https://opennet.ru/openforum/vsluhforumID3/132369.html Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, [[https://tim.siosm.fr/blog/2023/12/19/ssh-over-unix-socket/ предложил]] заслуживающий внимания способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет. <br><br>Проверка полномочий осуществляется на основе SSH-ключей. Для ограничения доступ дополнительно может быть задействовано подтверждение полномочий при помощи USB-токена (например, Yubikey). Использование ssh вместо sudo позволяет избавиться от suid-программ в системе и организовать выполнение привилегированных команд в хост-окружении дистрибутивов, использующих контейнерную изоляцию компонентов, таких как Fedora Silverblue, Fedora Kinoite, Fedora Sericea и Fedora Onyx. <br><br>Настраиваем серверные компоненты OpenSSH для доступа через локальный Unix-сокет ( https://opennet.ru/openforum/vsluhforumID3/132369.html#21 Mon, 01 Apr 2024 11:58:16 GMT Способ интересный, но мне кажется лучше всего использовать, если вдруг нужно, не вместо судо а вместе с ним<br>Особенно с внешними железными ключами<br>Хз, имеет ли вообще смысл такой сценарий где нибудь на особо секретных предприятиях, где например на проходной тебе каждый день дают новую юсб флешку с ключом<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#20 Tue, 27 Feb 2024 19:46:51 GMT Идея красивая, спору нет. Но во-первых - оверхед (ssh-у нужно как ни крути туда-сюда все шифровать), во-вторых уже помянутая проблема необходимости второго фактора, в-третьих - плюс одна пара токенов, которые нужно менеджить и регулярно ротировать.<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#19 Sun, 24 Dec 2023 06:55:21 GMT можно например защитить его паролем пользователя, а при входе автоматически разблокировать с помощью pam_ssh<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#18 Sat, 23 Dec 2023 21:30:39 GMT А ещё вместо классического ssh, использовать вот этот https://github.com/francoismichel/ssh3<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#17 Sat, 23 Dec 2023 10:08:47 GMT https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Documentation/security/Yama.txt?h=v4.12<br><br>Для хранения ключей рекомендуют использовать апаратные ключи безопасности:<br>https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-all-linux-kernel-developers-nitrokey-usb-keys<br>https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-developers-usb-keys<br>https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-keys<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#16 Sat, 23 Dec 2023 09:53:50 GMT Почему не использовать современную дыру от поцтеринга: dbus+polkit: https://www.linux.org.ru/forum/security/15600248?cid=15601109<br><br>Правельный путь CAP: https://www.opennet.ru/openforum/vsluhforumID3/132366.html#85<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#15 Thu, 21 Dec 2023 15:19:29 GMT Ну так логично, идут по пути Андроида. Хотят чтобы никаких рутов и рут доступа к начинке. Софтик вот уже в флатпаках и снапах, по сути, вне классической системы пакетов. Магазинчики приложений красивые для того же делают, чтобы меньше нос совали.<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#14 Thu, 21 Dec 2023 11:56:50 GMT примерно так использую <br>$ ssh -X secret@localhost torfi firefox-esr<br>/home/secret - закриптован<br>для скрытого сидения в инете, но sudo не отменяет<br> https://opennet.ru/openforum/vsluhforumID3/132369.html#12 Wed, 20 Dec 2023 15:00:32 GMT &gt; заслуживающий внимания способ ухода<br><br>Очередное "упрощение", которое в итоге выливается во всё бОльшую огороженность системы от модифицирования локальным пользователем (с такими уходами останется одна консоль с клавой и монитором)<br>