"root restriction" hülyeséggátlók

Ubuntu Linux

Sziasztok,

A kerdesem az lenne, hogy hogyan lehet VEGLEG kigyomlalni ezeket az Edgy-bol? Most sikerult vele odaig eljutnom, hogy root alol nem tudok X alkalmazasokat futtatni, ami a mai napomnak tisztesseggel betett. Ha valaki le tudna irni roviden, hogy hogyan lehet a legegyszerubben kiszedni egy friss installbol, a tobbit mar egyedul is megoldanam. :-)

Koszi elore is.

  • 2496 megtekintés

( gsimon | 2006. 11. 15., sze – 16:19 )

Gondolom, ne ragozzam, miért ne dolgozzon az ember root-ként...
Szóval szerintem:
- adj magadnak sudo jogot a window manageredre NOPASSWD-vel
- a .Xsession-ödben engedd meg a helyi x kapcsolódásokat
- a .Xsession-ödben ahelyett, hogy egyszerűen indítanád a window managert, indítsd sudo-val

sudoers sor (egy sorba!): 

fules ALL=(ALL) NOPASSWD: sbin/poweroff,/sbin/reboot,/sbin/halt,/bin/su,/usr/bin/blackbox

.Xsession minta: 


xmodmap ~/.Xmodmap
xhost +local:
bbkeys -i &
sudo blackbox

De továbbra is fenntartom, hogy nagyon nem tartom jó ötletnek, inkább adj sudo jogot a szükséges dolgokra, mármint a _tényleg_ szükségesekre. (Én az X-es programok közül talán a synaptic-ot látom ilyennek, de akkor már inkább arra adok magamnak sudo jogot, és a menüben írom át a parancsot 'sudo synaptic'-re.)

:set offtopic
Apropo, milyen átlókról is tetszik írni a subject-ben, hogy a hup szűrője átengedi :) ?
:set noofftopic

Ja, koszi, de nem egeszen ezt ertettem "root restriction" alatt. :-)

Leirom, hogy nehogy valaki felreertse. :-)
Az ubuntu csapat feltalalta, hogy hogyan lehet a pancsereknek leegyszerusiteni a dolgokat es ha userkent vagy bent a sudo kiadasa utan a user password ismereteben root jogokat szerezhetsz a gep felett. Ezt akkora hulyesegnek tartom mint egy haz.

Amit szeretnek, hogy ugy mukodjon mint a tobbi disztronal, hogy normalisan ROOT jelszo kelljen hozza. 15-20 karakter alatt en soha nem csinalok root jelszot ami vegyesen szamok/betuk linux eseten irasjelek is, usernek meg csak egy rovid, konnyen beutheto jelszot adok. A szerveren vannak erzekeny adatok is es a desktop gep user passwordjevel teljes jogot lehet felettuk szerezni!!

Annyit sikerult vele megcsinalnom, hogy terminalrol mar beenged rootkent, eddig ez is lehetetlen volt, de egy csomo alkalmazas meg mindig ugy indul a WM felett, hogy root jelszot ker es megeszi a useret is, majd beenged! Ha rajtam mulna, en ezt siman security hole-nak minositenem. Az a baj, hogy ujabban divatta valik ezeknek a dolgoknak az elhanyagolasa.

---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

Figyi nem vagy te mar uj gyerek errefele, hadd mondjam neked azt, hogy nagyon RTFM. Mar kb jo fel eve is rengetegen kerdeztek ugyanezt ugyanitt, az ubuntu forumokon, meg mindenfele linux forumokon. Nem igaz, hogy meg az Ubuntu x-edik kiadasanal is ezen ragodunk.

De hogy ne vadoljanak azzal, hogy mindenkit csak elkuldok manualt olvasni:
sudo passwd root (beallitod rootnak a passwordot, merthogy root user letezik, csak nincs neki passwordje. lehet, hogy shellt is kell neki adni, azt nemtom)

utana meg belepsz rutkent es visudoval megszerkeszted a sudoers filet, hogy senki ne tudjon sudozni. Egyebkent a sudo nem hulyeseg, ha az embernek eros passwordje van.

"De hogy ne vadoljanak azzal, hogy mindenkit csak elkuldok manualt olvasni:
sudo passwd root (beallitod rootnak a passwordot, merthogy root user letezik, csak nincs neki passwordje."

es ugye fentebb irtam:
"Annyit sikerult vele megcsinalnom, hogy terminalrol mar beenged rootkent"
(nem lattam ertelmet ezt fentebb reszletezni, amugy kossz az RTFM-et, de nyugodtan megtarthatod. )

"Figyi nem vagy te mar uj gyerek errefele..."
Tehat, nyilvan jo okom lehetett ra, hogy megis topikot nyitottam neki.

---------------------
Valaki a problemara?

Osszegeznem megegyszer:
1. root jelszo van, szoveges terminalrol es xtermrol is mukodik.
2. rootkent shellbol ez tortenik ha _barmilyen_ GUI alkalmazast elinditok, pl:

# qtparted
Xlib: connection to ":0.0" refused by server
Xlib: No protocol specified

qtparted: cannot connect to X server :0.0

3. Ezt nemreg talaltam, es kb. 90%-ban meg is oldotta a problemamat:
echo "[super-user-command]" >~/.kde/share/config/kdesurc
echo "super-user-command=su" >>~/.kde/share/config/kdesurc

4. Tovabbra sem lehet root-kent X alkalmazasokat inditani. (a kdesu konsole megy, de nem lesz igy jo)

---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

Aha, azt hiszem, megvan, mire lenne szükséged. Mielőtt átmennél root-ba, userként meg kéne engedned, hogy másvalaki (nevezetesen a root) kapcsolódjon az általad indított X-hez. (Valljuk be, ennek van némi létjogosultsága, mert senki sem szereti, ha mindenféle egyéb más user teleszórja a képernyőjét minden szutyokkal...) 

xhost +local:

lesz a te barátod, még a su előtt. Igaz, hogy ez minden, az adott gépre belépett lusert odaenged az X-edhez, de próbának talán elég, finomítani pedig (hogy csak a root@localhost-nak engedje) legjobb tudomásom szerint tényleg az xauth-tal lehet, de olyanra még nem hajtott a sorsom eddig :).

"es ha userkent vagy bent a sudo kiadasa utan a user password ismereteben root jogokat szerezhetsz a gep felett."

Ez így ebben a formában nem igaz. Csak arra a felhasználóra, aki elsőként jött létre telepítéskor, akiket ez hoz létre később, azokra alapértelmezésben nem. Innentől kezdve meg nem mindegy, hogy rootnak vagy rigidusnak hívod azt a juzert, akinek mindent lehet? :)

"Az ubuntu csapat feltalalta, hogy hogyan lehet a pancsereknek leegyszerusiteni a dolgokat es ha userkent vagy bent a sudo kiadasa utan a user password ismereteben root jogokat szerezhetsz a gep felett. Ezt akkora hulyesegnek tartom mint egy haz."

Teljes mértékben egyetértek azzal, hogy a root-talan sudo-zás hülyeség. Erről én is nyitottam már itt egy topikot, illetve szavazást. Még a legutolsó Ubuntu kiadásban, vagyis az Edgy-ben is az a helyzet, hogy amennyiben nem hozol létre egy root jelszavat (vagyis nem állítod vissza a root-ot az őt megillető ősi unix-os jogaiba), addig egy félreírt fstab bejegyzés vagy más fájlrendszerhiba miatt rendszerindításkor egyből csak úgy admin jogosultságú konzol nyilik meg a gép előtt ülő akárki számára.

A problémádra nem tudok teljeskörü orvoslatot, mert az Ubuntu-ban most az a trend, hogy a grafikus programok admin jogokkal történő indítását teljes mértkben átállítsák a sudo-s elvre. De, ha jól emlékszem, a gconf-editorral találni lehet egy olyat, hogy a gksu sudo-val működjön-e vagy sem. Ezt próbáld ki. Lehet, hogy néhány dologban segít. (Én még nem próbáltam ki.)

Sőt, ha nincs csavarhúzód, de van kisbaltád. És nem is azon a gépen, hanem egy másikon, amire átvitted a disk-et...
Mondjuk a disk köthető a géphez oly módon, hogy más gépben használhatatlan legyen. (igaz, ilyet eddig csak notebook-ban láttam.) Ugyanakkor láttam olyan notebook-ot is, aminek nem lehetett kiütni a BIOS beállításait, tehát ha elfelejtetted a BIOS jelszót, lehetett alaplapot cserélni. Jé, én eddig azt hittem, ez bug. Pedig feature! :-D

Visszatérve, _lehet_ úgy bekonfigurálni egy rendszert, hogy azt nem töröd fel. Pl. egy netkávézóban, vagy a munkahelyeden nem szedheted szét a gépedet (ahogy nálam se szedheti szét senki a gépem), tehát ezt a lehetőséget hagyjuk ki. Bár, mint azt feljebb írtam, ez se jelent feltétlen megoldást.

Ave, Saabi.

Cégek, internetkávézók előtt "akárki" ülhet, és nem mindegy hogy normál felhasználóként vagy egy szerencsétlenre sikerült újraindítás után admin-ként ül ott. Én inkább azt mondom, hogy akkor felejtsd el a biztonság szót, ha az Ubuntu root nélkül (vagyis alapértelmezeten és javasoltan bekonfigurálva) egy banális fsck hiba miatt jelszó kérése nélkül admin jogosultságú konzolt ad újraindításkor. Ez itt a szívás. És nagyon csodálkozom, hogy több év fejlesztés után még mindig így van! Ezek után mind magyarázkodhatnak nekem, hogy a tiszta sudo biztonságosabb. Egy csodát.

A legtobb linux eseten a lilo/grub boot promptjaba beirhatod, hogy single, aztan kesz. Ha az ember kenyelmesen hasznalhato desktop rendszert akar, akkor valamennyire fel kell aldoznia a biztonsagot. nem ertem, hogy az ember a laptopjara miert akar security enhanced linuxot. Ha valaki egy fontos szervert uzemeltet, akkor persze, hogy oda kell figyelnie a biztonsagra. De az otthoni gepet scripteken+zombikon kivul nem sokmindenki probalja feltorni. Azok ellen meg az Ubuntu biztonsagi szintje tokeletesen megfelel. Szerintem meg kell talalni az egyensulyt a paranoia es a hasznalhatosag kozott, es Ubuntueknak ez nagyon jol sikerult.

Oké, értem. De azért nem látnám szívesen újraindítást követően a netkávézóban az admin jogosultságú konzolt a kliens előtt. Még akkor is, ha oda kényelmes asztali rendszer kell, nem valamilyen gentoo-hardened kernellel felvértezett szerver. A grub vagy a lilo menüit pedig titkosított jelszóval védem (grub-md5-crypt).

( Mik v | 2006. 11. 15., sze – 20:23 )

Nem teljesen értem a problémád, de ez azthiszem az én hibám.
Nálam a következő működik:
Ubuntu, gnome terminál:
mik@mik-home:~$ su root
Password:
To run a command as administrator (user "root"), use "sudo ".
See "man sudo_root" for details.

root@mik-home:/home/mik# gedit

(gedit:5839): GnomeUI-WARNING **: While connecting to session manager:
Authentication Rejected, reason : None of the authentication protocols specified are supported and host-based authentication failed.
ALSA lib confmisc.c:670:(snd_func_card_driver) cannot find card '1'
ALSA lib conf.c:3479:(_snd_config_evaluate) function snd_func_card_driver returned error: No such device
ALSA lib confmisc.c:391:(snd_func_concat) error evaluating strings
ALSA lib conf.c:3479:(_snd_config_evaluate) function snd_func_concat returned error: No such device
ALSA lib confmisc.c:1070:(snd_func_refer) error evaluating name
ALSA lib conf.c:3479:(_snd_config_evaluate) function snd_func_refer returned error: No such device
ALSA lib conf.c:3947:(snd_config_expand) Evaluate error: No such device
ALSA lib pcm.c:2146:(snd_pcm_open_noupdate) Unknown PCM default

és fut a gedit

root@mik-home:/home/mik# kate
Session management error: Authentication Rejected, reason : None of the authentication protocols specified are supported and host-based authentication failed
QObject::disconnect: Unexpected null parameter
QFile::open: No file name specified

és fut a kate

Nem állítottam semmit, igaz nem szűz telepítés, dapperból lett edgy...

Mik

( comet | 2006. 11. 16., cs – 07:11 )

Nem használom a sudo-t mert baromságnak tartom, ennek ellenére lehet, hogy valakinek beválik. Nekem nem.

- Nincs arra szükségem, hogy bizonyos parancsok kiadására korlátozzam saját magamat az otthoni desktop gépemen.
- Nem látom be, miért jobb az, ha obskuráljuk a root usert és mondjuk a saját felhasználónevemnek hívjuk + sudo parancsnak annál, mintha sima root userként kezelnénk a kérdést.
- Ha mégis szükségem lenne rá, akkor sem a sudoers fájl undorító, kihasználható, hibára hajlamos definíciós módszerét használnám.

Persze lehet mondani hogy a sudo az "biztonságosabb". Miért is? Szerintem kisebb az esélye annak, hogy valamit elírsz egy su root után amikor látod, hogy a paranccssor #-ra vált, mint hogy automatikusan írod be a parancsot és elévágsz egy sudo-t mondjuk (történetesen 15 percen belül azután hogy egy másik sudo parancsot kiadtál).

Egy dologra tökéletes a sudo: viszonylag tapasztalatlan felhasználókat grafikus felületen user módból felruházni admin szintű módosítási képességekkel. Attól még lehetne root jelszó alapból, mert egy desktopon terminálból nem praktikus sudo-zgatni, inkább a su root.

Gondolom nem csak én vagyok az, akinek azért jó a grafikus felület, mert az iceweasel/icedove és 10-15 terminál sokkal ergonómikusabb így...

IMHO a sudo a leghasznosabb találmányok egyike a kerék feltalálása óta. Persze nem ártana megtanulni használni.

"- Nincs arra szükségem, hogy bizonyos parancsok kiadására korlátozzam saját magamat az otthoni desktop gépemen."
Ha elég okos vagy ahhoz, hogy erre ne legyen szükség, akkor elég okosnak kellene lenned ahhoz is, hogy belásd ennek szükségességét. :-D

"- Nem látom be, miért jobb az, ha obskuráljuk a root usert és mondjuk a saját felhasználónevemnek hívjuk + sudo parancsnak annál, mintha sima root userként kezelnénk a kérdést."
Ha a login prompt-nál nem tud az 1.0-s user root-ként belépni - hisz nem ismeri annak jelszavát - akkor nem is fogja ezt megtenni és nem fog pl. barangolni a net-en root-ként indított firefox-szal. Ugyanakkor az ember fiának/lányának lehet szüksége olyan műveletek elvégzésére, amire csak a root jogosult. Erre szolgál a sudo. A sudo jelszókérése egyrészt "meggyőződik" arról, hogy az indítja aki eredetileg belépet és nem egy idegen garázdálkodik egy otthagyott gépen. Másrészt figyelmezteti a felhasználót hogy veszélyes vizekre evezett, innen legyen egy kicsit óvatosabb.

"- Ha mégis szükségem lenne rá, akkor sem a sudoers fájl undorító, kihasználható, hibára hajlamos definíciós módszerét használnám."
Ha képes vagy a sudo helyett mást használni, akkor neked nincs a sudo-ra szükséged, tehát konfiguráld ki. De észre kellene már venni, hogy egy disztribúció nem egyetlen ember igényeire van szabva, hanem nagyon sok, nagyon különböző tudásuéra. Ha te olyan ember vagy, aki _ért_ a linux-hoz, a GNU tool-okhoz és a többi, szabad forráskódú világban ismert eszközhöz, akkor az Ubuntu looservédelme nem neked szól. De vedd észre, hogy mások is élnek ezen a pici bolygón, akiknek jó szolgálatot tehet ha megvédik tőle a gépét.
Az MS Windows-t sokan szídják, amiért túl sokat enged meg a felhasználóinak. Az Ubuntuval ezekszerint az a baj, hogy túl keveset. Én a disztrib gyártók helyében így fakadnék ki: Basszátok meg és csináljatok magatoknak jobbat!

Ave, Saabi.
ps: miért nem használsz kevésbé felhasználóbarát, 3133t érzést keltő disztribúciót, ahol a te kezedben van a vezérlés?

"miért nem használsz kevésbé felhasználóbarát, 3133t érzést keltő disztribúciót, ahol a te kezedben van a vezérlés?"

Az a széles körben elterjedt állítás, miszerint az Ubuntu a felhasználóbarát desktop disztrók királya lenne, az utóbbi évek linux-vicce. Az Ubuntu jelenlegi formájában középúton helyezkedik a konzolorientált és a valódi desktop disztrók között (vagyis pl. egy Slackware és egy SUSE között). Tény és való, hogy (a Dapper-től errefele elterjedt) live cd-s telepítő révén kevés kérdés megválaszolásával egy-kettőre felmászik a gépre egy jól beállított desktop. De hiányzik belőle a központosított, részletes, grafikus konfiguráló program. Valami olyasmi, mint a "Control Panel", a "YaST" vagy "Mandriva Control Center". Ezek mind jelentős ficsőrtöbbletet nyújtanak a KDE-s System Settings (Kubuntu) vagy a hasonló GNOME-os menük (Ubuntu) mellé, azok tudását alaposan kiegészítve. Ha valami komolyabb baj van, vagy valamit nagyon meg kell változtatni, akkor irány a konzol, a dpkg-reconfigure, az editor. Épp ezért olyan nagyon népszerü pl. a Debian-hoz szokott felhasználók körében. Egy Windows-ról áttérni igyekvő felhasználó azonban (mert ugye Shuttleworth őket célozza) ilyen esetben idegenkedve gondol a parancssorra, és ösztönösen a windows-os "Control Panel" megfelelőjét keresi. Nem találja, és ezen kívül lusta a(z amúgy részletes és alapos) wiki-k utasításait kipróbálni, így végül lemond a Linuxról. Kiváncsi vagyok melyik Ubuntu konferencián fogják egy ilyen beállító központ implementálását eldönteni (vagyis hogy mikor fog az Ubuntu a Debian-tól eltávolodva egyféle SUSE-s vonal felé igazodni).

Tulajdonképpen igazad van, az Ubuntu szerintem is inkább középutas disztró. Ugyanakkor persze ez nem azt jelenti, hogy windowsról áttérőknek ne lenne jó - egy barátom nemrég váltott windows-ról Ubuntu-ra (illetve párhuzamosan használja a két rendszert). Ő előtte SUSE-t is kipróbálta, de az Ubuntu jobban bejött neki. Egyrészt az Ubuntu minden vasat felismert nála, nem nagyon kellett hackelgetnie, másrészt pedig a problémamegoldás gyakorlati módja:
Probléma érzékelése -> Google -> Google-ben olvasottak alkalmazása -> Örül

Ugyanúgy működik Ubuntu alatt is, csak legfeljebb nem egy YaST2 menüpontban kell valamit átállítani, hanem mondjuk az xorg.conf-ban kell átírni valamit.

1.0-ás user meg csak ne állítgasson semmit, sőt, a legjobb, ha nem is tudja a root jelszót a gépen. Ő csak használja.

Ne tetelezz fel rolam olyan dolgokat amit nem tudsz biztosra.

Veletlenul tokeletesen tisztaban vagyok mind2 program funkciojaval es rendeltetesevel. Mindkettot hasznalom is, ott ahol hasznosnak itelem meg oket.

Csak azert mert nem postolok itt naponta harmincat attol meg erthetek hozza.

De attol meg nyugodtan flamelhetsz akarmilyen temaban...nem fogom felvenni neaggodj.

A sudo-su temahoz csak annyit (bar olyan nagyon nem ertek hozza), hogy a "sudo -i"-vel gyakorlatilag ugyanott vagy, mint egy su root-tal. Kulon root felhasznalokent bejelentkezesnek biztonsagilag nem latom elonyet, mert ha egy rosszindulatu tamado sima felhasznalokent hozzafer a gepedhez, akkor onnantol mar csak percek kerdese egy exploit letoltese, vagy ha van c forditod akkor az se kell. Tehat root vagy nemroot, sudo vagy nemsudo onnantol ugyis cseszheted. Persze mindenkinek joga van azt valasztani, amit szeret. Ha neked nem valik be, ne hasznald, de azert nem baromsag a sudo.

( BaT | 2006. 11. 16., cs – 21:37 )

Saját tapasztalat: fedora megoldása a leg korrektebb (bár gondolom más disztróknál is ezt alkalmazzák): van sudo, de hogy működjön, előbb be kell konfigurálni rootból. Nyilván ha nem teszem meg, nem kell attól tartanom, h. egy user lelesi a jelszavam és utána rootban garázdálkodik. De ha az egyszerűségre törekednék és úgy vélném, hogy sudo gyorsabb/egyszerűbb számomra, bekonfigurálhatnám... Persze sudo helyettesíthető egy su - -c "amit futtatni akarok"-kal... :)
Egyébként nem tudom, hogy mennyivel kényelmesebb egy sudo mint a fent említett módszer. Az egyetlen különbség az, h. nem a root, hanem a user jelszava kell.

Ps: lehet sudo azért nincs bekonfigurálva nálam, mert telepítés után nem hoztam létre rögtön usert (firstboot során) hanem csak utána rootba bejelentkezés után?