Comments 20
Ввод пароля при запуске sudo — это лишний повод притормозить и задуматься, что за команду вводишь.
+16
Некоторые системы ещё и окошко с подтверждением показывают :)
0
На самом деле, никогда не рассматривал sudo в таком ключе. Мой стандартный сценарий выглядит так: sudo для еденичных команд и sudo -s для крупных задач. Что, однако, никак не нарушает принцип «не работай от root» в моём понимании, так как по-прежнему защищает от опечаток в командах, неожиданно начинающих требовать права на удаление корня вместо пользовательского файла или от безответственных программ пользовательского окружения. (сказано в статье)
Использование sudo в качестве повода перепроверить написанное имеет как минимум две проблемы:
Постоянное впечатывание sudo в длинных сценарияхпахнет культом выглядит неоптимально.
С sudo -s реализовать такой подход невозможно впринципе.
И, безусловно, такие принудительные поводы выглядят крайне недружественно по отношению к пользователю.
Использование sudo в качестве повода перепроверить написанное имеет как минимум две проблемы:
Постоянное впечатывание sudo в длинных сценариях
С sudo -s реализовать такой подход невозможно впринципе.
И, безусловно, такие принудительные поводы выглядят крайне недружественно по отношению к пользователю.
+2
Консоль никогда и не была дружественной к пользователю.
Дружественная реализация sudo, это, к примеру, виндовый UAC. По-моему, в kde и гноме тоже что-то подобное было.
Дружественная реализация sudo, это, к примеру, виндовый UAC. По-моему, в kde и гноме тоже что-то подобное было.
-8
Консоль никогда и не была дружественной к пользователю.Как постоянный пользователь консоли, совершенно не согласен с этим утверждением. Хотя, конечно, гибкость интерфейса несколько ограничена, но во всём остальном он вполне может источать дружелюбие.
Дружественная реализация sudo, это, к примеру, виндовый UAC. По-моему, в kde и гноме тоже что-то подобное было.gksu и аналоги, наверное. К сожалению, у меня недостаточно знаний о UAC, чтобы грамотно похоливарить, но я не раз встречал по 2 и более окошек подтверждения на копирование файла куда-то в каталог с программой (дело было в windows 7). Это эталон того недружественного подхода, который мне не нравится.
+3
во всём остальном он вполне может источать дружелюбие.
К пользователю? :) К админу или программисту — может.
я не раз встречал по 2 и более окошек подтверждения на копирование файла куда-то в каталог с программой (дело было в windows 7). Это эталон того недружественного подхода, который мне не нравится.
UAC, само собой, не идеален. К примеру, мне не нравится то, что он не работает на операции сохранения файла. То есть можно открыть «запретный» файл в текстовом редакторе, но сохранить уже не получится, просто не дадут.
Но сама идея автоматического запроса на поднятие уровня пользователя при попытке сделать что-то, требующее админских прав, правильна. Здорово снижает саму потребность использовать sudo (runas), плюс с админскими правами выполняются только те действия, которые должны с ними выполняться, а не всё подряд, как при использовании «sudo shell».
0
Ну в линуксе, допустим, точно так же — конфиги в /etc читать может кто угодно, а вот писать только root.
0
Я не про наличие таких файлов, а про то, что UAC не отслеживает попытки туда что-то записать.
Удобным поведением было бы появление запроса на повышение привилегий при попытке сохранить файл, а не обламывание пользователя со словами «доступ запрещен».
Удобным поведением было бы появление запроса на повышение привилегий при попытке сохранить файл, а не обламывание пользователя со словами «доступ запрещен».
0
Лично для меня верх дружелюбия UAC — это возможность его отрубить. Мне лично на домашнем компе самое оно. А в линуксах, учитывая то что я в процессе изучения и постоянно ставлю удаляю проги, меняю конфиги, мешает очень.
-1
Вот мои рассуждения по поводу судо и пользователей вообще habrahabr.ru/post/89588/ И честно говоря то что сделано в андроиде меня совершенно не устраивает.
0
Особенно бесит парольное sudo на серверах, куда заходишь по ssh. ОТКУДА Я ЗНАЮ пароль пользователя? Я по ключу захожу, а не по паролю. Хочешь проверить, что скрипт действительно я запускаю? Спроси моего ssh-агента.
+7
Можете на сервере держать screen сессию в котором сделать «root-окно»
Так же для группы пользователей (или одного пользователя) можно разрешить sudo без ввода пароля.
Так же для группы пользователей (или одного пользователя) можно разрешить sudo без ввода пароля.
0
Как то я делился с хабрасообществом своими мыслями по поводу безопасности в Linux:
habrahabr.ru/post/113143/
Думаю что ссылка на этот топик будет в тему.
Если кратко:
Все приложения должны быть жестко изолированы. Средства для этого уже существуют (AppArmor и SELinux), но почему-то широко не используются.
На локальной системе содержимое ~/ может быть гораздо важнее содержимого / (если что, систему не сложно переставить).
habrahabr.ru/post/113143/
Думаю что ссылка на этот топик будет в тему.
Если кратко:
Все приложения должны быть жестко изолированы. Средства для этого уже существуют (AppArmor и SELinux), но почему-то широко не используются.
На локальной системе содержимое ~/ может быть гораздо важнее содержимого / (если что, систему не сложно переставить).
+2
Sign up to leave a comment.
Зачем вам вводить пароль в sudo?