Re: nfs e sudo: furo de segurança???
On Thu, 3 Mar 2005, Marcos Vinicius Lazarini wrote:
> Thadeu Penna wrote:
> > Marcos Lazarini wrote:
> >
> > > Meu... ainda nao consegui captar.... Em todo o caso, tentei fazer o que vc
> > > disse:
> > >
> > > ------------
> > > lazarini@maquina:~$ su - rodrigo
> > > Password: <senha do rodrigo>
> > > rodrigo@maquina:~$
> > > ------------
> > > lazarini@maquina:~$ sudo su - rodrigo
> > >
> > > We trust you have received the usual lecture from the local System
> > > Administrator. It usually boils down to these three things:
> > >
> > > #1) Respect the privacy of others.
> > > #2) Think before you type.
> > > #3) With great power comes great responsibility.
> > >
> > > Password:
> > > laza is not in the sudoers file. This incident will be reported.
> >
> > Pois é, se você é root, coloque o laza no sudoers como ALL=NOPASSWD:ALL.
> > Ai, você entra como rodrigo, sem conhecer a senha do rodrigo (aliás, sem
> > senha nenhuma). Como eu disse antes, a máquina é do usuário, portanto não
> > posso pensar em retirar o sudo...
>
> Bom, mas se eu sei a senha de root, não precisa de sudo. :-) é só fazer um
> 'su -' seguido de um 'su fulano' que o resultado é o mesmo.
>
> Pra mim, vc choveu no molhado, isto é: o sudo é pra rodar um comando sem
> precisar a senha do admin. E é isso o que aconteceu. Ainda nao consegui
> entender a sua surpresa...
>
Lembre-se que na minha primeira mensagem disse que estava usando NIS.
Mesmo como root na máquina cliente você teria que saber a senha do usuário
no servidor, e isto não tem como você saber.... É diferente fazer
su - rodrigo ( aqui preciso da senha do rodrigo e não tenho como
modificar )
e
sudo su - rodrigo (aqui não preciso de senhas).
> Outra coisa: colocando isso no sudo, é praticamente o mesmo que dar a senha de
> root ao usuário. Existe um admin tonto o suficiente pra dar tamanhos poderes
> ao usuário (exceto no kurumin ;-))?
Sim, o próprio usuário: a máquina é dele!!
>
>
> Desculpe, mas nao consigo parar de pensar numa analogia: se vc colocar uma
> senha vazia para o root, vc vai poder logar com totais poderes de admin apenas
> digitando 'root' e apertando enter duas vezes no login prompt!
> :-)
>
Não coloquei senha vazia de root, o sudo é que foi configurado para ser
NOPASSWD...
--
___ _ .''`.
| |_ _. _| _ |_) _ ._ ._ _. : :' :
| | |(_|(_|(/_|_| | (/_| || |(_| `. `'`
Linux User #50500 `-
Prof.Adjunto - Instituto de Física ---Debian-
Universidade Federal Fluminense Alpha/i386
Reply to: