Názory k článku
Instalace aplikací bez práv roota?

Viz muj komentar v jine diskuzi:

No když jsem si toho poprvé všiml, byl jsem celkem zděšen. ALE. Po chvilce přemýšlení nad tím jaké to má vlastně důsledky, se dostávám k tomu, že to je pro Desktop pravděpodobně vcelku geniální řešení (alespoň co se Fedory týče).

Co to vlastné přináší?
+ Automatické aktualizace – podle mne pro Desktop VELKE plus
+ Uživatel si může na svém stroji nainstalovat potřebně programy (Fedorou podepsané) BEZ NUTNOSTI ZNÁT HESLO ROOTA, což je opravdu VELMI podstatné zvýšení bezpečnosti obzvláště co se obyčejného (BFU) Desktopového uživatele týče.

Porovnejme to například s přístupem Ubuntu (sudo). Uživatel takového desktopu má prakticky neomezenou moc nad počítačem (holt prostě jenom zadá své heslo). To je opravdu jenom ubohá iluze bezpečnosti a představa, že BFU může udělat informované a správné rozhodnutí co instalovat, co nastavit a jak, je minimálně přitažená za vlasy.

Praktický přínos: Nainstaluju mamince Fedoru řeknu jí pouze její heslo. Ona si již vklidu nakliká jaké aplikace potřebuje, nebo jakmile zjistí, že jí něco chybí. Navíc se jí systém sám aktualizuje což je pro mne opět o práci méně a pro její systém o bezpešnostní stupěň více. TOHLE v například v Ubuntu (nebo kliďne cokoli jiného to je jen příklad) udělat nemohu. Pokud jí udělím „Právo spravovat systém“ bude její systém do týdne v prde..

P.S. Je asi nutno dodat, že ve feroře instalovaní daemoni jsou v defaultním nastavení (po instalaci) vyplí. Což znamená, ža ačkoli si maminka nainstaluje Apache v domění že se doví něco o původních obyvatelích jistého kontinentu, neznamená to, že začne světu prezentovat informaci že „It works!“ ale jednoduše se vlastně nic nestane.

Je to revoluční přístup, který, ač se to sprvu nezdá opravdu má své opodstatnění (na Desktopech) a významně zvyšuje bezpečnost, alespoň podle mého mínění.

Co vy na to?

V Ubuntu je PackageKit taky a se správně nastaveným sudo funguje naprosto stejně – rozdíl je v tom, že bez toho nastavení uživatel tak maximálně může smutně prohlížet, co všechno je v repozitářích ;)

O zadne takove defaultni volbe nevim. Jestli to tak je prosim napis vice…

Žádná taková default volba tam není, default je tam to, že první vytvořený uživatel může dělat, co chce, ale pokud by to někdo chtěl, stačí do sudoers přidat:
user ALL=NOPASSWD: kpackagekit
(anebo ten GNOMácký, nevím, jak se jmenuje)

A jak na to koukám, tak pro PackageKit se to dá snáze nastavit (naklikat) přes PolicyKit, dokonce se tam dá detailně vybrat, jaké typy balíčků smí instalovat a co smí nastavovat.

Chybka, musí tam být plná cesta:
user ALL=NOPASSWD: /usr/bin/kpac­kagekit

pokial je to naozaj tak ako pises (vypnuti demoni a pod) tak to naozaj dava zmysel ak ide samozrejme naozaj len o instalaciu novych aplikacii. vlastne tak ma napadlo, mohla by tvoja mama (z prikladu) zmenit nastavenia napr. postgres alebo mysql, resp. ineho, uz predtym naistalovane softwaru? predpokladam ze nie.

pretoze, ruku na srdce, co jej brani (bez tejto funkcie) naistalovat/skom­pilovat si apache priamo zo zdrojakov do vlastneho adresara? (ano, nebude mat k dispozicii porty < 1024) takze miesto toho, ked to prezeniem, aby kazdy moj user(deti, zena) na desktope mal apache vo svojom adresari, to radsej nech je jeden naistalovany priamo v systeme a nech sa pravidelne aktualizuje.

Souhlas, mně se to taky líbí. Doma mám přesně ten problém, že kvůli aktualizaci / nějaké zapomenuté úplně běžné aplikaci musím dát heslo roota, pokud zrovna nejsem na blízku a je to potřeba udělat (nechci aby mamka měla sshd a já řešil na jakých je zrovna IP a vrtal se jí v tom na dálku).
Nelíbí se mi přístup Ubuntu, pokud to je jak se píše níže, že první uživatel může „vše“. Běžná praxe u BFU asi bude, že si vytvoří (nebo tomu komu v rodině instalují) právě toho jednoho uživatele a budou myslet, že to je běžný uživatel a nemůže s tím nic provádět a on to bude vlastně takový „malý/druhý“ root.

Nie je problem binarke balickoveho systemu nastavit setuid bit, zvysok prav a la rwx–x---, grupu „instalatori“ a maminku pridat do tejto grupy.
A to uz maju dnesne distribucie rozne tie ACL, SELinux a neviem co este, a my to stale nepouzivame…

Obyčejný uživatel nemá co instalovat aplikace do celého systému, proto taky nemá práva admina nebo sudo nopassword. Klidně ať si nainstaluje Skype, Operu, Firefox a já nevím co do svého domovského adresáře, ale měnit prostředí v celém systému by mít nárok neměl. Podepsání balíčků nic moc neřeší, protože i v takovém balíčku mohou být zásadní bezpečnostní chyby a navíc se může stát, že nějaký „chytrý“ balíček zablokuje celý systém.

Jak jsem psal, zkus to porovnat v kontextu desktopoveho systemu nejakeho BFU uzivatele. Ubuntu vs. Fedora.

V takove pripade je podle me pristup Fedory o dost lepsi. Samozrejme ze uzivateli nerekneme root heslo a uzivateli Ubuntu dame „pravo spravovat system“. Chapu ze to je trosku „nastavovani pravidel“ tak aby z toho Fedora vysla lepe, ale pomer bezpecnost:pohodli je tady jednoznacny.

tak to bude v Redmondu pěkný pozdvižení. Konečně se jim podařilo do Windows implementovat něcojakosudo, a teď aby zase implementovali něco novýho :)

Ty jsi fakt smesny, to si myslis, ze windows kopiruje z linuxu?:o) Fakt si pobavil. Tohle je samozrejme standardni vec uz nekolik let, ze aplikace neinstaluje uzivatel ale systemova sluzba s vlastnim uzivatelemem. Ve W7 je to dotazene k dokonalosti, dokonce ani admin nemuze instalovat, deje se to pres trustedinstallera. Vrat se zpatky na strom (na linux) a pro priste si neco zjisti nez zacnes kecat kraviny. Srovnavat dnesni linux s w95 je tristni, ale jinak mas pravdu da se rict, ze linux je lepsi nez windows (95 – to se obcas zapomina dodat).

Mě jenom pobavilo, že ve windowsech 7 existuje něco jako nedefinovaný uživatel a že po chvíli práce pod tímhle účtem systém hodí BSOD. Zdroj viz tady: http://www.zive.cz/…default.aspx

Ale tak to snad ani nemuzes myslet vazne. Zive.cz? To uz by jsme klesli moc hluboko v zumpe ceskeho internetu ne, pane? I pres svuj odpor k zive a hlavne jejich odbornym clankum jsem to precetl a potvrdil se znamy axiom o pocitacove negramotnosti jejich autoru. Autor nema vubec poneti o bezpecnosti systemu a o windows uz vubec ne. System je normalni systemovy uzivatel, to ze to nazyva nedefinovany nebo co, tak je vazne k smichu. Ja si osobne nastavuju dedicna prava k diskum a vsem adresarum sam a SYSTEM do nich rozhodne nedavam. Zneuzitelnost(bez­pecnostni riziko) nabootovani linuxu k „hacknuti“ windows je taky tristni. Z windows takhle linux „hacknu“ rozhodne pohodlnej a jednoduseji nez windows z linuxu. Dokonce od dob snad w2k, kde jsou drivery k nekterym linuxovym filesystemum systemum nativne v API, tak teoreticky i bez externich utilit na namountovani linuxove partition. Co se tyce BSOD, ani se nedivim, byt ja windows, tak kdyz na me sahne takova lama jak Cizecek, tak bych se z toho taky radsi posral:)

Jinak co se tyce te lupy … tak je pravda, ze je to docela trapne. Nejspis to pujde uplne vypnout tahle funkce na startovni obrazovce. Ale tohle beru, to je vcelku trapne, ikdyz je treba predtim mit fyzicky pristup k tomu stroji, coz se muze hlavne nekde ve firme pri odchodu na hajzl a nezamknuti, klidne stat.

To mě zajímá – ten trustedinstaller dělá co? V čem spočívá jeho výhoda?

Mě spíš přijde směšný, že ani admin není vlastně admin, ale chová se jako normální uživatel v určité skupině. Vždyť je to jen hra se slovy bez praktického významu. V čem se tenhle přístup liší od Ubuntu?

po delsi diskusi a spouste rozhorcenych reakci se rozhodlo, ze se tato zmena revertuje

https://www.redhat.com/…sg01445.html

…„protože pomocí tzv. PackageKit může do systému jakýkoli uživatel nainstalovat aplikaci bez hesla roota, pokud je správně podepsaná.“

--Tak to je brutální bezpečnostní riziko…na počítač, kde mám fyzický přístup si můžu nainstalovat SW…

„bez hesla roota“?

-- Špatný vtip? Kdo používá autentizaci heslem v roce 2009? Nejspíš jste se práve vykopali po 10 letech z jeskyně kdesi v Afghánistánu, protože biometrie se běžně užívá již více než 8 let…

Biometrie, hmm? Můžete jmenovat jedinou biometrickou techniku na běžném domácím počítači, která je silnější než heslo? Otisk prstu ani sken obličeje webkamerou to není, oboje jde velmi velmi jednoduše obejít.