| 1.1, Аноним (1), 12:11, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –30 +/– | |
04/01/2025: Vulnerability report sent to Todd Miller (Sudo maintainer).
07.05.2025 В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust https://opennet.ru/63197-ubuntu
В Ubuntu оказывается неспроста начали менять sudo на sudo-rs.
| | |
| |
| 2.3, Аноним (3), 12:13, 01/07/2025 [^] [^^] [^^^] [ответить]
| –14 +/– |
В целом логичный шаг после замены дыряшечных coreutils, но да, забавно.
| | |
| |
| 3.18, Alexey (??), 12:53, 01/07/2025 [^] [^^] [^^^] [ответить]
| +36 +/– |
Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, никакой язык программирования от этого не спасёт
| | |
| |
| 4.31, Аноним (31), 13:37, 01/07/2025 [^] [^^] [^^^] [ответить]
| –13 +/– |
Сишники выдохнули с облегчением: наконец-то уязвимость, которая не вызвана некорректной работой с памятью! И раст объявляется автоматически плохим, потому что "именно от этой уязвимости бы не спас". Вот такой вот полет сишной мысли.
| | |
| |
| 5.35, Aliech (ok), 13:50, 01/07/2025 [^] [^^] [^^^] [ответить]
| +19 +/– |
 Комментатор на opennet пишет:
> Да, тут никаких переполнений буфера, use-after-free итп нет, ошибка логическая, никакой язык программирования от этого не спасёт
и тут же прибегает хрусто-фанатик, жалуйющийся на каких-то сишников, который теперь выдыхают слишком свободно:
> Сишники выдохнули с облегчением: наконец-то уязвимость, которая не вызвана некорректной работой с памятью! И раст объявляется автоматически плохим, потому что "именно от этой уязвимости бы не спас". Вот такой вот полет сишной мысли.
Анон совсем не сектант, видящий везде атаку на своё божество, единственно верный ЯП rust, да... Не сектант!
| | |
| |
| 6.148, Омномноном (?), 00:53, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это платные. У них набор нарративов. Стройность нарратива - не метрика. Количество - метрика.
| | |
| 6.168, Аноним (168), 09:50, 02/07/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Разумеется в мире только два языка c c и rust Ни ocaml, ни go, ни haskell, ни... большой текст свёрнут, показать | | |
| 6.172, Илья (??), 09:58, 02/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> хрусто-фанатик
Не вижу в его словах ничего связанного с хрустом. Он точно фанатик?
| | |
|
|
| 4.43, Аноним (43), 14:27, 01/07/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Здесь использование юниксового легаси говна nsswitch, есть большая вероятность что в новом софте такая дрянь не будет поддерживаться и проблемы не будет.
| | |
| 4.169, Соль земли2 (?), 09:53, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Очень даже может спасти. Rust прививает хорошие практики программирования. Отсюда и логику проще увидеть. Я бы ещё функциональщину рассмотрел, Haskell там...
| | |
| |
| 5.213, олег (?), 08:37, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да ты насмешил. Ты видел код на расте, его синтакасис? Человек, у которого привиты хорошие практики, на расте писать не будет. Без обид. Это база.
| | |
| |
| 6.219, Соль земли2 (?), 09:49, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да, видел код. Мне понравилось. Никто не приводил на opennet примера, поэтому предположу, что им "рыбки" не понравились. А вообще там столько сахара и других удобств, что синтаксис простителен.
| | |
|
|
| 4.194, laindono (ok), 18:43, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
 С другой стороны, если какой-то класс ошибок полностью предотвращён, остаётся больше времени для поиска и предотвращения ошибок из других классов. Помимо этого наличие встроенного мощного анализатора и прочей инфраструктуры так же помогает в отлавливании ошибок. Даже такие штуки, как единый стиль форматирования кода, вносят свою лепту.
Так что при сравнимых трудозатратах, код на Rust будет содержать меньше логических ошибок. Возможно на языках вроде Haskell в этом плане ситуация ещё лучше, там нужно быть аутистом высшего порядка, что в свою очередь является порогом входа. Это работает и в другую сторону. Языки вроде JavaScript в среднем содержат большее число логических ошибок и для подобных языков обязательно нужны средства вроде сборки мусора. Среднее качество этих программистов ниже и вероятность, с которой они начнут портить память, стремится к единице.
| | |
|
| 3.127, morphe (?), 22:19, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Мудро то оно может и да, но похоже что этот вид багов
> вполне можно и на rust допустить
Не правда, по мнению opennetовцев Rust не умеет динамическую линковку, а тут баг как раз с ней
Шах и мат, эксперты.
| | |
| |
| 4.178, ptr (ok), 10:59, 02/07/2025 [^] [^^] [^^^] [ответить] | +/– |  Во-первых, у Rust нет стабильного ABI, что требует при его использовании переком... большой текст свёрнут, показать | | |
| |
| 5.181, Аноним (168), 12:04, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>и всех установленных в ней приложений при выходе новой версии компилятора, что на практике не реализуемо.
Более чем реализуемо. Но разумеется не в допотопных арчах и дебианах.
| | |
| |
| 6.185, ptr (ok), 13:29, 02/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ну да. Я слышал о гентушниках, пересобиравших мир с LibreOffice, KDE и т.п. по несколько суток. Естественно, обычны были ситуации, когда оно просто так не собиралось. Сколько процентов таких пользователей?
И точно знаю, что больше половины населения планеты скачивать по сотне гигабайт кем-то пересобранных всех своих приложений с системой каждые три месяца позволить себе не могут. Это не считая того, что подавляющее большинство поставщиков программного обеспечения, включая компьютерные игры, пересобирать и распространять свои продукты бесплатно не станут. Особенно с учетом того, что переход на новую версию Rust компилятора и stdlib часто приводит к необходимости правки кода.
| | |
| |
| 7.201, Аноним (168), 21:16, 02/07/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Бинарный кеш изобретён Это кто Даже если пересобирать буквально весь софт, сот... большой текст свёрнут, показать | | |
| |
| 8.205, ptr (ok), 22:28, 02/07/2025 [^] [^^] [^^^] [ответить] | +/– | И чем он поможет, если необходима полная перекомпиляция Это те 5 миллиардов на... большой текст свёрнут, показать | | |
| |
| 9.207, Аноним (168), 00:16, 03/07/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Это может быть проблемой только для тех, кто поддерживает бинарный кеш, но не дл... большой текст свёрнут, показать | | |
| |
| 10.211, ptr (ok), 00:46, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | Спасибо, что доказали, что Вы демогог или слишком глупы, что отличить 5 от 100 ... текст свёрнут, показать | | |
|
|
|
|
|
| 5.191, morphe (?), 17:29, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Во-вторых, даже в случае Rust ABI, в его текущем виде, при динамическом связывании нет поддержки дженериков.
И как ты это видишь?
Есть библиотека:
pub fn print_smth<T: Display>(value: &T) {
println!("{value}");
}
pub fn init() {
print_smth("The library has been initialized");
}
Библиотеку собрали, print_smth для нужд библиотеки мономорфизировало для &str
Внешний пользователь хочет передать в этот метод u32
Вопрос - откуда в этой библиотеке возьмётся мономорфизация print_smth для u32?
| | |
| |
| 6.202, ptr (ok), 21:21, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> И как ты это видишь?
Для начала нужна хотя бы поддержка RTTI в ABI. И речь далеко не только о POD типах.
В Rust сейчас нет способа указать, для каких типов должен быть скомпилирован код в динамически загружаемой библиотеке. И нет встроенных средств рефлексии, чтобы во время выполнения выяснить, какие типы поддерживаются в динамически загружаемой библиотеки. Крейт rtti в данном случае лишь костыль.
| | |
| |
| 7.203, morphe (?), 21:35, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Для начала нужна хотя бы поддержка RTTI в ABI. И речь далеко
> не только о POD типах.
Ну допустим для динамической диспатчеризации добавят RTTI (Хотя для Rust это и не нужно, у тебя же нет иеархии классов)
Что делать со статической? И какое это отношение имеет к генерик типам (шаблонам в случае плюсов)?
| | |
| |
| 8.206, ptr (ok), 23:15, 02/07/2025 [^] [^^] [^^^] [ответить] | +/– | Но есть виртуальные таблицы и дженерики Отсюда и этот костыль https docs rs r... текст свёрнут, показать | | |
| |
| |
| 10.218, ptr (ok), 09:45, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | В текущей реализации Перечитайте И то, с чего начиналось Опять у Вас проблемы... текст свёрнут, показать | | |
| |
| |
| 12.236, ptr (ok), 18:14, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | Вот именно Поэтому отказ от дженериков при динамическом связывание на решение п... текст свёрнут, показать | | |
|
|
|
| |
| 10.220, ptr (ok), 10:07, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | Эти вопросы подняты тут https github com rust-lang rust issues 111423 crabi да... текст свёрнут, показать | | |
| |
| |
| 12.235, ptr (ok), 17:55, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | А Вы всё же постарайтесь не быть чукчей-писателем и почитать то, что написано по... большой текст свёрнут, показать | | |
| |
| 13.244, morphe (?), 23:36, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | Вообще не решает, всё что добавляет crabi вполне решается и другими средствами П... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
| 2.7, IdeaFix (ok), 12:23, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Тут программист не в звездочках заблудился а в слешах. Это пофиксят в NGR (NextGenRust), пока же раст как обычно бессилен. Программист победил.
| | |
| |
| 3.58, нах. (?), 15:56, 01/07/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Все в порядке, он не такой же.
Авторы заявляли что конечной их целью является поддержка дефолтного конфига популярных дистрибутивов.
А там root = (ALL) ALL
и больше ничего нет.
| | |
| |
| |
| 5.78, нах. (?), 17:27, 01/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А они и не спят!
(и да, удивительно уродский синтаксис, при том что синтаксис конфига это единственное достоинство как раз sudo, и даже описание его есть в виде, готовом к скармливанию в транслятор. Но нет, надо было вот то череззадничное нечитаемое в принципе притащить.)
| | |
| |
| 6.154, User (??), 07:28, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А они и не спят!
> (и да, удивительно уродский синтаксис, при том что синтаксис конфига это единственное
> достоинство как раз sudo, и даже описание его есть в виде,
> готовом к скармливанию в транслятор. Но нет, надо было вот то
> череззадничное нечитаемое в принципе притащить.)
Не, ну если (В след за авторами) предполагать, что правил у тебя будет - ну вот ДВА (И те - дефолтные) - то жить наверное можно; а вот портянка этого вперемешку - боль, конечно. Еще и нет возможности из conf.d правила заинклудить ансибляторам на радость, ага.
Хотя - кто крупный haproxy крутил - такого не боится ).
| | |
|
|
|
|
| 2.14, Аноним (14), 12:46, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Одно с другим не связано. Здесь логическая ошибка. Rust никаким образом здесь не помог бы.
| | |
| 2.16, Andrey (??), 12:47, 01/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Этот баг вызван не ошибкой в работе с памятью. Тут rust никак не помог бы.
| | |
| 2.118, Аноним (116), 20:53, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> В Ubuntu оказывается неспроста начали менять sudo на sudo
Тут раст не причём. Вообще не по делу комментарий
| | |
| 2.214, олег (?), 08:38, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Блин, ну ты новость-то почитай прежде чем комментарии писать, тролль.
| | |
|
| |
| 2.9, IMBird (ok), 12:25, 01/07/2025 [^] [^^] [^^^] [ответить]
| +11 +/– |
 Да, doas рулит, а для рядовых задач и вовсе хватает su.
| | |
| |
| 3.155, User (??), 07:40, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Да, doas рулит, а для рядовых задач и вовсе хватает su.
Как бы это сказать... su _принципиально_ не подходит для задач, отличных от "однопользовательских локалхостов" по причине невозможности гранулярного управления полномочиями и отсутствию какого-либо вменяемого аудита.
doas в этом плане несколько лучше - но малопригодный для автоматизированной работы синтаксис или хотя бы отсутствие возможности заинклудить свои правила из отдельного файлика в conf.d изрядно портят впечатления.
| | |
|
| 2.89, Мимокрокодил (?), 18:14, 01/07/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Их мудрость в том, что вышеупомянутый косяк sudo изначально в опене не работает в виду отсутствия условий для этого :)
| | |
|
| 1.5, Аноним (5), 12:17, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Это настолько феерично, что я никогда в жизни не поверю, что это не закладка.
| | |
| |
| 2.26, asd (??), 13:12, 01/07/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Поражает воображение, насколько ВСЁ дырявое..
Так что согласен про закладки. Иначе, нужно быть полными лохами, чтобы за столько десятилетий не закрыть их все, раз уж пишешь этот софт с умным.
| | |
| 2.34, fidoman (ok), 13:46, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Не факт. Это скорее следствие так называемой "bazaar" методологии разработки. Вместо того, чтобы пользоваться системными либами, оно само тупо лезет в этот файл. А поскольку это, как водится, делается "напролом" - вот и косяки прут косяками.
| | |
| |
| 3.74, Аноним (74), 17:12, 01/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
И ещё отсутствия достаточного количества юнит-тестов (не тестов всей программы). На языках типа C/C++ это делается сложнее чем языках без управления памяти. А значит часто забивают.
| | |
| |
| 4.125, Аноним (125), 21:55, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> На языках типа C/C++ это делается сложнее чем языках без управления памяти.
Абсолютная глупость.
| | |
|
|
| 2.140, name (??), 23:37, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Скажу наивность - microsoft давно владеет sudo. Нынешний разработчик, Todd C Miller, является иноагентом ^W^W давно понял в чем суть опенсорца и получает финансирование от мелкомягких. Причем опенбсдшники это давно поняли и выкатили doas. Тут закладка, тут не ошибка.
| | |
| |
| 3.156, User (??), 07:43, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Скажу наивность - microsoft давно владеет sudo. Нынешний разработчик, Todd C Miller,
> является иноагентом ^W^W давно понял в чем суть опенсорца и получает
> финансирование от мелкомягких. Причем опенбсдшники это давно поняли и выкатили doas.
> Тут закладка, тут не ошибка.
"I also work on OpenBSD"(С), ога. Ох, это другое!
| | |
|
|
| 1.6, birdie (ok), 12:17, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Уязвимость - жуть.
Только что проверил полностью пропатченную Fedora 42:
./pown.sh
woot!
[root@zen /]# id
uid=0(root) gid=0(root) groups=0(root),39(video),63(audio),1010(testuser) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Жаль, нет такой для Android.
| | |
| |
| 2.10, Аноним (10), 12:29, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Любая админ утилита вообще это шкатулка-разгадайка. Можно напхать туда "ребусов" как такой условный пароль до рут данной утилиты и эксплуатировать для себя.
| | |
| 2.17, Аноним (17), 12:50, 01/07/2025 [^] [^^] [^^^] [ответить]
| –4 +/– |
>./pown.sh
>woot!
>[root@zen /]# id
Я так понимаю, что root создается внутри чрута woot, в котором (сюрприз!) необходимо иметь права записи и удаления. Т.е. для поднятия привелегий требуется уже иметь их.
Как обычно очередной академический "сферический конь".
| | |
| |
| 3.53, Аноним (53), 15:21, 01/07/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
chroot - это всё равно, что папку через cd сменить, он рута не изолирует от ресурсов системы от слова совсем. После чрута в пустую папку (только с нужными файликами для взлома жепы), делаете mount -t devfs devfs /dev и получаете доступ ко всем девайсам подключенным к системе.
| | |
| |
| 4.69, Аноним (17), 16:50, 01/07/2025 [^] [^^] [^^^] [ответить]
| –4 +/– | |
>После чрута в пустую папку ... делаете mount
Ты хоть понимаешь, что такое chroot? Откуда в пустой папке возмется mount?
В школу, за парту.
| | |
| |
| 5.100, пох. (?), 19:13, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
>>После чрута в пустую папку ... делаете mount
> Ты хоть понимаешь, что такое chroot? Откуда в пустой папке возмется mount?
ну так положи его туда!
За чем дело стало?
| | |
|
| 4.93, Аноним (93), 18:50, 01/07/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Сам то пробовал этот скрипт?
Я вот попробовал, и у меня корневая директория доступна под рутом
| | |
| |
| 5.122, Аноним (121), 21:05, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Потому что chroot не сработал, но root выполнил зловред из папки доступной для записи пользователю.
| | |
| |
| 6.149, Аноним (93), 01:13, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
И к чему это? Мне пофиг как сработает, рут появился в руте. Изначально вопрос был chroot, который я вообще не заметил в скрипте
| | |
| |
| 7.157, User (??), 07:45, 02/07/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
> И к чему это? Мне пофиг как сработает, рут появился в руте.
> Изначально вопрос был chroot, который я вообще не заметил в скрипте
"Молчи, смерд! Мы обсуждаем идеального, метафизического таракана!"(С)
Коллеги, так сколько там лап у животного? Аристотель писал, что 8...
| | |
| 7.229, нах. (?), 13:37, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Изначально вопрос был chroot, который я вообще не заметил в скрипте
а он там - есть.
(chroot не меняет cwd. Учитывая что этот дятел забыл про nsswitch - он наверное и про это тоже забыл. )
| | |
|
|
|
|
|
|
| 1.8, Аноним (10), 12:25, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Сколько не обновляйся все равно пользователя, извиняюсь за выражение, отымеют
| | |
| 1.15, Аноним (-), 12:46, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
> позволяющая любому непривилегированному пользователю выполнить код с правами root
Ты должен был бороться со злом, а не примкнуть к нему!.. (c)
Впрочем ничего нового)
В ляликсе уже сколько утилит и разных способов, а вот и ныне тем.
| | |
| |
| 2.24, Аноним (10), 13:06, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Есть примеры, где через подобные "уязвимости" своровали данные/навредили инфраструктуре.
Не в сферическом вакууме это все не работает. Т.е. в реальном мире никто не будет локально прописывать ребусы, чтобы завладеть своим же серваком))
Это все уже давно устарело.. а данные копятся уже в облачных хранилищах, где манипуляции с вашими данными никак не зависят. есть ли какой то эксплоит или нет.
Т.е. те же облачные сервисы это удаленная ОС. А на локальный корень Вашего ПК им абсолютно равнодушно.
| | |
| |
| 3.67, User (??), 16:39, 01/07/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну вот есть такой kernel.org, ага. Там с годик назад выяснилось, что вот на Самом Главном Сервере через интерактивный ssh тусовалось 100500 дiдов и у пары из них вот ключики того-с. Утекали-с.
| | |
| |
| 4.158, 0xdeadbee (-), 07:54, 02/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
если ключи были не беспарольные и пароль не похож на словарный, то можно плюнуть.
| | |
|
|
|
| 1.22, Аноним (22), 13:01, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
/etc/os-release:VERSION="24.04.2 LTS (Noble Numbat)"
sudo 1.9.15p5-3ubuntu5.24.04.1 amd64
...
sudo: you are not permitted to use the -R option with woot
...
сп#здели
| | |
| |
| 2.225, RM (ok), 12:35, 03/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 за тебя просто Убунту все уже сделала.
Зоркий глаз и не заметил, что у него автоапдейт включен и новый пакет уже сам приехал.
| | |
|
| 1.27, ё (?), 13:15, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Так я не понял, если пользователя упомянуть в sudoers то он и так получает root. А без упоминания sudo, из под этого пользователя, запустить не получится?
| | |
| |
| 2.30, Владимир (??), 13:31, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Нет. Он может быть упомянут в sudoers для выполнения одной единственной команды, а не для root доступа.
| | |
| 2.108, Аноним (121), 20:13, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Читайте внимательнее. Это другая уязвимость - заодно исправленная.
| | |
|
| |
| 2.109, Аноним (121), 20:17, 01/07/2025 [^] [^^] [^^^] [ответить]
| –4 +/– |
Там много других - ещё не выявленных. Сложнее компилятор - больше непредсказуемости. Ассемблерный листинг программ, написанных на Rust читать, анализировать, проверять намного сложнее. чем GCC.
| | |
| |
| 3.119, Аноним (121), 20:54, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вдобавок, могу привести такой тезис: Зачем Вы показываете мне этот открытый код, если за компилятор стоит непонятный backend?
| | |
|
|
| |
| 2.40, Аноним (33), 14:15, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Приближается к run1. А дальше синхронизация с нумерацией версий systemd.
| | |
| 2.73, vlad1.96 (ok), 17:10, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Уже давно везде внедрён. Правда создавали её в первую очередь для systemd-run, а не для прямого использования
| | |
| |
| 3.111, morphe (?), 20:18, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты что-то путаешь, потому что run0 это как раз обёртка над systemd-run с интеграцией polkit для поднятия привилегий, и она предназначена для людей (она даже tty в красный перекрашивает)
| | |
| |
| 4.159, Анониматор (?), 07:57, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
первую же мою попытку применения run0 dnf на последнем 10 клоне красношляпы пресёк selunux.
| | |
| |
| 5.197, morphe (?), 20:15, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> первую же мою попытку применения run0 dnf на последнем 10 клоне красношляпы
> пресёк selunux.
Значит политики неправильные. Для run0 даже правила не нужны особо сложные, потому что это не suid, и работает он намного проще с точки зрения безопасности
| | |
| |
| 6.231, Аноним (231), 14:04, 03/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Конечно, проще. Что же может быть проще, чем правило "разреши этому бинарнику ВСЁ".
| | |
| |
| 7.233, morphe (?), 17:39, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Конечно, проще. Что же может быть проще, чем правило "разреши этому бинарнику
> ВСЁ".
run0 по dbus идёт в systemd и форвардит запросы polkit
Он не занимается повышением привилегий, он через systemd создаёт отдельный pty в отдельном сервисе и форвардит его тебе
| | |
| |
| 8.237, Аноним (237), 19:23, 03/07/2025 [^] [^^] [^^^] [ответить] | +/– | А я где-то утверждал обратное У которого в правилах разрешить можно только всё ... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.36, Аноним (36), 13:50, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Жесть, детская уязвимость которую может эксплойтнуть любой школьник и поставляется со всеми серверами мира. Расчехлили еще один бэкдор красношляпы.
| | |
| |
| 2.63, 1 (??), 16:25, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это с какими "всеми" ? В дебиане такого нет ! Да и во фряхе тожеж.
| | |
| |
| 3.82, нах. (?), 17:46, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Супергерой,спасающий мир от свежего софта, опять успел вовремя?
(в целом, конечно, для sudo НУЖЕН такой супергерой)
| | |
|
| 2.112, Аноним (121), 20:19, 01/07/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да уж знатный фейл. Запускать что-то с привилегиями root не из соответствующих каталогов.
Где были эти "миллионы глаз"?
| | |
|
| 1.37, Аноним (-), 13:51, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не первая ошибка, только... никто от sudo не отказался после прошлой ошибки. Как-то не удобно. До сих пор есть множество сценариев и рекомендаций использовать sudo вместо su. И я пока особо не видел где-то сценариев для настройки/установки чего-либо где бы sudo заменили на run0 или sudo-rs. Впрочем алиас никогда не поздно сделать.
| | |
| |
| 2.91, нах. (?), 18:37, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Не первая ошибка, только... никто от sudo не отказался после прошлой ошибки.
Ну я начал планомерно выпиливать после sudoedit.
К сожалению, на мультиюзерных хостах от него не получится отказаться. А площадь атаки уменьшить стоит. Поэтому вероятно таки придется везде ставить самодельный пакет с минимумом включенных при сборке вреднофич.
> Впрочем алиас никогда не поздно сделать.
неработающий. Потому что обе под[д]елки несовместимы ни по синтаксису, ни по возможностям.
| | |
| |
| 3.238, Аноним (237), 19:31, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну я начал планомерно выпиливать после sudoedit.
Правильно, даёшь паникёрство! С проверенных программ с исправленными уязвимостями все срочно переходим на неуловимых джо с неисправленными/ненайденными уязвимостями.
А для редактирования конфигов ничего лучше Visual Studio из-под рута ещё не придумали.
| | |
| |
| 4.240, нах. (?), 20:42, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> С проверенных программ с исправленными уязвимостями
чо? Вот тебе свежайшая уязвимость - от проверенно безнадежно дырявой программы.
А там где у меня (после очередного напоминания что она дырява) ее не осталось - нет никакой уязвимости. Сечешь разницу?
| | |
|
|
| 2.113, Аноним (121), 20:23, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Принцип - зачем использовать дополнительно потенциально уязвимое ПО, если можно обойтись без него.
| | |
| 2.134, Аноним (-), 23:03, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> я пока особо не видел где-то сценариев для настройки/установки чего-либо где бы sudo заменили на run0 или sudo-rs.
Я сейчас раскрою тебе секрет. Только ты никому не говори. Если ты сделаешь su, перед началом сценария, а потом из всех команд сценария удалишь sudo, то всё просто магически сработает.
| | |
|
| |
| 2.50, Аноним (50), 15:14, 01/07/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Всего лишь следствие капитализма и корпоративизации отрасли. Изначально айти была академической, но слишком молодой, чтобы выработать лучшие практики. Сейчас же лучшие практики есть, но в угоду kpi и прочей дряни, что на качество кода забивают.
Иными словами, принцип неопределенности: либо медленно и качественно, либо быстро и плохо.
| | |
| |
| 3.83, Аноним (83), 17:47, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Сейчас же лучшие практики есть
Можно парочку ссылок того, что вы считаете лучшими практиками? А то я столько споров видел, когда обе стороны считали, что именно их практика - лучшая. А по факту просто способ сидеть и 90% времени тратить на рефакторинг, по сути сводящийся к "мне так читабельнее, а кто против - неправ".
| | |
| |
| 4.128, Аноним (125), 22:20, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это где-то нет стандарта кодирования? В котором все и прописывается, а кто не соответствует - депремируется и правит код...
| | |
| |
| 5.177, Аноним (177), 10:52, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
В смысле "где-то нет"? Речь же шла не о случайных стандартах кодирования, которые, да, есть везде. И везде свои. Речь шла о "лучших практиках". Лучшие - они для всех одинаковые. И вероятно, хотя бы с минимальной аргументацией "лучшести".
| | |
|
|
|
| |
| |
| 4.95, нах. (?), 18:54, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
да, я тоже хотел написать - экзамены же ж в школах.
Если б университет - наоборот, было бы экстенсивное развитие, чуваку ж надо на собеседованиях показать свой шитхаб.
Ну ладно, может поступит куда и сделает из него курсовик.
| | |
|
| 3.137, Витюшка (?), 23:26, 01/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
This project was initiated by IRIT and sponsored by both IRIT and Airbus PROTECT through an industrial PhD during 2022 and 2025
IRIT Computer Science Research Institute of Toulouse
Финансирование/грант/PhD закончился.
Но насколько я помню там всё сделано (3.0.0 версия).
| | |
| |
| 4.193, пох. (?), 17:31, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
А, от оно чего. Про phd-то я и не подумал.
> Но насколько я помню там всё сделано (3.0.0 версия).
вот это я понимаю, как стонхендж - на тысячелетия.
Не то что этот Тодд, каждые пол-года что-то доделывает.
(это вот все потому что он кандидатскую не написал!)
| | |
|
|
|
| 1.49, Аноним (-), 15:14, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> любому непривилегированному пользователю выполнить код с правами root,
> даже если пользователь не упомянут в конфигурации sudoers
Ну спасибо убунта, при том это уже не в первый раз. То им sudoedit какой-то спичил - и тоже рута всем раздавал, теперь это.
| | |
| 1.59, нах. (?), 16:09, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
sudo: invalid option -- 'R'
по-видимому это ненужное-ненужно добавлено только в распоследних убунтах. И вероятно надо его выпилить отовсюду вместе с -h
| | |
| 1.62, Александр (??), 16:22, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А знаете, в чём причина вот таких косяков?
А причина - нарушение "Unix way", когда разрабатываются простые утилиты для простых задач. Изначально sudo разрабатывалась как простая утилита, но потом под тяжестью фич стала совершенно непростой
| | |
| |
| 2.64, 1 (??), 16:28, 01/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это цена эволюции ... Вспомни динозавров.
| | |
| 2.75, нах. (?), 17:21, 01/07/2025 [^] [^^] [^^^] [ответить] | +2 +/– | нет она изначально была очень неудачной и тяпляперами написанной Ну им можно п... большой текст свёрнут, показать | | |
| |
| 3.104, Аноним (168), 19:56, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Сброс привиллегий должен всегда быть ПЕРВОЙ же операцией после chroot - по-моему это должны вбивать в голову еще на подготовительном факультете или в кружке "программирование хеловротов под юникс"
Никто никому ничего не должен. Единственная причина, почему люди до сих пор не перешли на условный idris/ats - возможность писать абсолютно любой говнокод и не переживать об этом.
| | |
|
|
| 1.66, Аноним (43), 16:33, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Да, sudo доверия нет, но от openbsd'шников я 100% ожидаю таких же проблем, так что doas - не замена. Не понятно чем теперь пользоваться.
| | |
| |
| 2.70, Ананимус (?), 16:58, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Да, sudo доверия нет, но от openbsd'шников я 100% ожидаю таких же
> проблем, так что doas - не замена. Не понятно чем теперь
> пользоваться.
Ну они вряд ли затолкают в doas поддержку chroot с nsswitch.
| | |
| |
| 3.77, нах. (?), 17:24, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
кто бы мог им помешать? Ты в курсе где харчуется автор sudo?
(nsswitch, если что, обрабатывает libc. Просто она не рассчитана на запуск от рута в untrusted окружении - понадобился sudo чтобы этого добиться.)
| | |
|
| 2.88, Разум (?), 18:05, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да я бы вообще ничему не доверял даже памяти, см когнитивные искажения. Там только про память больше 20 штук (где 20 число с потолка).
| | |
| |
| 3.117, Аноним (121), 20:49, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Глазам тоже не стоит доверять. Читал, что глаз видит и передает в мозг только часть картинки. Остальное (периферию) "додумывает" мозг. Вспоминается фильм "Вечное сияние чистого разума", где фирма стирала память о человеке, через воздействие на узлы, отвечающие за память об этом человек. Делала это фирма, когда человек спал. Таким образом, через воздействие на мозг во сне возможно искажение картинки, которую видит человек. )
| | |
|
|
| 1.72, YetAnotherOnanym (ok), 17:04, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > файл /etc/nsswitch.conf загружался в контексте нового корневого каталога, а не системного каталога
Гы... какая прелесть!
| | |
| 1.76, Аноним (76), 17:21, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А зачем пользователю нужны привилегии рута?
Установку, настройку, обновление - все можно выполнить в рутовой консоли.
| | |
| |
| 2.84, Аноним (83), 17:54, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну у меня, например, стоит запуск openvpn от моего пользователя через sudo без пароля. То есть я хочу, чтобы у меня спрашивало пароль рута для установки/обновления софта, но НЕ для запуска впн. Но за 20 лет похожих кейсов было штук 5 максимум.
| | |
| |
| 3.87, Разум (?), 18:04, 01/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
а зачем тебе openvpn от рута? Это же не дырявый положительно globalprotect.
| | |
| |
| 4.146, Аноним (146), 00:40, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
От непривилегированного пользователя не запускалось. Вроде. Точно не скажу, настраивал последний раз уже лет пять назад.
| | |
| 4.210, Я (??), 00:42, 03/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
А оно с маршрутами без рута как то не так работает :-/
| | |
|
|
| 2.114, Аноним (43), 20:33, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Установку, настройку, обновление - все можно выполнить в рутовой консоли.
А зачем пользователю рутовая консоль? Установку, настройку, обновление - всё можно выполнить в консоли пользователя. Почему это удобнее - потому что не нужно дополнительно настраивать окружение рута (от шелла до .vimrc), и история не размазывается по пользователю и руту.
| | |
| 2.160, User (??), 08:03, 02/07/2025 [^] [^^] [^^^] [ответить] | +2 +/– | Ну вот понимаешь - этих самых пользователей , или, вернее, администраторов бы... большой текст свёрнут, показать | | |
| |
| 3.174, пох. (?), 10:19, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
"Коллеги, а как зайти на сервер-нахерн-был-ненужен.но.вот? - Там старый рутовый пароль! - Я пробовал, не пускает! - Не тот старый, а тот который до увольнения Васи в позапрошлом году! - А я тогда ж еще не работал! - Ща, найду пришлю. - А, ооок."
И разумеется все эти пароли и ключи кучкой под ковриком (под десятком ковриков, на каждого по два), потому что запомнить и один такой невозможно, а с позапрошлого года их накопилось с десяток. И при аварии их надо вбивать быстро, пока она не эскалировалась до начальства.
И да, иногда еще хочется дать возможность техподдержке что-то посмотреть и может даже перезапустить, но не rm -rf / набрать.
| | |
| 3.227, perasperos (?), 12:55, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
1. админ пароля root знать не должен, ssh: заходит по ключу, а не паролю, sudo-ится без пароля NOPASSWD
2. с уходом админа -- вычищается учетка или его ключ
3. пароль root-а меняется Ansible-ом или puppet-ом на всех хостах переодически или по необходимости.
| | |
| |
| 4.228, User (??), 13:24, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> 1. админ пароля root знать не должен, ssh: заходит по ключу, а
> не паролю, sudo-ится без пароля NOPASSWD
Нуэээ да - не должен. Его как сгенерякали, так вот распечатали на бумажечке, сунули ту бумажечку в конвертик и отдали в ИБэ с наказом "не открывать до страшного суда или следующего аудита системы" - в зависимости от того, что произойдет раньше.
И нет, за NOPASSWD ты с этими самыми Бэ - не договоришься (В данном случае даже правильно).
> 2. с уходом админа -- вычищается учетка или его ключ
Ненене. Это вот вы сами. Обычно машина - в домене, открытый ключ вот в расширенных аттрибутах схемы, а на машине есть одно большое НИЧЕГО. Событие увольнения из кадровой системы триггерит отключение УЗ а в AD и, собственно, усё.
В случае когда "совсем-все-пропало-шеф! Сети-нет-AD-нет-налоговая-у-дверей!" Вместе с бланком объяснительной из конвертика достается der parol root'а - и все заверте...
> 3. пароль root-а меняется Ansible-ом или puppet-ом на всех хостах переодически или
> по необходимости.
Не-не. Тут штука в том, что он на всех хостах вот прям совсем-совсем разный и его примерно "нигде" (Кроме как в конверте, в роли которого может оказаться и какой-нибудь bitwarden ИБ) нет. Варианты с регулярной заменой в рамках "регламента эксплуатации" я видел - но больше в том самом "регламенте" - проще контролить события входа в систему от соответствующего пользователя на уровне SIEM чем упражняться в этом вот кувыркании на регулярной основе.
| | |
| |
| 5.230, нах. (?), 13:53, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ненене. Это вот вы сами. Обычно машина - в домене
сеть отвалилась после обновления фирмварей - исправить ничего нельзя, ведь зайти на хост теперь невозможно.
Про валяющиеся по всей fs keytab'ы при таком подходе - уже и не будем.
> 3. пароль root-а меняется Ansible-ом или puppet-ом на всех хостах переодически или
> по необходимости.
вот это обязательно, да. А сам файлик который его меняет вместе со всеми паролями - не забудьте еще закомитить и запушить в гитляп и гитшляп, для надежности. Все так делают!
> Вместе с бланком объяснительной из конвертика достается der parol root'а
за это время не то что дверь вынесут, а и половину срока отсидишь
В общем, так себе концепция. Обычно этот рут нужен когда что-то серьезно поломалось, и тут надеяться на внешние авторизации - ну такое себе.
| | |
| |
| 6.232, User (??), 14:13, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> Ненене. Это вот вы сами. Обычно машина - в домене
> сеть отвалилась после обновления фирмварей - исправить ничего нельзя, ведь зайти на
> хост теперь невозможно.
"В случае когда "совсем-все-пропало-шеф! Сети-нет-AD-нет-налоговая-у-дверей!" Вместе с бланком объяснительной из конвертика достается der parol root'а - и все заверте..."(Ц)
> Про валяющиеся по всей fs keytab'ы при таком подходе - уже и
> не будем.
Ээээ... зачем кейтаб? Какой кейтаб? Неэээ, керберос мы не будем - проблемное оно в линуксовом изводе примерно со всех сторон.
AuthorizedKeysCommand, который этот самый key из LDAP'а налету дергает вполне себе работает - даже можно сказать "in какой-никакой scale"
>> 3. пароль root-а меняется Ansible-ом или puppet-ом на всех хостах переодически или
>> по необходимости.
> вот это обязательно, да. А сам файлик который его меняет вместе со
> всеми паролями - не забудьте еще закомитить и запушить в гитляп
> и гитшляп, для надежности. Все так делают!
Некоторые даже джва раза, ага.
>> Вместе с бланком объяснительной из конвертика достается der parol root'а
> за это время не то что дверь вынесут, а и половину срока
> отсидишь
Тут главное "объяснительная", отсутствие у тебя регулярного доступа к этому der parol - ну и процедура обязательной смены после каждого доступа к. А будет это у тебя пароль на бумажке в конвертике у ИБ, аппаратный ключик в сейфе или вот вовсе какой vault - дело второе.
> В общем, так себе концепция. Обычно этот рут нужен когда что-то серьезно
> поломалось, и тут надеяться на внешние авторизации - ну такое себе.
Ну вот как раз в случае "аварии" когда нужен именно "root", а не его права - никаких "внешних"-то и нет.
| | |
|
|
|
|
| 2.239, Аноним (237), 19:49, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> все можно выполнить в рутовой консоли.
И получить 'rm -rf /' из-за ошибки в шелл-комплишн. Или скрипте/плагине текстового редактора. Или даже в собственноручно набранной команде (нулл-глоб или забытые кавычки вокруг параметра с пробелом). И т.д. и т.п.
| | |
|
| 1.81, Аноним (81), 17:43, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Опять в однопользовательской локалхостной системе что-то ломается когда хостов или пользователей нужно больше одного. Новость-то в чём?
| | |
| 1.85, Аноним (85), 18:00, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Хотя делов то, поставил систему и удалил sudo, а ещё под root'ом сделать chmod u-s /bin/su. Права root пользователю ни к чему, а рутовские дела делаются больше всего при установке, больше они не нужны.
| | |
| |
| |
| 3.103, Аноним (103), 19:50, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Технологией File CAP можно обойтись. Аккуратным DAC.
Это современному сыстемды надо root.
А лет 15 назад ещё были лимоны GNU/Linux с изолированным init, который сам мониторитл пользовательские события и выключал перегружал комп.
| | |
| 3.126, Аноним (85), 21:57, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Влажную уборку комнаты проводить надо регулярно.
А если серьёзно, то чем вы там занимаетесь в Линуксе, что надо регулярно под root'ом заходить?
У меня это несколько дней за целый год: обновления. Ну и когда только поставил, то /etc/fstab и всякие подобные конфиги под root'ом правятся, проги нужные ставятся и всё.
| | |
| |
| 4.163, User (??), 08:07, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Влажную уборку комнаты проводить надо регулярно.
> А если серьёзно, то чем вы там занимаетесь в Линуксе, что надо
> регулярно под root'ом заходить?
> У меня это несколько дней за целый год: обновления. Ну и когда
> только поставил, то /etc/fstab и всякие подобные конфиги под root'ом правятся,
> проги нужные ставятся и всё.
Ну вообще конечно "да" - видел я место, где "интерактивный вход пользователя в систему" являлся "значительным нарушением информационной безопасности" и требовал вот прям отдельного расследования с заполнением соответствующих актов в процессе - но работать ТАК умеют\могут не только лишь все.
| | |
| |
| 5.195, Аноним (195), 19:20, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Причём здесь место работы? У меня именно на домашнем компе sudo удалён лично мною, а на /bin/su sticky bit поставлен в ноль (чтобы нельзя было из под пользователя выполнить su -).
На работе же если пользователю позволяется лезть в админку, то лучше по достижении минимально необходимого для лёгкого поиска работы опыта сразу же увольняться и искать нормальную работу.
| | |
| |
| 6.198, User (??), 20:33, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Причём здесь место работы? У меня именно на домашнем компе sudo удалён
> лично мною, а на /bin/su sticky bit поставлен в ноль (чтобы
> нельзя было из под пользователя выполнить su -).
Да при том, что на твой комп всем пофиг от слова "совсем". Хоть с перфокарт управляй - никто слова дурного не скажет. А вот при попытке распространить сию практику могут обнаружить нюансики, ага.
> На работе же если пользователю позволяется лезть в админку, то лучше по
> достижении минимально необходимого для лёгкого поиска работы опыта сразу же увольняться
> и искать нормальную работу.
Ну, администраторы - всего лишь категория пользователей с расширенными правами, не?
| | |
| 6.223, Аноним (223), 10:46, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
и как же снятие sticky bit добавляет вам безопасности ? почитали бы маны прежде чем чушь писать....
| | |
|
|
| 4.222, Loki13 (ok), 10:14, 03/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Ну как минимум sudo emerge ... - систему обновляю, sudo blkid - посмотреть какие диски по каким именам\уидам, sudo cp ... скопировать свежесобранное ядро на boot раздел или ебилд скопировать для редактирования в /usr/local/portage. Это то что нужно было за последние 2 недели. Иногда sudo -E gparted - разделы поглядеть на флешке\диске. Ну и sudo systemctl restart servicename.service периодически.
| | |
|
|
|
| 1.86, Разум (?), 18:03, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вот для чего стоит попробовать создать нейросеть, так для выявления таких ошибок.
Правда я уверен уже создали и уже используют.
| | |
| |
| 2.129, Аноним (125), 22:28, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Не осилят. Они обработку ошибок одной функции не могут написать так, что бы придраться не к чему было.
Ну не любят программисты ошибки обрабатывать. И делают это спустя рукава - вот нейронки и не могут это сделать нормально.
| | |
|
| 1.90, Аноним (90), 18:28, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А я напоминаю, что эта уязвимость локальная, то есть на уровне проникшего в хату соседа с молотком.
| | |
| |
| 2.190, пох. (?), 17:22, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ну как бы если подтвердится (пока на моих системах не получалось) что это таки работает от юзера, отсутствующего нафиг в sudoers вообще - то любое rce от nobody автоматически перерастает в катастрофу общесерверного масштаба.
так себе в общем новость.
| | |
|
| 1.94, Аноним (94), 18:53, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Как же замечательно на бсд-подобных системах с doas. Продолжайте использовать софт, в котором легаси идет уже с 80-ых годов, удачи.
| | |
| |
| 2.115, Аноним (43), 20:34, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
На bsd системах только используется sudo. И на openbsd, да-да. Потому что к openbsd'шным поделкам доверия не больше чем к этому вот решету.
| | |
| |
| 3.132, Аноним (132), 22:57, 01/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
лучше использовать дырявый эксплойт от редхата, замаскированный под утилиту для получения доступа к пользователям?
| | |
|
|
| |
| 2.98, Аноним (94), 19:02, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Уязвимость проявляется в конфигурации по умолчанию и подтверждена в выпусках sudo с 1.9.14 по 1.9.17 (потенциально затрагивает все версии, начиная с 1.8.33). | | |
|
| 1.102, nebularia (ok), 19:49, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вообще считаю, что sudo в базовой системе это дичь какая-то, продвинутая убунтоидами (видите ли, сложно запомнить пароль рута). Да, она имеет свои применения (разрешить пользователям отдельные команды от рута без пароля), но в конфигурации по умолчанию полностью заменяется обычным su с паролем рута. И никакой doas не нужен.
| | |
| |
| 2.105, Аноним (168), 19:57, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>но в конфигурации по умолчанию полностью заменяется обычным su с паролем рута
Только в однопользовательских системах.
| | |
| |
| 3.106, nebularia (ok), 20:08, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Добавить кого-то в sudoers - отдать ему рута. Ничто не мешает сделать дальше что угодно (при конфигурации по умолчанию). Можно просто дать пароль рута и всё.
Для более разумного использования всё равно надо настраивать, тогда же sudo можно и поставить. Нафига оно в базе?
| | |
| |
| 4.110, Аноним (168), 20:18, 01/07/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Добавить кого-то в sudoers - отдать ему рута
Вот чем хороши старые прожжёные эникейщики - 0% знаний, 100% уверенности. Нет это далеко не значит, как минимум список команд можно настраивать. Правда там будет целая проблема с аргументами, но да ладно.
>Можно просто дать пароль рута и всё.
Пароль у рута один, пользователей, с повышенными правами может быть несколько. С sudo можно отозвать у одного пользователя за раз полономочия, с su - полномочия отзываются сразу у всех, так как рутовый пароль общий.
>Нафига оно в базе?
Предполагается, что софт нормально написан, а не сетка рабица.
| | |
| |
| 5.135, nebularia (ok), 23:14, 01/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну сорри если у тебя окно контекста составляет одно предложение. Я дальше явно написал, что это дело надо настраивать. В линуксе вообще много полезных вещей, которые надо настраивать. Но мы же не тащим всё в базовую систему? Кому надо, тот поставит и настроит.
| | |
| |
| 6.164, User (??), 08:10, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Ну сорри если у тебя окно контекста составляет одно предложение. Я дальше
> явно написал, что это дело надо настраивать. В линуксе вообще много
> полезных вещей, которые надо настраивать. Но мы же не тащим всё
> в базовую систему? Кому надо, тот поставит и настроит.
Кому не надо - удалит, ага?
| | |
| 6.171, Аноним (168), 09:57, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Я дальше явно написал, что это дело надо настраивать.
Что надо настраивать? Как только вы добавляете нового пользователя в группу sudo, всё настройка уже завершена, у двух пользователей уже два разных пароля.
| | |
|
| 5.161, Аноним (-), 08:04, 02/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Пароль у рута один, пользователей, с повышенными правами может быть несколько. С sudo можно отозвать у одного пользователя за раз полономочия, с su - полномочия отзываются сразу у всех, так как рутовый пароль общий.
И как часто такой функционал востребован на какой-нибудь убунточке? Как ты полагаешь, каков процент от общего числа инсталляций использует эту функциональность? Хотя бы 1% наберётся?
И из-за этого одного процента, 99% получают дефолтом переусложнённый, дырявый и ненужный им кусок софта.
Это антипаттерн для создания систем. Это как C, который делает 100% кода unsafe ради того 1% случаев, когда это действительно надо. Это мышление дидов из 70-х годов, от которого девелоперы unix до сих пор не могут излечиться.
| | |
| |
| 6.166, User (??), 08:13, 02/07/2025 [^] [^^] [^^^] [ответить] | +/– | Ну, предполагаю, что примерно 100 корпоративных инсталляций, да Т е примерно ... большой текст свёрнут, показать | | |
| 6.180, Аноним (168), 12:03, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Как ты полагаешь, каков процент от общего числа инсталляций использует эту функциональность? Хотя бы 1% наберётся?
Мне не нужно, значит никому не нужно - типичная логика тыжпрограммиздов с опеннета.
| | |
| |
| 7.192, Аноним (-), 17:29, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Мне не нужно, значит никому не нужно - типичная логика тыжпрограммиздов с опеннета.
Может быть это и так. Но ты не ответил на вопрос: каков процент инсталляций действительно полагается на функционал sudo так, что его нетривиально заменить на su?
Нет ответа, значит ты сам не знаешь? И заменяешь аргументы по сути на ad hominem? Нушо я могу сказать. Малаца. Гораздо интеллектуальнее чем "типичная логика тыжпрограммиздов с опенета".
| | |
|
|
|
|
| 3.175, пох. (?), 10:22, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Только в однопользовательских системах.
Причем в этих системах всем наплевать на увизгвимости в суду - их wsl и так в безопастности, на него ходит только васян с локалхоста под виндой (а он и так рут)
| | |
|
|
| 1.107, Syndrome (ok), 20:12, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Как же неудачно. Только добавили закладку, а её сразу нашли. Ничего, в следующий раз спрячут получше.
| | |
| 1.131, anonymous (??), 22:31, 01/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
че то ссыкотно, красношляпка на 4 дня обновление инфраструктуры делает и из за этого ни koji ни bodhi недоступны. Страшно очень страшно. Если бы мы знали что это такое. 4 июля как раз у супостатов главный праздник. Обожаю конспирологию.
| | |
| 1.143, Аноним (143), 00:06, 02/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Нет sudo - нет проблем. Не стесняюсь залогиниться рутом, если чего надо поадминить.
| | |
| |
| 2.176, Аноним (176), 10:36, 02/07/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну, заадминь там себе Remmina если такой умный. Даже интересно как вы такие в никсах живёте без VNC...
| | |
|
| |
| 2.188, Аноним (168), 15:45, 02/07/2025 [^] [^^] [^^^] [ответить] | +/– | Его надо не цитировать, а забыть как кошмар В юниксе исторически почти всё треб... большой текст свёрнут, показать | | |
| |
| 3.189, пох. (?), 17:10, 02/07/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В юниксе исторически почти всё требует root.
как и в винде - админа. (просто там есть удобный и довольно надежный механизм проверить что ты админ, и у тебя не увели еще сессию, а не этовотвсьо)
Потому что на самом деле этот рут - подтверждение того что тебе на самом деле можно это делать (трогать устройства, занимать привиллегированные порты и т д), а другого у нас нет.
Т.е. либо тебе доверили пароль, эквивалентный рутовому, либо процессу с которым ты работаешь доверили - запуском от имени кого-то кто такой пароль знает.
И страдать фигней совершенно незачем.
Мы не работаем постоянно от рута только затем чтоб оставались какие-то возможности контроля и логинга, и ненароком самому себе чего-нибудь не сломать. (был когда-то еще и софт ломавшийся при работе от рута, но сейчас такое 25 лет уже немодно)
Там где то и другое неважно, работай от рута, твоя wsl в безопастносте.
> Советы данного автора - вырожденны уже на сам момент совета, даже по меркам 90-ых, не
> имеют практической ценности, зато являются бессмысленными ртиуалами, в перемешку с
> мазохизмом.
+1
| | |
|
| 2.215, User (??), 09:07, 03/07/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не, ну если у вас количество админов равно количеству серверов, каждый из них "админ ВСЕГО", сколько-нибудь централизованного управления этим "всем" нет и не предвидится - то, наверное, можно и так. Но ЗАЧЕМ?!
| | |
|
| 1.243, Аноним (243), 22:32, 03/07/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
до некоторых линуксоидов вдруг стало доходить, что кое-как написанный софт толпой энтузиастов не становится безопасным просто потому, что его код открыт. А как же "опенсорс - защита от бэкдоров и багов, ведь их тут же увидят и исправят"? Это что, получается, что опенсорс никак не влияет, ведь никто не читает этот код? =))
| | |
|
