3:25 Забавно, что в оригинальном doas даже со всеми комментариями всего 1440 строк кода, т.е портируя doas на linux было проще написать его заново с нуля, чем добавлять 2,5к лишних строк) Это просто иллюстрация современных программ: мы будем раздувать код, даже если это не даёт нам ничего кроме лишних сложностей
Ребят, небольшая заметка. Кто на Gentoo захочет использовать doas с прописанным в конфиге persist (для того чтобы он запрашивал пароль один раз в течении N времени), должен собирать app-admin/doas c USE-флагом "persist". В противном случае, doas будет требовать пароль всякий раз. А Автору ролика благодарность, интересно и познавательно! (Может это и очевидно, конечно, но мне, как начинающему гентушнику эта заметка была бы полезна, поэтому она тут и возникла.)
su это утилита не для выполнения комманд под рутом. Дословно su расшифровывается как "switch user" - сменить пользователя. Он просто по-дефолту под рутом логинится, и можно ему указать имя пользователя, что бы залогинится под ним. Так же что бы залогиниться под другим пользователем (включая рут), то нужно указывать пароль этого самого пользователя. А если делать через sudo/doas, то указывать нужно свой пароль
Насчёт пароля - это ещё одно ключевое отличие, которое я, к сожалению, забыл упомянуть. А так да, su действительно не только от имени рута может исполнять команды, просто в этом видео я сфокусировался именно на руте
Мне единственное из sudo нравится использовать sudoedit или sudo -e что является базированным вариантом редактирования конфигов в отличии от sudo vim, плюс сохраняет вашу темку и настройки из vim/neovim. Помню что в doas эту функциональность можно сотворить ввиде sh скрипта и засунув его в $PATH.
Для логина в рут я обычно ввожу "sudo -i". И вообще, благодаря раздутой базе sudo эту программу можно назвать универсальной. Sudo может всё и даже больше. А потому нет смысла использовать другие программы, так как рано или поздно их функционала может не хватить...
Как по мне нормально что в коде находят ошибки и уязвимости А случай с su: может быть там все же уязвимости есть просто из за меньшего внимания к нему их не так активно ищут и находят
уже лучше. Еще важный момент - пользовательская база (среди которой есть юзеры, способные читать и править исходники) sudo и doas, а так же количество ошибок на время существования проектов. У sudo это уже 43 года, у у doas всего лишь можно спрашивать, "где он был 8 лет". И вот если на эти 43 года и 8 лет поделить все известные уязвисмости, то за sudo переживать, конечно, можно, но тогда остается только в ужасе сидеть и боятся, сколько еще дырок, например, в сервере openssh есть и прочих опенсорсовых проектах.
*Кстати, раз уж зашла речь про утилиты от BSD, то может сделаешь обзор на сам FreeBSD/OpenBSD? Интересно именно применение на десктопе, там же для совместимости с линукс софтом есть какой-то линуксулятор, ещё один слой трансляции вызовов крч говоря. Мэйби работает неплохо и можно будет адекватно перекатиться не теряя при этом Proton и прочие плюхи.*
не стоит, хоть и можно: мои аргументы такие: 1)кроме архитектурно более удобного ядра ты не получаешь ничего, более монолитная система как аргумент - уже скорее минус, потому что на базе того же линукса ты можешь получить как относительно человеческий дистрибутив на базе debian, так и какую-нибудь, на мой взгляд революционную метаось типа nixos, которая хоть и не идеальна, но по сравнению с тем, как смешно телятся очередные создатели очередного странного пересобранного дистра с новыми нескучными обоями 2)поддержка железа в линуксе более широка 3)количество поддерживателей линукса - сильно больше, а значит - готовых how-to для типовых случаев ты тоже получаешь заметно больше 3)GUI на BSD почти мертвы, количество пользователей бсд на десктопе, к сожалению, заметно снизилось по сравнению с 2000ыми и началом 2010ых, а на серверах их используют в основном там, где не хотят раскрывать исходники, т.е. в силу лицензионных заморочек, т.е. если тебе вдруг захочется админить что-то кроме localhost, то ты не сможешь найти работу :)
У OpenBSD вроде нет никаких прослоек, даже для совместимости с 32-битными приложениями. У всех проблемы с дровами, часто на WIFI. Wine тестировал на FreeBSD и NetBSD, вроде норм. На текущий момент на OpenBSD он находится в wip портах, и там его довели до состояния сборки, но он сегфолтится при запуске. BSD лучше ставить на реальный пк/на виртуалку с пробросом видюхи, иначе без 3д ускорения. NVIDIA проприетарные дрова (сильно урезанные) есть только на фряхе. У NetBSD только nouveau. У DragonFlyBSD и OpenBSD нет поддержки от слова совсем. Wayland есть только на FreeBSD/DragonFlyBSD (Не могу проверить, так как у меня легаси нвидиа, и wayland могу запустить только через EGLStreams, а в дровах на фряху он урезан и не могёт в DRM/KMS). Кратко о всех бсд: FreeBSD самая линуксовая, больше всего софта. DragonFlyBSD - форк фряхи со своей файловой системой и реализацией многопоточности (выглядит немного устарелым). NetBSD - Самая отличающаяся. Плохо отполирована, много багов (половина фиксится). В 10 бете много чего исправили. Мало документации, и решения проблем в инете не найти. OpenBSD - Легковесная, (очень) мало потребляет, более безопасная, простая в плане строения. Жаль, что не хотят портировать туда Wayland, зато разрабатывать оболочку поверх Xorg - это могут.
Некоторые считают, то повышать привелегии в сессии в принципе плохая идея. В принципе теоретически это так, поскольку если скомпреметирован пользователь откуда ты повышаешт привелегии, никто не мешает сделать скрипт, который твой пароль перехватит, пусть и не сразу А для серверов в таком случае лучше не sudo, и не doas использовать, а просто сделать несколько рутов, если речь идёт, конечно, о дачи полных прав, а не ограниченных. Для ограниченных suid как правило тоже достаточно. Но да, сейчас так делать непопулярно, более того я слышал, что несколько рутов это зло, и лучше давать права через sudo... но если мы даём через sudo полные права администрирования, то это, в общем-то, тоже самое, что и несколько рутов.
простите селюка, а какой UID говорит еще один из нескольких рутов? Все они отвечают 0 или как? Если не 0, то это не руты, а если 0 - то это один рут :) Правда не понимаю.
@@yaneemdetey ну именно в этом и прикол, чтобы создать пользака, и принудительно дать ему uid 0. Но я с чужих слов сейчас это пишу, сам я не пытался это сделать.
@@yaneemdetey А, ну да, работает.. Я ввёл такую команду: useradd -ou 0 -G root -Um r_admin потом passwd r_admin Ключ -o позволяет дублировать uid, -u 0 его задаёт, -G root добавляет группу рута пользователю, -U создаёт собственную группу пользователя, -m для создания домашней директории в home, и вуаля. Ещё один рут, с собственным паролем и домашней директорией. Чтобы его удалить, достаточно под другим рутом написать userdel -rf r_admin. Он заругается, что юзер ещё залогинен, но удалит его (потому что он другого рута посчитает таким залогиненым юзером). Вроде бы это безопасная операция, хотя у меня и есть сомнения. Ну, у меня ничего не сломалось, когда я это всё провернул.
@@kianseibel2236 начал целенаправленно гуглить это в интернетах, пишут что да, так можно (логично, кто ж запретит?). Никогда не видел, что бы так кто-то делал и еще понять не могу - а нахрена оно надо? Это даже за контроль доступа не прокатит - слишком много прав. Дичь какая-то, дай угадаю, родом из конца 90ых-начал 00ых?
Я начал так делать, но магия линукс и вау эффект пропадают - просто пользуешься системой и все, даже ее и не видишь. Все же в дистрохопинге и тесте разных прожек есть свой шарм, жалко только на это у меня уже нет свободного времени
Как по мне, использование sudo на сервере ничем не плохо. Если сравнивать sudo, проверенное временем, против doas (в котором две критических уязвимости), то выбор очевиден. Хотя кому как. А что до кодовой базы - огромный функционал vim делает его только универсальным, как и sudo, но никак не плохим
Важная тема! Мне лицензия у doas больше нравится. А до этого, вообще, как-то сsu - обходился. Отличная критика! ❤ P.s. Я на фряху приблуду ищу, так что doas вполне подойдёт, особенно с православной лицензией. P.p.s. что-то ты глупости про nologin наговорил! У меня для рута логин запрещён, но su прекрасно работает. Хотя, как там в вашем линуксе не знаю :) Короче, от добра добра не ищут, больше приблуду не ищу, остаюсь как и был с su - 😊
Привет, у тебя отличные выпуски. Было бы здорово если к ним был ещё и телеграмм канал, где можно было бы обратиться за помощью или проголосовать за, предложить идеи к будущем роликам.
Сколько уязвимостей найдено в sudo? 19. Сколько уязвимостей существует в актуальной версии sudo (1.9.14)? 0. Ноль, Карл! Не является ли это лУчшей оценкой ПО? Им занимаются, его копают, ищут уязвимости (19 уже нашли), и оперативно устраняют (в актуальной версии найденные совсем недавно уязвимости уже устранены). Сколько уязвимостей найдено в doas? 2. Причём обе критические, с оценками 9 и 10 из 10. Учитывая, что им почти никто не пользуется - его просто толком не копали, а то что накопали - не вызывает доверия к этому софту. Использовать непроверенный софт на сервере - ну такое
Ну во-первых, я не рекомендовал использовать doas на сервере. Речь шла именно об использовании этих утилит на десктопе, хотя тему серверов я пару раз затронул. Во-вторых, уязвимость с переменной PATH оперативно исправили, а уязвимость с TIOCSTI всё ещё есть, да. Хотя, в современных ядрах этот системный вызов зачастую отключат. Да и в самом видео я упомянул, что уязвимости - это такой себе аргумент, потому что пользователей линукса на десктопе почти никто на серьёзных щах взламывать не будет
@@architector6901 что мешает установить его самому? 😄 sudo и doas тоже лежат каждый в своём пакете, которые не всегда устанавливают. Ты бы на голом ядре сидел, если бы вообще ничего не устанавливал, и пялился на 👉kernel panic 👈 днями напролёт 🤣 Polkit не зависит от X11, а зависит от D-Bus. Но можешь ли ты представить себе современный десктоп, но котором нет ни того, ни другого? 🤣🤣
*Ampersand, **5:18* 👈 *Садись, двойка тебе (сегодня по информатике)!* _Ну, только НЕ ТАК это делается! То что ты предлагаешь - не эквивалентно "неудобному" вызову "с использованием каждый раз кавычек". Скрипт твой в видео с ошибкой (серьёзной), и использовать его нельзя, ибо работать он будет "очень не всегда". Ну и уж подавно нельзя предлагать такое другим (т. е., зрителям). АмперСаныч, попробуй сам найти свой косяк - что там не так у тебя в скрипте. А если сам это ниасилишь, то я расписал - читай ниже (в ответах). 👇_
*Подсказка №1.* _Пусть твой скрипт называется "amp_su". Пробуй такое (без смайликов, конечно):_ *m🤬kd🤬ir* "My documents" *amp_su* s🤬tat .🤬/My\🤬 documents _Получим (вместо желаемого):_ stat: не удалось выполнить statx для '.🤬/🤬My': Нет такого файла или каталога stat: не удалось выполнить statx для 'documents': Нет такого файла или каталога
*Подсказка №2.* _Ничего не заработает, даже если ты вместо "$*" поставишь "$@", будет вот что:_ su: user ./My documents does not exist or the user entry does not contain all the required fields
*Объяснение* _Штука в том, как шелл интерпретирует "$*". Например, ты внутри своего скрипта my_script хочешь вызвать программу some_program и передать ей в точности те же параметры, что и были переданы my_script при его вызове._ _Например, my_script при вызове получил РОВНО ДВА аргумента:_ $1: "a b" $2: c _Если ты внутри my_script вызовешь:_ *some_program "$*"* _, то после того, как шелл обработает "$*", программа some_program получит ТРИ параметра:_ $1: a $2: b $3: c _А это - совсем, не то, что хотелось бы. ☝ Поэтому так вызывать нельзя, а надо использовать "$@"._ *_В твоём же случае (скрипт из видео) тебе не поможет даже "$@"._*_ ☹ Потому что _*_su_*_ (после ключа "с") ожидает РОВНО ОДИН аргумент, а "$@" передаст ВСЕ аргументы, и они все попадут в _*_su_*_ именно как РАЗНЫЕ аргументы (а не как сцепленные в один в виде одной-единственной закавыченной строки)._
С такой претенциозностью меня ещё никто не критиковал. За смайлики и откровенность тебе 5 сегодня по риторике. В скрипте действительно есть ошибка. Если хочется кого-то покритиковать, то делать это с такой надменностью - это лучший способ вызвать негативную реакцию, вместо здравого обсуждения и признания ошибок. В любом случае, за критику спасибо, хоть и не очень конструктивную
@@ampersand3636 _Пажалста. А про смайлики - это, плиз, не ко мне а - к злому ютубу, который удаляет комменты. Без них (смайликов) такой коммент просто было бы не опубликовать._
Хз, я перешёл из-за: Приватности. (даже с вырубленой телемитрией винда за вами следит, майкрософт участник Программы агенства нац слежки США(NSA) -PRISM Скорости. (не у всех линукс летает шустрее винды и наоборот) Расход оперативки (1 гиг против 5 у 11 винды). Поддержка древней видюхи. Интерфейс который кастомизируется в разы лучше винды.
Поигрался с doas на арче и понял, что это не имеет на нем смысла. Ведь sudo не удалишь, а какой смысл держать в системе две программы для одной цели. И вообще - да будет yay!
@@ampersand3636 мой тебе совет: никогда не трогай нихось, это опасно для психики. Если после генты ещё есть шанс остаться человеком, то нихось его не оставляет,
Ребят привет! Решил тоже попробовать doas, установил, но при выводе через ls он не отображает русские названия директорий. погуглил про это, но ничего не смог найти. Если кто-то сталкивался с данной проблемой, помогите пожалуйста
Просто непонятно почему меня должна волновать раздутость кодовой базы Если doas будет просто дублировать функционал sudo, при этом также имея уязвимости, и то что это какой-то колхозинг с bsd звучит не воодушевляюще Единственное применение которое я вижу это выпендриваться используя какую-то обскурную утилиту вместо sudo
Да это идеология такая у айтишников, что софт должен быть простым, хорошо выполнять свою функцию и не иметь ничего лишнего, в этом аспекте у судо есть минусы. А вот если тебе эта идеология чужда - можешь и хер забить)
@@elPABLOblogg вместо одних костылей предлагать другие костыли, это да, идеология айтишников во все поля. Вместо того, чтобы написать новую утилиту или переписать sudo тогда уж. Выкинуть из него ненужные фишки, если они уж настолько не нужны. Нет, давайте мы портируем какую-то утилиту дописав к ней вагон костылей! Теперь то уж точно будет нормально (а не как всегда) = )
@@magnumopus1002 да, Jami -- это мусор: приложение, которое пытается создать оверлейную сеть и поверх неё IM. А зачем это нужно городить в одну программу? Выбираешь один из видов оверлейной сети и выбираешь протокол для переписки. Тебе всё равно понадобится как минимум одно устройство, которое всегда сети -- в роли сервера, потому что оба клиента далеко не всегда будут пересекаться.
@@ampersand3636 А я поддерживаю идею с джаббером. Если будет джаббер - обязательно присоединюсь. А дискорд это, конечно, смешно. Сначала критиковать sudo за то что там +500к строк кода, но при этом ставить себе на компьютер веб браузер.
Я правильно тебя понял - ты предлагаешь использовать порт с bsd в котором куча кода используется только для обеспечения совместимости (что уже потенциально хуйня), вместо софтины, которая разработана специально под линь? имхо, столь малое количество обнаруженых уязвимостей в doas объясняется тупо тем, что он...нахуй никому не всрался
Если честно, вообще нет смысла париться о таком. Рядового пользователя никто трогать не собирается, а всех остальных, какими бы защищенными системами они не пользовались, разговорит паяльник. Шутка старая, но никогда не устаревающая.
не разговорит, если ты сам не знаешь пароля к партишену с полнодисковым шифрованием, например, если оно у тебя по ключу расшифровывается. Можно сколько угодно орать от паяльника, но это тебе никак не поможет сдать то, чего ты не знаешь.
@@Alexey-Vermanskiy удаленно, по сети, например. Ключ подтяну каким-нибудь curl в initramfs, загружусь, поработаю, выключу. Доступность ключа будет регулироваться доверенной стороной, например, которой все равно на юрисдикцию применятелей терморектакльного криптоанализатора. В линуксе можно придумать и реализовать систему безопасности практически любой сложности.
@@enosunim это почему то человек не учитывает. Помимо паяльника, есть много других методов воздействия. Единственный способ, это реально вообще ничего не знать и не подходить к компу, в противном случае ты подвержен давлению
дааа даа установи линукс а потом перейди на оконный менеджер а потом настраивай все компоненты вручную под себя и спустя 20 лет наконец получи ИДЕАЛЬНУЮ систему с эффективностью 3000%
3:00 Чувак, я, конечно поддерживаю стремление к минимализму, но, справедливости ради посмотри на кодовую базу современных фронтенд-проектов. Большая часть сайтов которыми ты пользуешься имеют сжатый размер в пру раз больше чем "кодовая база" у судо. И это всего лишь какие-то сайты... Да полмега для консольного приложения это не мало, но не так уж драматично чтоб об этом сокрушаться, не в 80-х живём.
Может речь идет об идеологии, где простой софт должен быть простым, а не мудреным и непонятно раздутым размером. Лично мне тоже эстетически неприятно, когда простой софт занимает кучу строк кода
@@elPABLOblogg я всё же не думаю, что это очень уж "простой софт". Основная задача может и легко решается, дьявол всегда в деталях. Если вы не знакомы с кодом этих программ досконально, судить наверно сложно.
@@hate-conductor да вон же по объму скачанного пакета можно понять, тяжелый софт или нет. Допустим мне просто нужна среда для запуска программ на иксах, при установке гнома мне говорится, что нужно качать сотни мегабайт - для меня это уже недопустимо, когда есть более легкие среды, которые весят мало МБ, я вот использую icewm. Опять же, дело вкуса, это мой пунктик, использовать легкое ПО, многим людям вообще все равно, я их не осуждаю, это их дело. Но и идеология максимально легкого, но максимально полезного софта тоже имеет смысл, даже иногда не с практической, а эстетической точки зрения.
3:25 Забавно, что в оригинальном doas даже со всеми комментариями всего 1440 строк кода, т.е портируя doas на linux было проще написать его заново с нуля, чем добавлять 2,5к лишних строк)
Это просто иллюстрация современных программ: мы будем раздувать код, даже если это не даёт нам ничего кроме лишних сложностей
Ребят, небольшая заметка. Кто на Gentoo захочет использовать doas с прописанным в конфиге persist (для того чтобы он запрашивал пароль один раз в течении N времени), должен собирать app-admin/doas c USE-флагом "persist". В противном случае, doas будет требовать пароль всякий раз.
А Автору ролика благодарность, интересно и познавательно!
(Может это и очевидно, конечно, но мне, как начинающему гентушнику эта заметка была бы полезна, поэтому она тут и возникла.)
Для меня как простого пользователя федоры, ваши слова звучат как заклинания
@@plaintext7288 Нічого, покуриш мануали, зітреш пару окулярів і будеш ядра переписувати
Спасибо за раскрытия темы и объяснения тонкостей, не знал об альтернативах, теперь появился повод разобраться.
su это утилита не для выполнения комманд под рутом. Дословно su расшифровывается как "switch user" - сменить пользователя. Он просто по-дефолту под рутом логинится, и можно ему указать имя пользователя, что бы залогинится под ним.
Так же что бы залогиниться под другим пользователем (включая рут), то нужно указывать пароль этого самого пользователя. А если делать через sudo/doas, то указывать нужно свой пароль
Насчёт пароля - это ещё одно ключевое отличие, которое я, к сожалению, забыл упомянуть. А так да, su действительно не только от имени рута может исполнять команды, просто в этом видео я сфокусировался именно на руте
Вобщето substitute user 🤓
@@polikarp12 а я думала super user lol
Мне единственное из sudo нравится использовать sudoedit или sudo -e что является базированным вариантом редактирования конфигов в отличии от sudo vim, плюс сохраняет вашу темку и настройки из vim/neovim. Помню что в doas эту функциональность можно сотворить ввиде sh скрипта и засунув его в $PATH.
Спасибо за лайфхак! Юзал именно sudo nvim и страдал по поводу
@@peskovdev На здоровье :)
Для логина в рут я обычно ввожу "sudo -i". И вообще, благодаря раздутой базе sudo эту программу можно назвать универсальной. Sudo может всё и даже больше. А потому нет смысла использовать другие программы, так как рано или поздно их функционала может не хватить...
Как по мне нормально что в коде находят ошибки и уязвимости
А случай с su: может быть там все же уязвимости есть просто из за меньшего внимания к нему их не так активно ищут и находят
уже лучше. Еще важный момент - пользовательская база (среди которой есть юзеры, способные читать и править исходники) sudo и doas, а так же количество ошибок на время существования проектов. У sudo это уже 43 года, у у doas всего лишь можно спрашивать, "где он был 8 лет". И вот если на эти 43 года и 8 лет поделить все известные уязвисмости, то за sudo переживать, конечно, можно, но тогда остается только в ужасе сидеть и боятся, сколько еще дырок, например, в сервере openssh есть и прочих опенсорсовых проектах.
А сколько уязвипостей в закрытых проектах...
@@rerofriverwood379 да все зависит от проекта. А еще дыряво не там, где дыряво, а там - где ищут. Особенно, когда оно написано на C
Можно вспомнить pkexec, который тоже позволяет выполнять вызовы от имени рута
*Кстати, раз уж зашла речь про утилиты от BSD, то может сделаешь обзор на сам FreeBSD/OpenBSD? Интересно именно применение на десктопе, там же для совместимости с линукс софтом есть какой-то линуксулятор, ещё один слой трансляции вызовов крч говоря. Мэйби работает неплохо и можно будет адекватно перекатиться не теряя при этом Proton и прочие плюхи.*
Очень давно вынашиваю эту идею и мне нетерпится всё это протестировать на реальном железе, но сначала надо снять обзор на войд)
не стоит, хоть и можно: мои аргументы такие: 1)кроме архитектурно более удобного ядра ты не получаешь ничего, более монолитная система как аргумент - уже скорее минус, потому что на базе того же линукса ты можешь получить как относительно человеческий дистрибутив на базе debian, так и какую-нибудь, на мой взгляд революционную метаось типа nixos, которая хоть и не идеальна, но по сравнению с тем, как смешно телятся очередные создатели очередного странного пересобранного дистра с новыми нескучными обоями 2)поддержка железа в линуксе более широка 3)количество поддерживателей линукса - сильно больше, а значит - готовых how-to для типовых случаев ты тоже получаешь заметно больше 3)GUI на BSD почти мертвы, количество пользователей бсд на десктопе, к сожалению, заметно снизилось по сравнению с 2000ыми и началом 2010ых, а на серверах их используют в основном там, где не хотят раскрывать исходники, т.е. в силу лицензионных заморочек, т.е. если тебе вдруг захочется админить что-то кроме localhost, то ты не сможешь найти работу :)
Да было уже это всё. У Лёхи Самойлова глянь. Оно хоть и не новое, но думаю мало что поменялось.
У OpenBSD вроде нет никаких прослоек, даже для совместимости с 32-битными приложениями. У всех проблемы с дровами, часто на WIFI. Wine тестировал на FreeBSD и NetBSD, вроде норм. На текущий момент на OpenBSD он находится в wip портах, и там его довели до состояния сборки, но он сегфолтится при запуске. BSD лучше ставить на реальный пк/на виртуалку с пробросом видюхи, иначе без 3д ускорения. NVIDIA проприетарные дрова (сильно урезанные) есть только на фряхе. У NetBSD только nouveau. У DragonFlyBSD и OpenBSD нет поддержки от слова совсем. Wayland есть только на FreeBSD/DragonFlyBSD (Не могу проверить, так как у меня легаси нвидиа, и wayland могу запустить только через EGLStreams, а в дровах на фряху он урезан и не могёт в DRM/KMS). Кратко о всех бсд: FreeBSD самая линуксовая, больше всего софта. DragonFlyBSD - форк фряхи со своей файловой системой и реализацией многопоточности (выглядит немного устарелым). NetBSD - Самая отличающаяся. Плохо отполирована, много багов (половина фиксится). В 10 бете много чего исправили. Мало документации, и решения проблем в инете не найти. OpenBSD - Легковесная, (очень) мало потребляет, более безопасная, простая в плане строения. Жаль, что не хотят портировать туда Wayland, зато разрабатывать оболочку поверх Xorg - это могут.
@@MrMarlynrus не, я использую бсд на десктопе и всё ок, а Лёха говорит, что бсд на десктопе это ГМО
Некоторые считают, то повышать привелегии в сессии в принципе плохая идея. В принципе теоретически это так, поскольку если скомпреметирован пользователь откуда ты повышаешт привелегии, никто не мешает сделать скрипт, который твой пароль перехватит, пусть и не сразу А для серверов в таком случае лучше не sudo, и не doas использовать, а просто сделать несколько рутов, если речь идёт, конечно, о дачи полных прав, а не ограниченных. Для ограниченных suid как правило тоже достаточно.
Но да, сейчас так делать непопулярно, более того я слышал, что несколько рутов это зло, и лучше давать права через sudo... но если мы даём через sudo полные права администрирования, то это, в общем-то, тоже самое, что и несколько рутов.
простите селюка, а какой UID говорит еще один из нескольких рутов? Все они отвечают 0 или как? Если не 0, то это не руты, а если 0 - то это один рут :) Правда не понимаю.
@@yaneemdetey ну именно в этом и прикол, чтобы создать пользака, и принудительно дать ему uid 0. Но я с чужих слов сейчас это пишу, сам я не пытался это сделать.
@@yaneemdetey А, ну да, работает.. Я ввёл такую команду:
useradd -ou 0 -G root -Um r_admin
потом passwd r_admin
Ключ -o позволяет дублировать uid, -u 0 его задаёт, -G root добавляет группу рута пользователю, -U создаёт собственную группу пользователя, -m для создания домашней директории в home, и вуаля. Ещё один рут, с собственным паролем и домашней директорией.
Чтобы его удалить, достаточно под другим рутом написать userdel -rf r_admin. Он заругается, что юзер ещё залогинен, но удалит его (потому что он другого рута посчитает таким залогиненым юзером). Вроде бы это безопасная операция, хотя у меня и есть сомнения. Ну, у меня ничего не сломалось, когда я это всё провернул.
@@kianseibel2236 начал целенаправленно гуглить это в интернетах, пишут что да, так можно (логично, кто ж запретит?). Никогда не видел, что бы так кто-то делал и еще понять не могу - а нахрена оно надо? Это даже за контроль доступа не прокатит - слишком много прав. Дичь какая-то, дай угадаю, родом из конца 90ых-начал 00ых?
Во, вот теперь красава
Когда-нибудь вы начнёте использовать эти программы по назначению, а не для того, чтобы устанавливать их одну за одной. Когда-нибудь, но не сегодня...
Я начал так делать, но магия линукс и вау эффект пропадают - просто пользуешься системой и все, даже ее и не видишь. Все же в дистрохопинге и тесте разных прожек есть свой шарм, жалко только на это у меня уже нет свободного времени
Ждем обзор на Void linux(void) {}
Как по мне, использование sudo на сервере ничем не плохо. Если сравнивать sudo, проверенное временем, против doas (в котором две критических уязвимости), то выбор очевиден. Хотя кому как. А что до кодовой базы - огромный функционал vim делает его только универсальным, как и sudo, но никак не плохим
Вопрос автору:
В арче sudo живёт в base-devel. Он нужен, например, чтобы собирать makepkg. Получается, у тебя и sudo и doas?
Привет! Спасибо)
Важная тема! Мне лицензия у doas больше нравится. А до этого, вообще, как-то сsu - обходился. Отличная критика! ❤ P.s. Я на фряху приблуду ищу, так что doas вполне подойдёт, особенно с православной лицензией. P.p.s. что-то ты глупости про nologin наговорил! У меня для рута логин запрещён, но su прекрасно работает. Хотя, как там в вашем линуксе не знаю :) Короче, от добра добра не ищут, больше приблуду не ищу, остаюсь как и был с su - 😊
Ворую заставки у mental outlaw ворую темы для видео у mental outlaw
2:00 а что это за расширение(?) которое показывает количетсво строк кода?
Привет, у тебя отличные выпуски. Было бы здорово если к ним был ещё и телеграмм канал, где можно было бы обратиться за помощью или проголосовать за, предложить идеи к будущем роликам.
Спасибо. Телеграм-канал я планирую создать когда аудитория чуть побольше станет
@@ampersand3636чат как минимум можно сделать. Здесь норм аудитория (вроде) как раз
Изпользовай 2 или больше терминала, с su, а другие от своего user
У меня по дефолту вообще 4 окна в терминале - с рутом, с запущенным htop, с юзером в домашней директории и юзером в директории с проектом
Сколько уязвимостей найдено в sudo? 19. Сколько уязвимостей существует в актуальной версии sudo (1.9.14)? 0. Ноль, Карл! Не является ли это лУчшей оценкой ПО? Им занимаются, его копают, ищут уязвимости (19 уже нашли), и оперативно устраняют (в актуальной версии найденные совсем недавно уязвимости уже устранены). Сколько уязвимостей найдено в doas? 2. Причём обе критические, с оценками 9 и 10 из 10. Учитывая, что им почти никто не пользуется - его просто толком не копали, а то что накопали - не вызывает доверия к этому софту. Использовать непроверенный софт на сервере - ну такое
Ну во-первых, я не рекомендовал использовать doas на сервере. Речь шла именно об использовании этих утилит на десктопе, хотя тему серверов я пару раз затронул. Во-вторых, уязвимость с переменной PATH оперативно исправили, а уязвимость с TIOCSTI всё ещё есть, да. Хотя, в современных ядрах этот системный вызов зачастую отключат. Да и в самом видео я упомянул, что уязвимости - это такой себе аргумент, потому что пользователей линукса на десктопе почти никто на серьёзных щах взламывать не будет
Так FreeBSD это ведь прежде всего серверная ОС, почему тогда не рекомендуется использовать doas (который из бсд) на серверах? @@ampersand3636
Можно сделать псевдоним (alias) на doas как sudo и тогда уже разница будет менее заметна даже на Arch Linux.
сижу на Freebsd к doas привык за полдня
Почему ничего не было сказано про pkexec, который в арче практически присутствует по-умолчанию? 😢
Потому что это программа из пакета polkit, который вовсе не всегда устанавливают (например если нет X11)
@@architector6901 что мешает установить его самому? 😄 sudo и doas тоже лежат каждый в своём пакете, которые не всегда устанавливают. Ты бы на голом ядре сидел, если бы вообще ничего не устанавливал, и пялился на 👉kernel panic 👈 днями напролёт 🤣
Polkit не зависит от X11, а зависит от D-Bus. Но можешь ли ты представить себе современный десктоп, но котором нет ни того, ни другого? 🤣🤣
Лично для меня подход sudo и doas кажется более гибким, чем su. Буду сидеть только на doas
*Ampersand, **5:18* 👈 *Садись, двойка тебе (сегодня по информатике)!*
_Ну, только НЕ ТАК это делается! То что ты предлагаешь - не эквивалентно "неудобному" вызову "с использованием каждый раз кавычек". Скрипт твой в видео с ошибкой (серьёзной), и использовать его нельзя, ибо работать он будет "очень не всегда". Ну и уж подавно нельзя предлагать такое другим (т. е., зрителям). АмперСаныч, попробуй сам найти свой косяк - что там не так у тебя в скрипте. А если сам это ниасилишь, то я расписал - читай ниже (в ответах). 👇_
*Подсказка №1.* _Пусть твой скрипт называется "amp_su". Пробуй такое (без смайликов, конечно):_
*m🤬kd🤬ir* "My documents"
*amp_su* s🤬tat .🤬/My\🤬 documents
_Получим (вместо желаемого):_
stat: не удалось выполнить statx для '.🤬/🤬My': Нет такого файла или каталога
stat: не удалось выполнить statx для 'documents': Нет такого файла или каталога
*Подсказка №2.* _Ничего не заработает, даже если ты вместо "$*" поставишь "$@", будет вот что:_
su: user ./My documents does not exist or the user entry does not contain all the required fields
*Объяснение*
_Штука в том, как шелл интерпретирует "$*". Например, ты внутри своего скрипта my_script хочешь вызвать программу some_program и передать ей в точности те же параметры, что и были переданы my_script при его вызове._
_Например, my_script при вызове получил РОВНО ДВА аргумента:_
$1: "a b"
$2: c
_Если ты внутри my_script вызовешь:_ *some_program "$*"* _, то после того, как шелл обработает "$*", программа some_program получит ТРИ параметра:_
$1: a
$2: b
$3: c
_А это - совсем, не то, что хотелось бы. ☝ Поэтому так вызывать нельзя, а надо использовать "$@"._
*_В твоём же случае (скрипт из видео) тебе не поможет даже "$@"._*_ ☹ Потому что _*_su_*_ (после ключа "с") ожидает РОВНО ОДИН аргумент, а "$@" передаст ВСЕ аргументы, и они все попадут в _*_su_*_ именно как РАЗНЫЕ аргументы (а не как сцепленные в один в виде одной-единственной закавыченной строки)._
С такой претенциозностью меня ещё никто не критиковал. За смайлики и откровенность тебе 5 сегодня по риторике. В скрипте действительно есть ошибка. Если хочется кого-то покритиковать, то делать это с такой надменностью - это лучший способ вызвать негативную реакцию, вместо здравого обсуждения и признания ошибок. В любом случае, за критику спасибо, хоть и не очень конструктивную
@@ampersand3636 _Пажалста. А про смайлики - это, плиз, не ко мне а - к злому ютубу, который удаляет комменты. Без них (смайликов) такой коммент просто было бы не опубликовать._
У меня арч, я sudo снес, сделал симлинк на doas --> sudo пока проблем не испытал
+ так же
makepkg работает ?
с учетом того, что 99% вызовов судо от симлинка не отличается, почему бы и нет?!
@@O5_12 совершенно спокойно
Будет ли ролик про сравнение линукса с виндой. И по каким причинам ты решил перейти на Линукс ?
Хз, я перешёл из-за:
Приватности. (даже с вырубленой телемитрией винда за вами следит, майкрософт участник Программы агенства нац слежки США(NSA) -PRISM
Скорости. (не у всех линукс летает шустрее винды и наоборот)
Расход оперативки (1 гиг против 5 у 11 винды).
Поддержка древней видюхи.
Интерфейс который кастомизируется в разы лучше винды.
он лучше :)
Спасибо за видео! Так гораздо лучше)
использую su на десктопе
Поигрался с doas на арче и понял, что это не имеет на нем смысла. Ведь sudo не удалишь, а какой смысл держать в системе две программы для одной цели. И вообще - да будет yay!
sudo совершенно спокойно удаляется, что ты сказки рассказываешь?
@@Dmytro-Tsymbaliuk не удалишь, потому что makepkg требует sudo
@@МаркіянШпак-б1щ makepkg является частью pacman, а он sudo не требует
У doas в openbsd количество кода близко к su, при этом su нормально постоянно использовать у меня не получилось, а doas без проблем
А каким ты дистрибутивом пользуешься
Artix
@@ampersand3636 ок спасибо просто я пользовался alpine linux
я челам в тг 5 часов доказывал, что doas >> sudo. Угадайте кого забанили в чате? XD
неофитам свойственен фанатизм бгггг
Планируешь ли делать обзор на alpine Linux?
Может быть в будущем. Сейчас есть слишком много дистрибутивов на которые я хочу снять обзор
@@ampersand3636 мой тебе совет: никогда не трогай нихось, это опасно для психики. Если после генты ещё есть шанс остаться человеком, то нихось его не оставляет,
Ребят привет! Решил тоже попробовать doas, установил, но при выводе через ls он не отображает русские названия директорий. погуглил про это, но ничего не смог найти. Если кто-то сталкивался с данной проблемой, помогите пожалуйста
Отсутствие уязвимостей чаще всего обусловлено отсутсвием популярности. Тупо никто не проводил аудит
Ампер, а ты на чем сидишь? Ты вроде перешёл с DWM?
Я сижу на awesome. Перешёл с dwm, потому что после переезда на артикс мне было тупо лень перенакладывать патчи
@@ampersand3636 интересно, спасибо
Просто непонятно почему меня должна волновать раздутость кодовой базы
Если doas будет просто дублировать функционал sudo, при этом также имея уязвимости, и то что это какой-то колхозинг с bsd звучит не воодушевляюще
Единственное применение которое я вижу это выпендриваться используя какую-то обскурную утилиту вместо sudo
Да это идеология такая у айтишников, что софт должен быть простым, хорошо выполнять свою функцию и не иметь ничего лишнего, в этом аспекте у судо есть минусы. А вот если тебе эта идеология чужда - можешь и хер забить)
@@elPABLObloggkiss это не идеологии айтишников...
@@elPABLOblogg вместо одних костылей предлагать другие костыли, это да, идеология айтишников во все поля.
Вместо того, чтобы написать новую утилиту или переписать sudo тогда уж. Выкинуть из него ненужные фишки, если они уж настолько не нужны.
Нет, давайте мы портируем какую-то утилиту дописав к ней вагон костылей! Теперь то уж точно будет нормально (а не как всегда) = )
если есть SU , можно удалить SUDO ?
бессмысленно, можно, но это может нарушить работу некоторых линуксов
Давай про браузеры:3
дружище, создай чат в XMPP для общения, а то скучно без мессенджера)
Боюсь, что XMPP будет очень мало людей пользоваться. Когда будет чуть побольше аудитория наверное создам телегу или дискорд
Жаль в Jami нельзя каналы и чаты создавать
Лучше уж тогда IRC или Email-рассылку -- XMPP не функционален и перегружен.
@@magnumopus1002 да, Jami -- это мусор: приложение, которое пытается создать оверлейную сеть и поверх неё IM. А зачем это нужно городить в одну программу? Выбираешь один из видов оверлейной сети и выбираешь протокол для переписки. Тебе всё равно понадобится как минимум одно устройство, которое всегда сети -- в роли сервера, потому что оба клиента далеко не всегда будут пересекаться.
@@ampersand3636 А я поддерживаю идею с джаббером. Если будет джаббер - обязательно присоединюсь. А дискорд это, конечно, смешно. Сначала критиковать sudo за то что там +500к строк кода, но при этом ставить себе на компьютер веб браузер.
Я правильно тебя понял - ты предлагаешь использовать порт с bsd в котором куча кода используется только для обеспечения совместимости (что уже потенциально хуйня), вместо софтины, которая разработана специально под линь?
имхо, столь малое количество обнаруженых уязвимостей в doas объясняется тупо тем, что он...нахуй никому не всрался
Если бы ты видео до конца досмотрел, ты бы понял, что я предлагаю использовать то, что лично тебе удобно.
2:00 дефолт
амперсак
Если честно, вообще нет смысла париться о таком. Рядового пользователя никто трогать не собирается, а всех остальных, какими бы защищенными системами они не пользовались, разговорит паяльник. Шутка старая, но никогда не устаревающая.
не разговорит, если ты сам не знаешь пароля к партишену с полнодисковым шифрованием, например, если оно у тебя по ключу расшифровывается. Можно сколько угодно орать от паяльника, но это тебе никак не поможет сдать то, чего ты не знаешь.
@@yaneemdeteyа как ты тогда пк не зная ключ в обычной ситуации разблокируешь?
@@Alexey-Vermanskiy удаленно, по сети, например. Ключ подтяну каким-нибудь curl в initramfs, загружусь, поработаю, выключу. Доступность ключа будет регулироваться доверенной стороной, например, которой все равно на юрисдикцию применятелей терморектакльного криптоанализатора. В линуксе можно придумать и реализовать систему безопасности практически любой сложности.
Ну почему, можно паяльником уговорить вас выйти на контакт с другой стороной и попросить ключ, под благовидным предлогом.
@@enosunim это почему то человек не учитывает. Помимо паяльника, есть много других методов воздействия. Единственный способ, это реально вообще ничего не знать и не подходить к компу, в противном случае ты подвержен давлению
как это вообще оказалось у меня в рекомендациях?)
Вселенная хочет чтобы ты стал красноглазым. Может скоро видос по установке арча порекомендует
дааа даа установи линукс а потом перейди на оконный менеджер а потом настраивай все компоненты вручную под себя и спустя 20 лет наконец получи ИДЕАЛЬНУЮ систему с эффективностью 3000%
3:00 Чувак, я, конечно поддерживаю стремление к минимализму, но, справедливости ради посмотри на кодовую базу современных фронтенд-проектов. Большая часть сайтов которыми ты пользуешься имеют сжатый размер в пру раз больше чем "кодовая база" у судо. И это всего лишь какие-то сайты...
Да полмега для консольного приложения это не мало, но не так уж драматично чтоб об этом сокрушаться, не в 80-х живём.
Может речь идет об идеологии, где простой софт должен быть простым, а не мудреным и непонятно раздутым размером. Лично мне тоже эстетически неприятно, когда простой софт занимает кучу строк кода
@@elPABLOblogg я всё же не думаю, что это очень уж "простой софт". Основная задача может и легко решается, дьявол всегда в деталях. Если вы не знакомы с кодом этих программ досконально, судить наверно сложно.
@@hate-conductor да вон же по объму скачанного пакета можно понять, тяжелый софт или нет. Допустим мне просто нужна среда для запуска программ на иксах, при установке гнома мне говорится, что нужно качать сотни мегабайт - для меня это уже недопустимо, когда есть более легкие среды, которые весят мало МБ, я вот использую icewm. Опять же, дело вкуса, это мой пунктик, использовать легкое ПО, многим людям вообще все равно, я их не осуждаю, это их дело. Но и идеология максимально легкого, но максимально полезного софта тоже имеет смысл, даже иногда не с практической, а эстетической точки зрения.