Sobre vulnerabilidades no sistema (SUDO, principalmente)

25. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

MrBlackWolf
(usa Arch Linux)

Enviado em 08/05/2017 - 08:00h

Creio que todo programa que visa atuar na área de segurança do sistema tem a chance de falhas. Por isso devem ser constantemente testados, verificar os bugs reportados e efetuar as correções necessárias.

Realmente o uso do sudo em uma máquina comum, com apenas um usuário Administrador é bobagem. O uso se torna interessante quando é necessário permitir que um usuário em especial efetue o uso de um recurso em especial, que está disponível apenas para o root. Dessa forma o usuário irá fazer sua função sem necessitar saber a poderosa senha.

0 1

Quote

26. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Carlos_Cunha
(usa Linux Mint)

Enviado em 08/05/2017 - 11:34h

Um ponto negativo do sudo é que se o usuário dele for comprometido pode se ter através do history o que esse usuário andou fazendo com seus super poderes, algo que não acontece com o su.

Na verdade não, pois o history que fica no ~/.bash_history do usuário, é criado com permissão 700, ou seja somente usuário poderá ver ele(aleḿ do root/sudo).
Já os logs aonde monstra o uso do sudo, também somente um root/sudo conseguiram ler.

Apesar de não usar sudo não tenho nada contra essa ferramenta, porém para ambiente com apenas um usuário administrador acho mais interessante o su.

A vantagem de user sudo é como disse no primeira resposta, que vc fica com todos os poderes sempre, ou seja somente na hora que realmente precisa, assim evita "problemas".
Fazendo uma analogia aos Power Ranger, ele tem o poder, mas só "morfavam(sudo)" quando necessário, e depois voltavam ao normal(sem sudo).

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

2 1

Quote

27. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Carlos_Cunha
(usa Linux Mint)

Enviado em 08/05/2017 - 11:36h

pekman escreveu:

O SUDO possui problemas, inclusive o OpenBSD criou o DOAS.

https://www.openbsd.org/faq/faq10.html#doas

Configurar o DOAS e muito mais simples que o SUDO.

Bugs são falhas, isso tudo tem( ou existe algo sem problemas/bugs ?!!).
Mas nem por isso algo se torna desnecessário ou inviável, tudo depende de como é e a velocidade de correção.
Os bugs são corrigidos, assim, como ocorre no kernel por exemplo...

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

2 1

Quote

28. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

removido
(usa Nenhuma)

Enviado em 08/05/2017 - 11:41h

Sobre os bugs do SUDO:

Falta saber se ele é como um "postfix" ou como um "sendmail" da vida.
Ou como um "WordPress" ou como um "PHPNuke"

Se é que me entendem.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

0 0

Quote

29. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Carlos_Cunha
(usa Linux Mint)

Enviado em 08/05/2017 - 11:42h

meianoite escreveu:

Carlos_Cunha escreveu:

Sobre a questão de segurança, "nunca" vi provas que seja inseguro ou que vejo são pessoas que não gostam de usar ele, por muitas manias pessoais, e não insegurança, assim como Systemd, muitos reclama por não querer aprender a usar outra coisa além daquilo que ja fazem a anos.
Vou listar o por que uso o SUDO e recomendo sempre que possível usar:

1° e 2° - Ele garante que vc tera registro de quem executou a ação X, tente fazer auditoria sem isso, com todos sendo root(0/0), impossível
3° - Evita que faça algo errado sem querer, sendo root direto , qualquer coisa pode se tornar um problema
4° - Pode se limitar comados "com importância" que podem ser usados por X usuário ou Y grupo, assim garante que fica somente nisso.
5° - A vários usuários que podem ser administradores, cada um com sua senha e acesso, deixando o root como caso específicos.

Mais info:

http://wiki.ubuntu-br.org/RootSudo

Minha opinião.

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

Sudo: Permite Escalonamento de Privilégios

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sudo

https://www.cvedetails.com/product-search.php?vendor_id=0&search=sudo

http://www.linuxmint.com.br/discussion/23032/sudo-vulnerabilidade-permite-escalonamento-de-privilegi...

Mas se seguir esse pensamento, vou procurar BUGS e o que tiver não vou usar, não se pode usar Apacha/Bind/Firefox.
A bugs do kernel de mais de 10 anos, nem por isso deixamos de usar.
Bugs no sudo obviamente são críticos, e devem sim ser corrigidos rapidamente.
Mas também são na maioria(pelo que vi nos links) de difícil exploração.
Sendo assim, não considero de isso torne menos seguro ou que não deva ser usado.
A bugs ali na lista relatados em 2001(que já foram corrigidos).

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

1 0

Quote

30. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

removido
(usa Nenhuma)

Enviado em 08/05/2017 - 21:36h

Carlos_Cunha escreveu:

meianoite escreveu:

Mais info:

http://wiki.ubuntu-br.org/RootSudo

Minha opinião.

Abraço

"Falar é fácil, me mostre o código." - Linus Torvalds

Mas se seguir esse pensamento, vou procurar BUGS e o que tiver não vou usar, não se pode usar Apacha/Bind/Firefox.

Nem todo mundo usa servidor (Apacha, Bind ...) ou Firefox.

A ideia é boa procurar BUGS e o que tiver não usar ou verificar o potencial de risco que determinado programa representa com base na informação a pessoa julga se usa ou não.

A bugs do kernel de mais de 10 anos, nem por isso deixamos de usar.

Sim. Eram críticos ou não?

CVE-2016-5195

http://www.segurancabrasileira.com.br/2016/10/24/exploit-da-acesso-completo-a-qualquer-usuario-em-ci...

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195

Bugs no sudo obviamente são críticos, e devem sim ser corrigidos rapidamente.
Mas também são na maioria(pelo que vi nos links) de difícil exploração.

Difícil não significa impossível somente é uma pedra no meio do rio que com o tempo vai acabar.

Como diz o ditado popular mente vazia oficina do Diabo.

Sendo assim, não considero de isso torne menos seguro ou que não deva ser usado.

Cada uns sabe o que faz com a segurança do seu sistema.

No caso do sudo não é necessário no sistema e representa grande risco de segurança.

Três palavras: problema - incidente - risco

Qual o nível de segurança as pessoas deve esta?

A bugs ali na lista relatados em 2001(que já foram corrigidos).

Como você falou são somente os bugs relatados.

E os não relatados já foram corrigidos? Essa resposta ninguém sabe (Dia Zero)

0 0

Quote

31. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

removido
(usa Nenhuma)

Enviado em 08/05/2017 - 22:10h

MrBlackWolf escreveu:

Realmente o uso do sudo em uma máquina comum, com apenas um usuário Administrador é bobagem.

É uma GRANDE BOBAGEM.

Será que é muito difícil abrir o terminal logar como root somente para instalar, remover programas e altera os arquivos de configurações SOMENTE quando necessário e sair como o comando exit . ou é apenas uma comodidade para os usuários para não coloca a senha de root.

2 0

Quote

32. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

removido
(usa Nenhuma)

Enviado em 08/05/2017 - 22:20h

Freud_Tux escreveu:

Concordo que só a existência do SUDO é um erro.

Ele dá privilégios administrativos a um usuário comum... Ótimo a besteria tá feita!
Esse usuário já abre a sessão dele com um pedacinho do sistema com privilégios administrativos. Vamos supor, que ele use o Libreoffice com o Java... E vamos supor, que esse Java tenha uma falha que possibilite dar acesso a sessão do usuário...
Vamos supor então, que alguém com bastante tempo livre, ache essa falha nesse Java e dispara um ataque.
Logo, temos uma máquina com semi-poderes de adm nas mãos de terceiros, e pra ele ter acesso a todo o sistema é questão apenas de tempo.

O sudo não é uma boa ideia e nunca foi, se for pra ter sudo, é melhor usar janelas logo.
A ideia é subir o root apenas quando for necessário e pronto, deixar um usuário comum com poderes de adm em qualquer máquina não é uma boa ideia.

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

Comodidade para os usuários iniciantes e para os usuários preguiçosos.

3 0

Quote

33. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

raserafim
(usa Slackware)

Enviado em 24/05/2017 - 22:10h

MrBlackWolf escreveu:

Realmente o uso do sudo em uma máquina comum, com apenas um usuário Administrador é bobagem. O uso se torna interessante quando é necessário permitir que um usuário em especial efetue o uso de um recurso em especial, que está disponível apenas para o root. Dessa forma o usuário irá fazer sua função sem necessitar saber a poderosa senha.

penso que o colega citado colocou muito bem a especificidade do sudo.

o sudo pode até significar uma concessão de algum nível na segurança do sistema.

no entanto, para uma situação em que um usuário precisa executar, como uma de suas atividades rotineiras, alguma atividade que demanda o acesso de root, nestes casos, o sudo seria uma concessão menor de segurança do que oferecer a senha de root a esse usuário.

nesse caso levantado, o sudo poderia ser configurado para dar acesso de root a uma atividade em específico utilizando a própria senha do usuário...por exemplo.. para instalar programas (mas não permitir desinstalar programas)...

0 2

Quote

34. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

Giovanni_Menezes
(usa Devuan)

Enviado em 31/05/2017 - 19:55h

Alerta, NOVA vulnerabilidade descoberta no SUDO, quem faz uso deve atualizar seu respectivo sistema o mais rápido possível.

https://www.cyberciti.biz/security/linux-security-alert-bug-in-sudos-get_process_ttyname-cve-2017-10...

Para *buntos já esta nos repos oficiais.
http://imgur.com/a/Zj0jr

--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/

0 0

Quote

35. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

removido
(usa Nenhuma)

Enviado em 01/06/2017 - 01:39h

Notícia importantíssima. Valeu.

Acabei de atualizar meu Debian e um pacote sudo veio junto no upgrade. Tudo em casa.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

1 0

Quote

36. Re: Sobre vulnerabilidades no sistema (SUDO, principalmente)

removido
(usa Nenhuma)

Enviado em 01/06/2017 - 12:53h

Para acaba com as vulnerabilidades do SUDO => apt-get remove --purge sudo* (derivados do debian) ou yum remove sudo (Centos e outros) ..................

É só remover esse lixo do sistema.

0 0

Quote