>> В трёх словах - любая гадость, запущенная из-под юзера, способна следить за >> запускаемыми >> командами. Как только юзер удачно применил sudo, сия гадость может >> беспрепятственно >> сделать "sudo <плохая команда>", так как пароль не будет запрошен. За >> конкретной >> реализацией прошу к Дмитрию и BTS на sudo. >>
> Это скорее не баг, а фича. Если у юзера в /etc/sudoers прописано > user ALL=(ALL) ALL > и он может после аутентификации запустить любую программу через sudo, > значит он уже почти root. Ответственность за запуск того или иного > вредоносного скрипта лежит только на нем. Я согласен, что ради большей > безопасности этот таймаут лучше сделать нулевым, но тем не менее > непонятно, где тут "дыра" в sudo? Можно подумать, что просто запуская все > подряд из root shell нельзя наломать дров. запуская из под root shell можно наломать дров однако в случае с sudo пользователь может и не знать что что-то запускается например пользователь воспользовался браузером в котором дырка и она еще не закрыта (пусть даже только на ЕГО компе) или были новости про медийные дырки с возможностью выполнения кода да мало ли вариантов линукс-хост для спамеров весьма лакомый кусок, бо инструментария штатно наустановлено/настроено мама не горюй а с рутом и подавно -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: [EMAIL PROTECTED] jabber://[EMAIL PROTECTED] `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537
signature.asc
Description: Digital signature
