Re: sudo ws root
On Tue, 09 Dec 2008 00:01:02 +0200
Eugene V. Lyubimkin wrote:
> В трёх словах - любая гадость, запущенная из-под юзера, способна
> следить за запускаемыми командами. Как только юзер удачно применил
> sudo, сия гадость может беспрепятственно сделать "sudo <плохая
> команда>", так как пароль не будет запрошен. За конкретной
> реализацией прошу к Дмитрию и BTS на sudo.
>
Думаю, что эта гадость вполне может подменить пути и
вместо /usr/bin/sudo вызвать свой модуль, спрашивающий пароль и
затем выполняющий sudo. В этом случае любые таймауты не помогут.
И реализация этого проще, чем "следить за командами".
ИМХО баг судо в головах пользователей (и админов), использующих его
(sudo а не баг :) для замены su, а не как не в самой программе.
Как бы админ не хитрил с таймаутами, если в sudoers разрешен ALL, то
никакого выигрыша от неиспользования root password мы не получим.
------
Grey Fenrir
Reply to: