sudo | doas | su: Подробный разбор

Для меня как простого пользователя федоры, ваши слова звучат как заклинания

Очень давно вынашиваю эту идею и мне нетерпится всё это протестировать на реальном железе, но сначала надо снять обзор на войд)

не стоит, хоть и можно: мои аргументы такие: 1)кроме архитектурно более удобного ядра ты не получаешь ничего, более монолитная система как аргумент - уже скорее минус, потому что на базе того же линукса ты можешь получить как относительно человеческий дистрибутив на базе debian, так и какую-нибудь, на мой взгляд революционную метаось типа nixos, которая хоть и не идеальна, но по сравнению с тем, как смешно телятся очередные создатели очередного странного пересобранного дистра с новыми нескучными обоями 2)поддержка железа в линуксе более широка 3)количество поддерживателей линукса - сильно больше, а значит - готовых how-to для типовых случаев ты тоже получаешь заметно больше 3)GUI на BSD почти мертвы, количество пользователей бсд на десктопе, к сожалению, заметно снизилось по сравнению с 2000ыми и началом 2010ых, а на серверах их используют в основном там, где не хотят раскрывать исходники, т.е. в силу лицензионных заморочек, т.е. если тебе вдруг захочется админить что-то кроме localhost, то ты не сможешь найти работу :)

Да было уже это всё. У Лёхи Самойлова глянь. Оно хоть и не новое, но думаю мало что поменялось.

У OpenBSD вроде нет никаких прослоек, даже для совместимости с 32-битными приложениями. У всех проблемы с дровами, часто на WIFI. Wine тестировал на FreeBSD и NetBSD, вроде норм. На текущий момент на OpenBSD он находится в wip портах, и там его довели до состояния сборки, но он сегфолтится при запуске. BSD лучше ставить на реальный пк/на виртуалку с пробросом видюхи, иначе без 3д ускорения. NVIDIA проприетарные дрова (сильно урезанные) есть только на фряхе. У NetBSD только nouveau. У DragonFlyBSD и OpenBSD нет поддержки от слова совсем. Wayland есть только на FreeBSD/DragonFlyBSD (Не могу проверить, так как у меня легаси нвидиа, и wayland могу запустить только через EGLStreams, а в дровах на фряху он урезан и не могёт в DRM/KMS). Кратко о всех бсд: FreeBSD самая линуксовая, больше всего софта. DragonFlyBSD - форк фряхи со своей файловой системой и реализацией многопоточности (выглядит немного устарелым). NetBSD - Самая отличающаяся. Плохо отполирована, много багов (половина фиксится). В 10 бете много чего исправили. Мало документации, и решения проблем в инете не найти. OpenBSD - Легковесная, (очень) мало потребляет, более безопасная, простая в плане строения. Жаль, что не хотят портировать туда Wayland, зато разрабатывать оболочку поверх Xorg - это могут.

@@MrMarlynrus не, я использую бсд на десктопе и всё ок, а Лёха говорит, что бсд на десктопе это ГМО

Спасибо за лайфхак! Юзал именно sudo nvim и страдал по поводу

@@peskovdev На здоровье :)

Насчёт пароля - это ещё одно ключевое отличие, которое я, к сожалению, забыл упомянуть. А так да, su действительно не только от имени рута может исполнять команды, просто в этом видео я сфокусировался именно на руте

Вобщето substitute user 🤓

@@polikarp12 а я думала super user lol

Ну во-первых, я не рекомендовал использовать doas на сервере. Речь шла именно об использовании этих утилит на десктопе, хотя тему серверов я пару раз затронул. Во-вторых, уязвимость с переменной PATH оперативно исправили, а уязвимость с TIOCSTI всё ещё есть, да. Хотя, в современных ядрах этот системный вызов зачастую отключат. Да и в самом видео я упомянул, что уязвимости - это такой себе аргумент, потому что пользователей линукса на десктопе почти никто на серьёзных щах взламывать не будет

Так FreeBSD это ведь прежде всего серверная ОС, почему тогда не рекомендуется использовать doas (который из бсд) на серверах? @@ampersand3636

А сколько уязвипостей в закрытых проектах...

@@rerofriverwood379 да все зависит от проекта. А еще дыряво не там, где дыряво, а там - где ищут. Особенно, когда оно написано на C

Я начал так делать, но магия линукс и вау эффект пропадают - просто пользуешься системой и все, даже ее и не видишь. Все же в дистрохопинге и тесте разных прожек есть свой шарм, жалко только на это у меня уже нет свободного времени

Спасибо. Телеграм-канал я планирую создать когда аудитория чуть побольше станет

​@@ampersand3636чат как минимум можно сделать. Здесь норм аудитория (вроде) как раз

Может быть в будущем. Сейчас есть слишком много дистрибутивов на которые я хочу снять обзор

@@ampersand3636 мой тебе совет: никогда не трогай нихось, это опасно для психики. Если после генты ещё есть шанс остаться человеком, то нихось его не оставляет,

Хз, я перешёл из-за:
Приватности. (даже с вырубленой телемитрией винда за вами следит, майкрософт участник Программы агенства нац слежки США(NSA) -PRISM
Скорости. (не у всех линукс летает шустрее винды и наоборот)
Расход оперативки (1 гиг против 5 у 11 винды).
Поддержка древней видюхи.
Интерфейс который кастомизируется в разы лучше винды.

он лучше :)

простите селюка, а какой UID говорит еще один из нескольких рутов? Все они отвечают 0 или как? Если не 0, то это не руты, а если 0 - то это один рут :) Правда не понимаю.

@@yaneemdetey ну именно в этом и прикол, чтобы создать пользака, и принудительно дать ему uid 0. Но я с чужих слов сейчас это пишу, сам я не пытался это сделать.

@@yaneemdetey А, ну да, работает.. Я ввёл такую команду:
useradd -ou 0 -G root -Um r_admin
потом passwd r_admin
Ключ -o позволяет дублировать uid, -u 0 его задаёт, -G root добавляет группу рута пользователю, -U создаёт собственную группу пользователя, -m для создания домашней директории в home, и вуаля. Ещё один рут, с собственным паролем и домашней директорией.
Чтобы его удалить, достаточно под другим рутом написать userdel -rf r_admin. Он заругается, что юзер ещё залогинен, но удалит его (потому что он другого рута посчитает таким залогиненым юзером). Вроде бы это безопасная операция, хотя у меня и есть сомнения. Ну, у меня ничего не сломалось, когда я это всё провернул.

@@kianseibel2236 начал целенаправленно гуглить это в интернетах, пишут что да, так можно (логично, кто ж запретит?). Никогда не видел, что бы так кто-то делал и еще понять не могу - а нахрена оно надо? Это даже за контроль доступа не прокатит - слишком много прав. Дичь какая-то, дай угадаю, родом из конца 90ых-начал 00ых?

У меня по дефолту вообще 4 окна в терминале - с рутом, с запущенным htop, с юзером в домашней директории и юзером в директории с проектом

Потому что это программа из пакета polkit, который вовсе не всегда устанавливают (например если нет X11)

@@architector6901 что мешает установить его самому? 😄 sudo и doas тоже лежат каждый в своём пакете, которые не всегда устанавливают. Ты бы на голом ядре сидел, если бы вообще ничего не устанавливал, и пялился на 👉kernel panic 👈 днями напролёт 🤣
Polkit не зависит от X11, а зависит от D-Bus. Но можешь ли ты представить себе современный десктоп, но котором нет ни того, ни другого? 🤣🤣

Я сижу на awesome. Перешёл с dwm, потому что после переезда на артикс мне было тупо лень перенакладывать патчи

@@ampersand3636 интересно, спасибо

Artix

@@ampersand3636 ок спасибо просто я пользовался alpine linux

+ так же

makepkg работает ?

с учетом того, что 99% вызовов судо от симлинка не отличается, почему бы и нет?!

@@O5_12 совершенно спокойно

Да это идеология такая у айтишников, что софт должен быть простым, хорошо выполнять свою функцию и не иметь ничего лишнего, в этом аспекте у судо есть минусы. А вот если тебе эта идеология чужда - можешь и хер забить)

​@@elPABLObloggkiss это не идеологии айтишников...

@@elPABLOblogg вместо одних костылей предлагать другие костыли, это да, идеология айтишников во все поля.
Вместо того, чтобы написать новую утилиту или переписать sudo тогда уж. Выкинуть из него ненужные фишки, если они уж настолько не нужны.
Нет, давайте мы портируем какую-то утилиту дописав к ней вагон костылей! Теперь то уж точно будет нормально (а не как всегда) = )

бессмысленно, можно, но это может нарушить работу некоторых линуксов

*Подсказка №1.* _Пусть твой скрипт называется "amp_su". Пробуй такое (без смайликов, конечно):_
*m🤬kd🤬ir* "My documents"
*amp_su* s🤬tat .🤬/My\🤬 documents
_Получим (вместо желаемого):_
stat: не удалось выполнить statx для '.🤬/🤬My': Нет такого файла или каталога
stat: не удалось выполнить statx для 'documents': Нет такого файла или каталога

*Подсказка №2.* _Ничего не заработает, даже если ты вместо "$*" поставишь "$@", будет вот что:_
su: user ./My documents does not exist or the user entry does not contain all the required fields

*Объяснение*
_Штука в том, как шелл интерпретирует "$*". Например, ты внутри своего скрипта my_script хочешь вызвать программу some_program и передать ей в точности те же параметры, что и были переданы my_script при его вызове._
_Например, my_script при вызове получил РОВНО ДВА аргумента:_
$1: "a b"
$2: c
_Если ты внутри my_script вызовешь:_ *some_program "$*"* _, то после того, как шелл обработает "$*", программа some_program получит ТРИ параметра:_
$1: a
$2: b
$3: c
_А это - совсем, не то, что хотелось бы. ☝ Поэтому так вызывать нельзя, а надо использовать "$@"._
*_В твоём же случае (скрипт из видео) тебе не поможет даже "$@"._*_ ☹ Потому что _*_su_*_ (после ключа "с") ожидает РОВНО ОДИН аргумент, а "$@" передаст ВСЕ аргументы, и они все попадут в _*_su_*_ именно как РАЗНЫЕ аргументы (а не как сцепленные в один в виде одной-единственной закавыченной строки)._

С такой претенциозностью меня ещё никто не критиковал. За смайлики и откровенность тебе 5 сегодня по риторике. В скрипте действительно есть ошибка. Если хочется кого-то покритиковать, то делать это с такой надменностью - это лучший способ вызвать негативную реакцию, вместо здравого обсуждения и признания ошибок. В любом случае, за критику спасибо, хоть и не очень конструктивную

​@@ampersand3636 _Пажалста. А про смайлики - это, плиз, не ко мне а - к злому ютубу, который удаляет комменты. Без них (смайликов) такой коммент просто было бы не опубликовать._

Может речь идет об идеологии, где простой софт должен быть простым, а не мудреным и непонятно раздутым размером. Лично мне тоже эстетически неприятно, когда простой софт занимает кучу строк кода

@@elPABLOblogg я всё же не думаю, что это очень уж "простой софт". Основная задача может и легко решается, дьявол всегда в деталях. Если вы не знакомы с кодом этих программ досконально, судить наверно сложно.

@@hate-conductor да вон же по объму скачанного пакета можно понять, тяжелый софт или нет. Допустим мне просто нужна среда для запуска программ на иксах, при установке гнома мне говорится, что нужно качать сотни мегабайт - для меня это уже недопустимо, когда есть более легкие среды, которые весят мало МБ, я вот использую icewm. Опять же, дело вкуса, это мой пунктик, использовать легкое ПО, многим людям вообще все равно, я их не осуждаю, это их дело. Но и идеология максимально легкого, но максимально полезного софта тоже имеет смысл, даже иногда не с практической, а эстетической точки зрения.

неофитам свойственен фанатизм бгггг

sudo совершенно спокойно удаляется, что ты сказки рассказываешь?

@@Dmytro-Tsymbaliuk не удалишь, потому что makepkg требует sudo

@@user-ss7ws9ce6v makepkg является частью pacman, а он sudo не требует

Боюсь, что XMPP будет очень мало людей пользоваться. Когда будет чуть побольше аудитория наверное создам телегу или дискорд

Жаль в Jami нельзя каналы и чаты создавать

Лучше уж тогда IRC или Email-рассылку -- XMPP не функционален и перегружен.

@@magnumopus1002 да, Jami -- это мусор: приложение, которое пытается создать оверлейную сеть и поверх неё IM. А зачем это нужно городить в одну программу? Выбираешь один из видов оверлейной сети и выбираешь протокол для переписки. Тебе всё равно понадобится как минимум одно устройство, которое всегда сети -- в роли сервера, потому что оба клиента далеко не всегда будут пересекаться.

​@@ampersand3636 А я поддерживаю идею с джаббером. Если будет джаббер - обязательно присоединюсь. А дискорд это, конечно, смешно. Сначала критиковать sudo за то что там +500к строк кода, но при этом ставить себе на компьютер веб браузер.

Если бы ты видео до конца досмотрел, ты бы понял, что я предлагаю использовать то, что лично тебе удобно.

не разговорит, если ты сам не знаешь пароля к партишену с полнодисковым шифрованием, например, если оно у тебя по ключу расшифровывается. Можно сколько угодно орать от паяльника, но это тебе никак не поможет сдать то, чего ты не знаешь.

​@@yaneemdeteyа как ты тогда пк не зная ключ в обычной ситуации разблокируешь?

@@Alexey-Vermanskiy удаленно, по сети, например. Ключ подтяну каким-нибудь curl в initramfs, загружусь, поработаю, выключу. Доступность ключа будет регулироваться доверенной стороной, например, которой все равно на юрисдикцию применятелей терморектакльного криптоанализатора. В линуксе можно придумать и реализовать систему безопасности практически любой сложности.

Ну почему, можно паяльником уговорить вас выйти на контакт с другой стороной и попросить ключ, под благовидным предлогом.

@@enosunim это почему то человек не учитывает. Помимо паяльника, есть много других методов воздействия. Единственный способ, это реально вообще ничего не знать и не подходить к компу, в противном случае ты подвержен давлению

Вселенная хочет чтобы ты стал красноглазым. Может скоро видос по установке арча порекомендует

дааа даа установи линукс а потом перейди на оконный менеджер а потом настраивай все компоненты вручную под себя и спустя 20 лет наконец получи ИДЕАЛЬНУЮ систему с эффективностью 3000%