[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: sudo ws root

В Птн, 12/12/2008 в 14:15 +0300, Artem Chuprina пишет:
> Покотиленко Костик -> debian-russian@lists.debian.org  @ Wed, 10 Dec 2008 19:11:28 +0200:
> 
>  ПК> Скажи прямо, почему угробить сервер (вариант со взломом) - хрен с
>  ПК> ним, а получить пользователя на компе, который бэкапы хранит -
>  ПК> недопустимо?
> 
> Данные в локалке - ценнее.
> 
>  ПК> Я почему-то считаю, что в рамках нормальной рабочей жизни сервера,
>  ПК> производить соединения сервер->куда-нибудь безопаснее, чем
>  ПК> от-куда-нибудь->сервер, хотя и ловлю себя на мысли, что не могу
>  ПК> объяснить почему.
> 
> В размышлениях о безопасности так нельзя.  Интуиция у человека, который
> не занимается ею несколько лет профессионально, не работает совсем.  У
> профессионала - работает, но хреново.  Т.е. когда профессионал чует
> жопой проблему, он делает стойку.  Когда он не чует - он считает, что он
> чего-то не заметил.  А на сравнение интуиция не работает и у
> профессионала.
> 
>  >>  >> Если "работающая" - это не оправдание усложнения, то что может быть оправданием?
>  >> 
>  >>  ПК> Оправдание. Только если есть несколько вариантов сделать систему
>  >>  ПК> "работающей", почему бы не выбрать тот, который: тянет меньше
>  >>  ПК> последствий, предрасполагает к дисциплине, потенциально менее опасен?
>  >> 
>  >> Ну, для начала ты все же говорил о неоправданном _усложнении_.  Впрочем,
>  >> sudo еще и больше предрасполагает к дисциплине, и менее опасен.  Если
>  >> таки проанализировать всю модель угроз, а не те полтора следствия,
>  >> которые кто-то случайно заметил.
> 
>  ПК> Давай анализировать.
> 
>  >>  ПК> При всём при этом sudo *может* быть более простым вариантом в
>  >>  ПК> первоначальной настройки, если не принимать во внимание последующее
>  >>  ПК> обслуживание.
>  >> 
>  >> И в обслуживании тоже.  Чтобы отобрать у человека права на конкретной
>  >> машине, мне достаточно вычистить его из sudoers.  Если у него там su,
>  >> т.е. знание рутового пароля - мне надо поменять пароль и быстро сообщить
>  >> его всем, кому его положено знать.  Если это более простой вариант, то
>  >> что такое более сложный?
> 
>  ПК> Вопрос про su не стоит, su - это рут, на нём и ответственность. Sudo -
>  ПК> это недо-рут, и ответственность на нём [какая на нём ответственность?].
> 
> sudo с ALL - это рут.  На нем и ответственность.  Что сделано - в логе,
> если не было злого умысла, как правило, можно восстановить, кто что
> делал.

Если не было... "sudo с ALL" я всегда делал по другому: заводил нового
пользователя а-ля fedya-root c UID=0. В логах светится fedya-root,
реально это рут, пароли разные, без лишних сущьностей. Надо забрать рута
- удали fedya-root, пароли переучивать всем не надо. Вообще если пароль
знает >1 человека, это не пароль а так.

> sudo на конкретную команду - недорут.  Ответственность за факт
> выполнения этой команды - на человеке, которому дано на это право (если
> это робот - на авторе робота), ответственность за то, что эта команда
> делает больше, чем задумано - на админе.  Факт выполнения - в логе.  Все
> очень четко.

Сложно это.

>  ПК> Давая команду под sudo, какую ответственность ты налагаешь? Боюсь,
>  ПК> что никакую, ибо облом держать таблицу ответственностей с галочками
>  ПК> напротив каждой исполняемой команды.
> 
> Таблица ответственности - ты не поверишь, все тот же файл /etc/sudoers.
> Там все написано.  И все действия в соответствии с оной таблицей
> запротоколированы.
> 
>  >> Если мне надо дать возможность (плюс-минус любому) юзеру передернуть,
>  >> допустим, принт-сервер, я пишу скрипт и пишу в sudoers
>  >> 
>  >> %users (ALL) = NOPASSWD: /that/script
>  >> 
>  >> Покажи мне более простое и не более опасное решение.
> 
>  ПК> По моему проще разобраться, и сделать так чтобы не надо было
>  ПК> передёргивать.
> 
> Такое решение, опять же, может оказаться и более сложным, и более
> опасным, и вообще велосипедом с квадратными колесами.  Ну, принт-сервер
> - дело такое, его может быть надо передергивать, если драйвера принтера
> кривые (разобраться, говоришь? попробуй...).

Простое решение: автоматизировать процесс передёргивания, думаю это не
сложно.

> А вот, скажем, апач свои
> конфиги перечитывает только по пинку, которого ему без рутовых
> полномочий не дашь.  Веб-программисту пинать апач, натурально, положено.

Зачем?

> И положить/поднять тоже.  Чем будем заменять sudo?  suid-бинарником?

SUID - это тот же костыль, только другой.

-- 
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: