V. Lyubimkin" <jackyf.devel@gmail.com>

Prev by Date: Re: Автозапуск в GNOME
Next by Date: Re: sudo ws root
Previous by thread: Re: sudo ws root
Next by thread: Re: sudo ws root
Index(es):
- Date
- Thread