rapture
28.09.2011 08:14 unknown
Вот интересно — судо на каждый пук требует пароль (ну да, кэширует его на н-минут). А в винде административные действия требуют только нажать кнопку (без пароля).
Интересно, как у них это реализовано (неужели через NOPASSWD?) и насколько это опаснее/безопаснее юниксового варианта?
40 comments
recommend
bookmark
subscribe
Ну не нравится — сделай судо без пароля.
И не работай из под рута под виндой — будет спрашивать пароль.
Вопрос еще раз читаем.
Еще раз говорю — у тебя в винде неправильное поведение. По умолчанию пароль она как раз требует.
В линуксе по умолчанию судо вообще нет.
Понимаешь, в линуксе есть возможность сделать и так, и эдак, а в винде господин дал единственный, наименее безопасный вариант.
Он про UAC, очевидно. Там паролей нет.
Если работать не из админской учетки — еще как есть
В семёрке ни разу не видел, юзер дефолтовый, не админский. Хотя хуй знает, может, это такой полуадмин.
Я в курсе, вопрос про реализацию и безопасность. Тут кто-то выкатывал програмку, которая, например, ишет из окошка судо вводимые символы. Вуаля — и у тебя уже рутовый пароль. В винде, например, такого бы не произошло.
В семерке такого нет. И вообще с момента появления я не ввидел в UAC ввода пароля.
В семерке же вообще права отдельно настраиваются. Там можно галочки выставить и спрашивать/не спрашивать пароль в зависимости от действия.
О_о
Да-да. Ты просто не умеешь её готовить.
Проще кейлоггер поставить. А у меня окошек судо нет, один только терминал. Но опять же, для установки кейлоггера, афаик, надо внедряться в процесс иксов, который работает (опа!) от рута. Т.е. юзером туда не попасть.
Да и при наличии мозга нафиг не надо. Троянов/кейлоггеров не приведешь — особых проблем не будет.
Там было выдавать/не выдавать запрос в зависимости от действий
Проще аппаратный кейлоггер присобачить :)
Ты же не проверяешь, куда у тебя воткнута клавиатура перед вводом пароля.
Ну почему сразу в иксы. Можно и вызовы на уровне библиотеки перехватывать.
А можно диапазон событий узнать? Потому что в окошке резон для разрешения выводится наиболее бредовый и неинформативный.
Там если пошарится в окошках по администрированию — можно накопать много интересного. Вообще, штука довольно гибкая, просто туда никто не лазит обычно.
Я так видел только 4 или 5 уровней запросов — от выдавать всегда до выключить. Оно.
Какой именно? Сам процесс sudo запускается от рута, только что проверил. Как предлагаешь в него внедриться?
Я предлагаю в kde/gksudo перехватывать вызовы библиотеки qt/gtk до отправки иксам.
Я ебал ваши гуйки, ты мне обесни про терминал urxvt+sudo.
Давай окошечки с окошечками сравнивать, да? :)
Ну можешь сравнивать их, но тогда уже сравнивай GNOME/KDE и сперму, а не линукс в целом. Если ты их обосрёшь, я не против. А то действительно, gksudo запускается от юзера, это провал, конечно.
Терминал сам, кстати, не от рута же работает?
Нет, конечно.
Ну тогда в чем проблема хитро изъебнуться и повесить какую-нибудь хуйню например, на функцию автодополнения?
Ну, это скучно, да и защита делается с помощью овладевания рутом ~/.zshrc или ~/.bashrc и установкой 444 прав на него. Нетехнично.
Ну тогда надо как-нибудь запуститься и dll^W process inject. Склейкой.
Для этого надо установить LD_PRELOAD, который по дефолту пустой и меняется только в /etc/environment для всех, либо в .zshrc, который у нас овладёван рутом и readonly. Штоделоц?
> Для этого надо установить LD_PRELOAD, который по дефолту пустой
Ну с этим уже делали как раз недавно :) :) :)
Зачем ldpreload элементарно приклеиваемся к любому файлу, который запускается от имени пользователя и хаваем судо — рут в кармане. Тут, конечно, еще пробиться надо (впарить файл). Интересно, как у опенбсдшников сделано...
Как ты прикрепишься к файлу, который в /usr/bin лежит? Туда ж только под рутом можно влезть. А блобы из интернетов никто не запускает, разве что пипиетарные игрушки, но это отдельный вопрос. Я их всё равно покупаю, так что тут вероятность запустить каку очень мала. И не забудь, что при сохранении файла любой качалкой он не имеет флага x, т.е. ДВОЙНЫМ КЛИКОМ ты его не запустишь, равно как и из терминала.
А, ну и есть такой прикольный флаг монтирования noexec, который можно повесить на /home раздел и вообще забыть о проблеме.
А можно подробнее про LD_PRELOAD, что там как делали? Я только про сперму читал, как там через .txt вирусы закидывали, но для спермы это всё равно типично, а про прыщи не видел.
чутка попозже на опеннее поищу
Наркоман штоле? Судо требует пароль пользователя.
Ну, у меня пароль на юзера тот же, что и на рута. Я вообще судо почти не использую, проще держать терминал с рутом на 3-м теге, всё равно периодически нужно, трафик там поглядеть или программку поставить.
Зависит от настроек.
rootpw If set, sudo will prompt for the root password instead
of the password of the invoking user. This flag is off
by default.
© man sudoers
Дефолты — великая вещь.