maybe_elf27 фев в 09:47

В sudo-rs по умолчанию включили обратную связь при вводе пароля

2 мин

6.1K

Open source * Информационная безопасность * Интерфейсы * Linux * Настройка Linux *

Комментарии 15

в нынешнее время контейнеризации и временно живущих Linux машин в облаке, CICD и тд, утилиты su, sudo теряют смысл из-за их громоздкости.

они были созданы в другой эпохе, которая уже в прошлом.

сейчас мы пользуемся простыми утилитами типа suex, sush https://github.com/mobydeck/suex

HyperWin 27 фев в 17:45

"Мы" это кто?

arthurpro 27 фев в 17:58

мы - это те, кто в теме )) кто работает с Linux плотно не одно десятилетие

aamonster 28 фев в 00:34

Хм... Никому не известные (три звезды на гитхабе) самописные тулзы для задачи, связанной с безопасностью – серьёзная заявка на успех...

sudo уже 30 лет, и то проблемы находят.

arthurpro 28 фев в 01:53

да, друг, но не в звездах смысл. попробуй вникнуть в код и решение для начала. :D

aamonster 28 фев в 02:54

Недостаточно, чтобы вник я. Для такой ответственной задачи – надо, чтобы вникла куча народу. Нужен серьёзный аудит + проверка сообществом. Этого, очевидно, не было, иначе звёзды бы исчислялись сотнями и тысячами (ну блин, это же просто закладки, которые люди делают на проект... Пока он заинтересовал трёх человек).

arthurpro 2 мар в 16:03

В этом то и дело, уважаемый пользователь. Sudo не делает ничего особенного. Всё уже встроено в ядро, Sudo только обвешивает всё различными правилами через кофниг sudoers, который в наше время никому не нужен ни в облаке, ни в контейнерах.

В Unix/Linux есть специальный бит прав setuid/setgid, его называют спец-бит на исполнение.Если он установлен у исполняемого файла, то программа запускается с effective UID/GID владельца файла, а не пользователя, который её запустил. Например, setuid-root позволяет обычному пользователю выполнить программу с правами root (только в рамках этого процесса), как это делает passwd.

aamonster 2 мар в 16:06

Знаю. Итого, вы написали некие программы, которые исполняются с правами рута и могут запускать с теми же правами другие процессы. Вам не кажется, что такая программа требует серьёзного аудита, а не тремя заинтересовавшимися пользователями с гитхаба?

arthurpro 2 мар в 19:50

suex/sush были написаны из необходимости для конкретного проекта и существующих процессов в действующей инфраструктуре потому что все имеющиеся решения это не совсем то "пальто", которое нужно на сегодняшний день для решения простых задач, а не ради каких-то "звезд".

проект лежит на гитхабе только потому что так удобнее.

вот, почитайте что такое sudo и как оно работает https://habr.com/ru/articles/1005738/

aamonster 2 мар в 20:24

Повторяю, я в курсе.

Свои велосипеды – это в пределах нормы (хотя для таких вещей их всё равно надо проверять многократно и очень тщательно). Не надо только их выдавать за что-то, пришедшее на смену проверенным инструментам, пока они тоже не пройдут соответствующую проверку.

А количество звёзд и (что ещё важнее) форков – возможность грубо оценить, сколько человек вообще просмотрело код.

arthurpro 2 мар в 21:32

так что там проверять, когда основная часть логики заключается в пяти строчках кода )) это не высшая математика, а базовый функционал Linux систем

Rubilnik 27 фев в 16:55

А при входе в систему и авторизации по ssh все так же без звёздочек? Какой в этом сокральный смысл вообще?!

vasyash 1 мар в 12:31

Потому что это sudo-rs, а не ssh-rs / login-rs))

rikert 28 фев в 17:10

Если написано на раст то обзятельно "решает серьёзную проблему пользовательского интерфейса". На сях это было не решить. А вообще если пользователя это настолько коробит, что проблема отсутствия звездочек для него серьезная то скорее всего ему нельзя использовать sudo.

Zoolander 5 мар в 17:58

Обьясните почему звездочки ухудшают, а собственно набор - то есть нажатие клавиш не ухудшает? Я хочу сказать, в чем смысл? Если кто-то стоит рядом, чтобы считать звездочки - он тем более сможет увидеть нажатия клавиш.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий