Ubuntu: nikdo nezná root heslo

DK

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #15 kdy: 16. 12. 2012, 22:47:13 »
protoze
Kód: [Vybrat]
sudo -izadavat heslo muzes tak jako tak... z hlediska bezpecnosti je lepsi pouzivat sudo (i kdyz ho taky v lasce nemam), minimalne je tam 15min limit, kdy heslo nemusis zadavat... zatimco kdyz budes prihlaseny jako root, defaultne tam zadny timer na odhlaseni neni


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Ubuntu: nikdo nezná root heslo
« Odpověď #16 kdy: 16. 12. 2012, 23:18:22 »
Jo, az budu spravovat servery FBI a kolem se budou plizit agenti Mossadu a KGB prevleceni za uklizecky a s revolverem v podvazku na chlupatych nohach, budu to tak nejak delat. Ale do te doby to nebudu prehanet a mam pocit, ze i tazateli slo o nejaky domaci pocitac, kde jedinym nebezpecim by bylo, ze by se prosel kocour po klavesnici a zrovna namackal nejak sikovne dd a bylo by.

Pali

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #17 kdy: 16. 12. 2012, 23:22:13 »
tu si nikto nespomina na vsetky tie bugy v sude, ktore boli objavene? Ani by som sa necudoval, keby sa v nom nasiel dalsi...

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #18 kdy: 16. 12. 2012, 23:33:52 »
z hlediska bezpecnosti je lepsi pouzivat sudo
To je pověra. Samo o sobě to žádnou bezpečnost navíc nepřináší, pokud má uživatel v sudoers práva ke všemu (ALL).

Že to odstraňuje možnost, že někdo odejde od nezamčeného počítače, kde je přihlášený jako root, to je spíš úsměvná historka, než argument ohledně bezpečnosti.

(nehodlám začínat tisícíprvní flejm o sudo, jen lehce popostrčit ty, kdo si jím ještě neprošli, aby se zamysleli nad tím, před jakými útoky je *opravdu* sudo chrání - a jaké útoky naopak nově otevírá)

KapitánRUM

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #19 kdy: 16. 12. 2012, 23:38:28 »
Jo, az budu spravovat servery FBI a kolem se budou plizit agenti Mossadu a KGB prevleceni za uklizecky a s revolverem v podvazku na chlupatych nohach, budu to tak nejak delat.

Omg...Přesně tak! Sudo = bylo snad původně vymyšleno jako StUpiDO tj. obezlička, jak blbcům umožnit udělat alespoň něco a přitom je nenechat napáchat žádnou větší paseku. Nevidím jediný důvod používat SUDO, když vím, co dělám.
Jistě, na serveru má smysl nedovolit přihlášení roota přímo třeba přes SSH, ale jinak je SUDO opravdu pro StUpiDOs (pro hlupáky).
I když ho budou hlupáci chválit, což je v pořádku. Totiž StUpiDO řadě hlupáků už opravdu zachránilo krk.
Nelze tedy říct, že metoda StUpiDO je v zásadě špatná, naopak je v zásadě dobrá, ale uvědomme si důvod, proč vznikla a to je nedovolit blbcům rozesrat systém ať už vlastní činností nebo spuštěním "ošklivého" programu. Co si budeme povídat, kdo má v dnešní době čas zkoumat každý program, jestli není náhodou "ošklivý", proto má smysl pracovat pod uživatelem, který nemá zrovna práva na všechno.
Ale za každou cenu někoho nutit do používání StUpiDO je přinejmenší ošklivé.

O vzniku Sudo/StUpiDO jsem slyšel kdysi na jedné konferenci a ruku do ohně za tu historku nedám, ale byla pěkná  ;D
Možná že není pravdivá, ale čím pitomější historku slyšíte, tím lépe si danou věc pamatujete včetně zdůvodnění, proč jí používat, čímž ta lež vlastně splnila svůj účel. Pokud by někdo řekl, že to je bla bla bla strohá fakta, pustíte to z hlavy, ale když Vám někdo začne vyprávět historku o tom, jak chtěl aby jeho pecko používal i jeho bratr (nebo blondýna), který občas tak nějak nevěděl, co dělá, tak vymyslel tohle, tak si to prostě pamatujete.


Re:Ubuntu: nikdo nezná root heslo
« Odpověď #20 kdy: 17. 12. 2012, 10:04:28 »
Já jsem myslel, že smyslem sudo je možnost provést rootovský úkol aniž bych musel někomu dávat heslo na roota. Když svůj účet kompromituje (třeba někomu prozradí své heslo), tak mu ten přístup jednoduše odeberu aniž bych přitom ovlivnil ostatní uživatele. Obecně si myslím, že není dobré sdílet jedno heslo vícero lidma a sudo mi umožňuje právě tomuto se vyhnout.

pavel

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #21 kdy: 17. 12. 2012, 10:52:24 »
Já třeba spouštím programy pomocí sudo ve skriptech, které spouštím v cronu.
V sudoers mám nastavené, kterou binárku mohu spouštět jako "běžný" uživatel - např. mount.cifs pro zálohovámí atd.
Myslím si, že je to lepší než spouštět celý skript pod uživatelem root.
Nepochopil jsem, proč by měl mít uživatel možnost spouštět cokoliv pod root přes sudo - to mu můžu dát rovnou účet root.

KapitánRUM

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #22 kdy: 17. 12. 2012, 10:59:06 »
Já jsem myslel, že smyslem sudo je možnost provést rootovský úkol aniž bych musel někomu dávat heslo na roota. Když svůj účet kompromituje (třeba někomu prozradí své heslo), tak mu ten přístup jednoduše odeberu aniž bych přitom ovlivnil ostatní uživatele. Obecně si myslím, že není dobré sdílet jedno heslo vícero lidma a sudo mi umožňuje právě tomuto se vyhnout.

Ale to se přeci nevylučuje a je to v naprostém pořádku, dokonce to i pasuje na tu historku o dvou bratrech.
Sudo je tedy IMHO dobrá věc.
Na druhou stranu, pro řadu úkolů prováděných kvalifikovaným správcem, může být příjemnější pracovat jako Root.
Jako správce sítě taky nebudeš dávat ani zkušenějším užívákům roota, ten je jen pro tebe ;D

Ale tohle zavání zbytečným flamem, na flame tu jsou už dvě jiná vlákna, v tom hlavním honíme 100 stránek blábolů a jsme u 94ky, takže vesele můžeme pokračovat tam  ;D

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #23 kdy: 17. 12. 2012, 11:10:08 »
Já jsem myslel, že smyslem sudo je možnost provést rootovský úkol aniž bych musel někomu dávat heslo na roota. Když svůj účet kompromituje (třeba někomu prozradí své heslo), tak mu ten přístup jednoduše odeberu aniž bych přitom ovlivnil ostatní uživatele. Obecně si myslím, že není dobré sdílet jedno heslo vícero lidma a sudo mi umožňuje právě tomuto se vyhnout.
No jiste, vsak jsem taky psal "pokud má uživatel v sudoers práva ke všemu (ALL).".

Pokud ma prava ALL, tak neni nic jednodussiho, nez si vytvorit dalsi uid 0 ucet, o kterym nevis, cili ho nezablokujes. Nebo vytvorit normalni uzivatelsky ucet a upravit sudoers. A to uz vubec nemluvim o nejakych backdoorech atd.

Proste samotne sudo je na nic. Beztak musi byt minimalne spojene s nejakym file-level IDS, jinak plati "jednou root, navzdy root".

Predstava, ze bezpecnost se dela tak, ze misto technologie X se nasadi technologie Y, je ta nejnebezepecnejsi vec, jaka muze byt.

KapitánRUM

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #24 kdy: 17. 12. 2012, 11:50:15 »
2 Mirek

Sudo samozřejmě není hlavní anti-hacker řešení, ale řešení proti poškození systému neodborným zásahem nebo programem co se zbláznil.

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #25 kdy: 17. 12. 2012, 11:52:44 »
Sudo samozřejmě není hlavní anti-hacker řešení, ale řešení proti poškození systému neodborným zásahem nebo programem co se zbláznil.
Proti preklepu nechrani. Ze clovek ma delat pod rootem jenom to, co je nezbytne nutne, to povazuju za samozrejmost. K tomu sudo nepotrebuju.

A proti zblaznenemu programu chrani (jakz takz) jenom pokud nema prava ALL.

KapitánRUM

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #26 kdy: 17. 12. 2012, 11:54:26 »
Tím chci říct, že to je pro "bezpečnost" (Žádný stupido=,,hlupák" ti prostě systém nezboří.) dobrá věc.
Některé činnosti dovolíš dělat i blbovi s tím, že ho poučíš, aby nic jiného než to a to nedělal, aniž by systém zbořil při běžné práci.


KapitánRUM

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #27 kdy: 17. 12. 2012, 11:57:59 »
Ze clovek ma delat pod rootem jenom to, co je nezbytne nutne, to povazuju za samozrejmost. K tomu sudo nepotrebuju.

Ty ne, ale když budeš dělat admina v nějaké firmě a bude tam pan Novák, který tomu tak trochu rozumí, protože umí nainstalovat Doom na Windows, tak mu třeba dáš tuhle možnost, aby občas něco udělala po telefonu, ale rozhodně mu nebudeš dávat přístup na roota. Je to zkrátka více "blbům-vzdorné řešení" (StUpiDO).

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #28 kdy: 17. 12. 2012, 11:59:09 »
ale když budeš dělat admina v nějaké firmě a bude tam pan Novák, který tomu tak trochu rozumí, protože umí nainstalovat Doom na Windows, tak mu třeba dáš tuhle možnost
Nedam ;)

KapitánRUM

Re:Ubuntu: nikdo nezná root heslo
« Odpověď #29 kdy: 17. 12. 2012, 12:08:15 »
Nedam ;)

 ;D ;D ;D
To je správný vojenský postup, ale nakonec zjistíš, že každý, kdo ti dokáže alespoň srozumitelně přečíst, co je na obrazovce, a který dokáže napsat ping 2001:718:2:850:250:8dff:fe49:a7b3 -t -l 5000, za méně jak 20 minut, je k nezaplacení ;D