Проблемы безопасности? [РЕШЕНО]
lordalexx 27 декабря, 2009 - 12:52
Доброго времени суток, уважаемые дамы и господа!
На днях обнаружил интересный эффект команды sudo. О бо всем по порядку.
1. Вхожу в систему и выполняю через sudo команду reboot. Sudo запрашивает пароль и нормально отрабатывает. Машина перезагружается.
2. Повторно вхожу в систему и выполняю через sudo любую команду. Команда выполняется БЕЗ запроса пароля!!!
Я понимаю, что sudo некоторое время держит сессию (не знаю, как сказать лучше) и позволяет некоторое время выполнять команды без повторного ввода пароля. Однако, всегда думал, что перезагрузка должна отменять эффект!
Заранее благодарю за участие!
P.S. Может это глюк какой?
»
- Для комментирования войдите или зарегистрируйтесь
Используется пакет sudo или
Используется пакет sudo или ksudoku? (Консоль или DE)
В kde4 можно от пользователя перезагрузить машину не смотря на то что root выполнил вход в систему в консоли. Я запретил пользователям выключать и перезагружать машины из диалогов kde. Пока подобной ситуации не наблюдал. Кстати, пользователь, под которым сие наблюдается входит в группу wheel?
буду честен, я не знаю, почему у меня все работает
сначала вам надо прочитать
сначала вам надо прочитать
man sudo
!!! потому что вы понятия не имеете как оно работает!!! в файле sudoers четко прописывается какие команды какому пользователю с какой машины можно выполнять от рута с паролем или без... само собой, что выключение машины может испортить работу других пользователей, вот и требуется пароль рута...lordalexx написал(а): 2.
Вопрос изначально ставился о другом эффекте, то что из kde можно выключить машину игнорируя вошедших пользователей не секрет, так как kdm запускается с повышенными правами по умолчанию, соответственно либо запретить выключать комп пользователям посредством того же kdm либо грузить DE от имени обычного пользователя. Вот почему после перезагрузки использовавшийся пароль остается в системе то это вопрос.
буду честен, я не знаю, почему у меня все работает
mib написал(а): Вопрос
у меня kdm всегда спрашивает перезагружать ли ему комп, если кто-то еще залогнен... проверка проста: Ctrl+Alt+F[1-7] и логинимся под кем-нибдуть... потом пробуем выключить/перезагрузить комп и увидим сам запрос о других пользователях...
ЕМНИП, это всего лишь поведение по умолчанию, а настроить все это наверняка можно в kdmrc...
Theli написал(а): ЕМНИП, это
Да, это там и настраивается, я и хотел уточнить в графике сей эффект либо в командном интерпретаторе. А что в качестве оболочки - bash?
Прогони на всякий случай chkrootkit
sudo howtoo
буду честен, я не знаю, почему у меня все работает
sudo никаких сессий не
sudo никаких сессий не держит, ты чтонить настраивал в конфиге его?
Не то
Господа и дамы!
Вы меня не поняли немного!
Речь не идет о какой-либо графической оболочке! Говорилось только о работе в консоли!!! (У меня, вообще то Gnome, но эти вещи я творил из терминала). Единственные изменения, которые касаются настройки sudo - пользователь группы wheel может выполнить через sudo любую команду.
Вопрос в том, что после перезагрузки, очень быстрой перезагрузки, sudo не запрашивает пароль!!!
Относительно недавно
Относительно недавно натыкался на подобный прикол.
http://www.gentoo.ru/node/17411
«Решил» простой переустановкой sudo. В причине проблемы разбираться не стал — ибо ломало.
emerge --unmerge sudo
emerge -uD sudo
emacs — отличная операционка которой не хватает только хорошего текстового редактора.
Читаем ман
Once a user has been authenticated, a timestamp is updated and the user may then use sudo without a password for a short period of time (5 minutes unless overridden in sudoers).
sudo не держит сессию, а просто обновляет таймстамп, с которым каждый сверяется, и, если время с прошлого логина с пассвордом меньше пяти минут, то он не просит повторного введения пароля. Логично, что после перезагрузки с таймстампом ничего не происходит, и поэтому пароль не требуется. А вот про то, где лежат таймстампы:
sudo will check the ownership of its timestamp directory (/var/run/sudo by default) and ignore the directory's contents if it is not owned by root or if it is writable by a user other than root.
Если вы хотите, чтобы после перезагрузки таймстампа не было, поставьте вместо /var/run/sudo что-то типа /tmp/sudo или тому подобное, главное, чтобы эта папка очищалась при (пере)загрузке.
P.S. прочитайте внимательно секцию
SECURITY NOTES
из мана, там про это подробнее написано. А именно, права на директорию с таймстампами должны быть рутовские.Ubuntu is an African Word that means "Gentoo is too hard for me"
Спасибо за прояснение.
Спасибо за прояснение.
Текстовый редактор vi имеет два режима работы: в первом он пищит, а во втором — всё портит.