Ευπάθεια του Sudo επιτρέπει εκτέλεση εντολών σαν root από μη εξουσιοδοτημένους χρήστες

[mzaf]

Δεν είναι τόσο σοβαρά τα πράγματα,τελικά.
This security vulnerability, assigned CVE-2019-14287, is more interesting than scary: it requires a system to have a non-standard configuration. In other words, Linux computers are not vulnerable by default.

https://www.theregister.co.uk/2019/1..._security_bug/

[ioetisap]

Χωρίς να ελέγξω τί έχω στο sudoers:

Σε pc με ουμπουντοειδές και την 1.8.21p2-3ubuntu1.1 με τα uid -1 και 4294967295 βγαίνει sudo: unknown user και unable to initialize policy plugin.
.
Σε raspberry pi πάλι με ουμπουντοειδές και την 1.8.21p2-3ubuntu1 βγαίνει guest is not in the sudoers file. This incident will be reported.

[trd64]

Πάντως σε debian sid δεν είναι εγκατεστημένο το sudo.
Είναι γνωστό πολλά χρόνια (τουλάχιστον στις debian κοινότητες) ότι το sudo είναι πηγή προβλημάτων ασφάλειας.

[xhaos]

καλά ότι το έχει και η amazon ή η κάθε amazon τι να λέει;
Αυτοί ειδικά έχουν πρώτο μέλημα ένα "εύκολο" λειτουργικό, άρα χωρίς κωδικούς και βλακείες.

το πρώτο μέλημα τους είναι να μπορεί να λειτουργήσει αποδοτικά σε cloud infastructure (+aws related packages). οι κωδικοί υπάρχουν μόνο σε user terminals, σε σερβερς πρέπει να είσαι ή άσχετος ή 5-10 χρόνια out of date για να έχεις κωδικούς. το recomendation εδώ και χρόνια είναι ssh keys, και κάνεις και disable password. επιπρόσθετα λόγο της κλίμακας όλες οι δουλείες γινονται είτε με ansible είτε με puppet ανάλογα γιατί πολύ απλά δεν θέλεις να χαλάσεις μια βδομάδα να ανανεώνεις configs σε 50-100-150 μηχανήματα όταν μπορείς να το κάνεις σε 5 λεπτά. γενικά υπάρχουν διαφορές ανάμεσα στο έχω 1,2,-10 linux boxes και έχω 100-200 linuxs που το πλήθος τους μπορεί να αλλάξει 100 φορές μέσα σε μια ημέρα.

[ranger]

Ναι δεν διαφωνώ.
Αλλά το ότι το έκανε η amazon ξαναλέω δεν λέει τίποτα απολύτως.
Ναι είναι τεράστιο μέγεθος, αλλά από πότε την έχουμε ως παράδειγμα στον χώρο του Linux;
Δεν έγραψε from scratch το amazon linux, προσαρμογή του RH Enterprise δεν έκανε;

[xhaos]

Ναι δεν διαφωνώ.
Αλλά το ότι το έκανε η amazon ξαναλέω δεν λέει τίποτα απολύτως.
Ναι είναι τεράστιο μέγεθος, αλλά από πότε την έχουμε ως παράδειγμα στον χώρο του Linux;
Δεν έγραψε from scratch το amazon linux, προσαρμογή του RH Enterprise δεν έκανε;

διαφωνώ γιατί το aws ec2 είναι περίπου το 45% των vm globaly με τον δεύτερο στο 20% και το 80%+ είναι amazon linux 2. οπότε για να υπάρχει τέτοια υιοθέτηση κάτι λέει. και ναι RHEL fork είναι.

[ranger]

Μπορεί να έγινε όπως λες.
Εγώ πιστεύω ότι απλά υπάρχει για λόγους συμβατότητας και κυρίως γιατί ήρθε προίκα από το RH, όπου υπάρχει από default και απλά συνιστάται για servers να μην είναι "password free".

Για περιβάλλον απλού desktop χρήστη πάντως, ποτέ δεν το συμπάθησα και είναι και συμβιβασμός στην ασφάλεια. Ξέροντας έναν κωδικό χρήστη μπορείς να κάνεις τα πάντα. Και στα scripts που αναφέρθηκαν παραπάνω, προτιμώ su -c και ας πρέπει να βάλω password.
Αλλά όπως βολεύεται ο καθένας, σε κάποιος που δεν θέλουν να τρέχουν χωρίς παύση, είναι αναγκαίο κακό

[Gentoo]

Για περιβάλλον απλού desktop χρήστη πάντως, ποτέ δεν το συμπάθησα και είναι και συμβιβασμός στην ασφάλεια. Ξέροντας έναν κωδικό χρήστη μπορείς να κάνεις τα πάντα.

Δεν κάνεις τα πάντα με τον κωδικό χρήστη, αν ρυθμίσεις σωστά τους sudoers. Μπορείς να επιτρέψεις συγκεκριμένες εντολές ως root στον απλό χρήστη μέσω του sudo.

Αν δώσεις "%sudo ALL=(ALL) ALL" επιτρέπεις τα πάντα, αλλά για ποιό λόγο να κάνεις κάτι τέτοιο;

[ranger]

Πως πιστεύεις ότι το έχει ρυθμίσει η πλειοψηφία;
Σε όλα τα forums / how to / wiki θα δεις σε όλα τα βήματα που θέλει root privileges να έχουν απλά ένα sudo. Μεγάλος αριθμός χρηστών δεν έχει ιδέα πως να εκτελέσει εντολή σαν root χωρίς το sudo. Ειδικά στις user friendly διανομές.
Το sudo έχει γίνει σαν το UAC στα windows, απλά ένα έξτρα βήμα (πάτα το yes και τέλος) για να τρέξεις εντολή σαν admin.

Καταλαβαίνω την ανάγκη ύπαρξης του sudo και δεν το απαξιώνω, απλά όπως έχει φτάσει να χρησιμοποιείται μόνο κακό κάνει.

[xhaos]

Μπορεί να έγινε όπως λες.
Εγώ πιστεύω ότι απλά υπάρχει για λόγους συμβατότητας και κυρίως γιατί ήρθε προίκα από το RH, όπου υπάρχει από default και απλά συνιστάται για servers να μην είναι "password free".

Για περιβάλλον απλού desktop χρήστη πάντως, ποτέ δεν το συμπάθησα και είναι και συμβιβασμός στην ασφάλεια. Ξέροντας έναν κωδικό χρήστη μπορείς να κάνεις τα πάντα. Και στα scripts που αναφέρθηκαν παραπάνω, προτιμώ su -c και ας πρέπει να βάλω password.
Αλλά όπως βολεύεται ο καθένας, σε κάποιος που δεν θέλουν να τρέχουν χωρίς παύση, είναι αναγκαίο κακό

Κοίτα (πάμε σε βαθιά νερά και ίσως να πρέπει να κάνουμε split)..... Σε πραγματικό enterprise επίπεδο έχεις δυο αντικρουόμενες δυνάμεις. από την μια έχεις τους devs που θέλουν να βγάζουν features και να διατηρούν το deployment speed τους. αυτοί συνήθως θέλουν ubuntu γιατί πολύ απλά έχει πολύ νεότερα πακέτα. από την άλλη έχεις τους SRE που είναι υπεύθυνοι για τη διαθεσιμοτητα και τη σταθερότητα του συστήματος κάνοντας διαχείριση του error budget. αυτό που δεν κάνεις ποτέ για κανένα λόγο είναι να αρχίσεις να χρησιμοποιείς 3rd party repos.
Οι δυνατές λύσεις είναι οι εξής:
1. πληρώνεις rhel ώστε να έχεις τα τελευταία ΚΑΙ ασφαλή packets.
2. είτε πας σε amazon/ ubuntu
3. είτε πας (αν έχεις ήδη κάνει modular την αρχιτεκτονικη σου βλ. Microservices) σε docker/kubernetes που έχεις alpine/amazonlinux/ubuntu containers συνήθως.

τελικά και πολύ χοντρά, αυτό που κάνεις είναι να έχεις feature ritch releases στο stateless front end (ubuntu/amazon/docker) για να μη σε πρήζουν οι dev teams και stable releases (amazon/centos) στο statefull backend (αν δεν το κάνεις outsource πχ στο AWS aurora). και όλα αυτά είναι για περιβάλλον με άπειρα queries /sec με cross availability zones κλπ που πρέπει συνέχεια να κάνεις τη κουβέντα αν η db θα πρέπει να είναι mysql, postgres, mongo ή cassandra.