Леннарт Поттеринг анонсировал run0 — альтернативу sudo

На макось надо уходить. Сертифицированный юникс. Один из немногих. Винду уже на юникс давно не сертифицируют.

Сертифицированный

Это почти ничего не значит. Особенно с учётом того, сколько в себя макось утащила из BSD.

Тогда переходим на BSD*

Зачем вообще что-то делать, если есть маркер прям в промпте? # для рута, %/$ для пользователя.

BSD*

*BSD

Но лучше не надо. Нам и без вас хорошо. (=

Но лучше не надо. Нам и без вас хорошо. (=

Ты же сейчас строго обратный эффект получишь. :D

простите... вы забыли где леня щас работает?!

Просто конфиг нужен удобный и возможно скрипт с симлинком.

По этой же логике, абсолютно любой локальный сервис можно переделать в судо. И ссшд - далеко не самый лучший вариант здесь, так как зачем нам для этого TCP-сокет? Такие вещи лучше, как минимум, через локальный юникс-сокет запрашивать, а ещё лучше - через дбас (который через локальный сокет, вроде, и ходит как раз). И есть сервисы, которые уже слушают дбас, а ссшд, вроде как, не входит в их список. Соответственно, лучше было их переделывать. А Лёня и сделал как раз через дбас, если я правильно понял.

Ну приток-то будет, но как увидят что «в линуксе так было лет двадцать назад!!!11», так и свалят обратно на свою винду. (%

Вначале «ААААА, НАДА ВАЛИТЬ С СЮСТЕМДЭ!!!11», а потом «а давайте сделаем аналог systemd для FreeBSD!»

например из vi можно запускать шелл

… или просто подредактировать /etc/passwd & /etc/shadow. По этому нормальный человек никогда не будет обычным юзерам давать возможность запускать через судо что-либо. Судо нужен, в первую очередь, для админа, чтобы ему под рутом всю жизнь ни сидеть.

Про sudo:

It has a complicating configuration language, loadable plugins (ldap!), hostname matches and so on and so on.

Про run0:

run0 doesn’t implement a configuration language of its own btw (i.e. no equivalent of /etc/sudoers). Instead, it just uses polkit for that, i.e. how we these days usually let unpriv local clients be authorized by priv servers.

Из man polkit:

Rules files are written in the JavaScript programming language and interface with polkitd through the global polkit object (of type Polkit).

Я, конечно, понимаю, что /etc/sudoers парсится бинарником sudo c SUID, а polkitd может правила выполнять без привелегий. Но выдавать это за упрощение как-то дико.

А как ты сделал. что у тебя sudo меняет промпт?

lilyterm из коробки умеет менять цвет названия вкладки при запуске рутового процесса.

Отлично - давно пора было сделать удобный враппер для systemd-run

Если я правильно понял новость с опеннета

Очень сомневаюсь - тебе, как обычно, нечем.

это вообще не sudo

Офигеть ты наблюдательный конечно: Леннарт про это явно говорит в анонсе.

игнорируя все переменные окружения

Все кроме $TERM

это преподносится как секюрность и вообще большой плюс

Так и есть - специалистам по безопасности это очевидно.

Наверняка никаких проблем это действительно не решает

Это повышает безопасность системы уменьшая поверхность атаки.

такой вариант логически сам собой напрашивался.

Идея и вправду лежит на поверхности: https://tim.siosm.fr/blog/2023/12/19/ssh-over-unix-socket/

А как ты сделал. что у тебя sudo меняет промпт?

 % which sudo
sudo: Command not found.

Промпт меняет шелл. Для tcsh:

alias cwdcmd 'printf "\\033]0\;${user}@${HOST}\:\ \($?\)\ ${cwd}\\007"'
alias precmd '@ n = ( (${?} == 0) + 31 ); set r; if(${?REMOTEHOST} == 1) set r = "R"; set prompt = "\ %{\033[30;1m%}${r}%{\033[0m%}%{\033[${n};1m%}%#%{\033[0m%}\ "; unset n r; cwdcmd'

Тогда нахрена он вообще?

Потому что, например, doas такое не умеет

Умеет. Я так себе прописал чтобы рутовый пароль для выключения не вводить для /sbin/poweroff и /sbin/reboot

cat /etc/doas.conf
permit nopass :wheel as root cmd /sbin/poweroff
permit nopass :wheel as root cmd /sbin/reboot

Я, конечно, понимаю, что /etc/sudoers парсится бинарником sudo c SUID, а polkitd может правила выполнять без привелегий

Ну раз понимаешь, какие ещё вопросы-то? That’s exactly the point.

А этот ваш run0 позволяет так делать?

Да, через правила polkit.

Вначале «ААААА, НАДА ВАЛИТЬ С СЮСТЕМДЭ!!!11», а потом «а давайте сделаем аналог systemd для FreeBSD!»

Вроде уже пытались. Не взлетело.

Вначале «ААААА, НАДА ВАЛИТЬ С СЮСТЕМДЭ!!!11», а потом «а давайте сделаем аналог systemd для FreeBSD!»

Вроде уже пытались.

ЕМНИП, там дальше предложения дело не дошло. Или я плохо искал?

Не взлетело.

И слава Котоне! \ö/

И слава Котоне! \ö/

Мявэ!

alias sudo=run0

А что плохого? systemd-boot миллион лет как встроенный, но все ставят гроб, даже не зная, что он им не нужен

❯ run0
zsh: correct 'run0' to 'zrun' [nyae]? n
zsh: command not found: run0

❯ yay -Qi systemd
Found existing alias for "yay -Qi". You should use: "yaloc"
Name            : systemd
Version         : 255.5-4
...

systemd-boot загрузит netbsd, freebsd и windows?

а как насчёт загрузочной флешки, с которой ОС запускается на любом писюке, выпущенном за последние 20 лет?

винду автоматом добавляет в меню загрузки, остальное - никогда даже не запускал

ну значит отучайся говорить за всех

а я и не говорил за всех.

но все ставят гроб, даже не зная, что он им не нужен

из этого оное не вытекает

polkit

systemd, microsoft, шindows…

как-то polkit в концепцию системды как рака, захватывающего линапсы не вписывается. его не поттер разрабатывал

тебе надо запустить процесс в текущем сеансе с текущими настройками в комплексе с текущим окружением, просто с правами повыше

Такое нужно примерно никогда - вот запуск процесса в изолированном окружении с повышенными правами зачастую необходим. И это именно то что делает run0

чтобы системд соглашался писать обычные человекочитаемые логи

Именно их он и пишет. То что человекообразные обезьяны не могут их прочитать это не проблема людей. И уж тем более не проблема systemd.

Именно их он и пишет

Поясню немного, вангую тут имеется в виду, что логи бинарные, а не текстовые.

Да ну что за чепуха, поднимать ссшд только ради замены судо?

Для тех систем где он уже поднят это очень даже актуально.

Фаерволы настраивать?

Зачем? Он прекрасно работает с unix socket

Кто такое вообще придумал?

Timothée Ravier

Да и клиент новый понадобится

С какого перепугу?

помимо патчей сервеной части.

А это тебе нахрена?

Надеюсь дожить до дня, когда в федоре suid отключат.

Там предлагают такое через ssh сделать: https://fedoraproject.org/wiki/SIGs/ConfinedUsers - вот эти ребята.

Если тебе нужно грузить одним загрузчиком несколько разных систем – не использую systemd-boot, делов-то

Да он просто добавляет в меню другие записи из nvram. Те грузить будет все. У него ограничение лишь в том, что нельзя через конфиги загрузить без извращений efi-приложения с другого раздела. А вот гроб это умеет.

запилил возможность при помощи systemd запускать от рута интерактивные приложения в деаттачнутом терминале а ля screen

А зачем если уже есть screen?

Неужели нельзя сделать это с обычным sudo поправив .bashrc?

Лучше отдельное универсальное решение чем возня с башизмами которыми пользуются далеко не все.

Чтобы сразу комплектом всё шло, а не как мешок утилит «собери себе ОС».

Как ничего? На Винду уйдем.

А ты разве ещё не там? Ты ж всегда был виндузятником с дуалбутом сколько я тебя тут помню.

На макось надо уходить.

Там же launchd есть - который максимально похож на systemd. Хотя фимозные могут и не заметить конечно :)

Ну, такое дефолту во всех шеллах, наверное. Я думал, что ты как-то сделал, что пишешь sudo и тут же волшебным образом меняется промпт, после которого ты sudo написал :-)

Тут же речь идет об аналоге судо. И что если написать

% less file
% run0 less file

то во втором случае ты будешь листать файл на красном фоне, и, типа, будешь осторожнее жать там ‘!’

Такие вещи лучше, как минимум, через локальный юникс-сокет запрашивать

Так и делают.

А Лёня и сделал как раз через дбас, если я правильно понял.

Скорее через https://varlink.org/ если я не путаю.

Но выдавать это за упрощение как-то дико.

С чего бы вдруг? Правила polkit и их парсер уже присутствуют на любой современной системе GNU/Linux. Если при этом удастся выкинуть с этой системы кривой и устаревший формат конфигов sudo это однозначно будет упрощением.

Правила polkit и их парсер уже присутствуют на любой современной системе GNU/Linux.

Бгг

все ставят гроб, даже не зная, что он им не нужен

systemd-boot загрузит netbsd, freebsd и windows?

Если тебе нужно загружать netbsd и freebsd — значит, ты знаешь, зачем он тебе нужен, и этот комментарий не про тебя.

пишешь sudo и тут же волшебным образом меняется промпт, после которого ты sudo написал :-)

Я на zsh подобное делал для rm[ \t]+-[^ \t]*[rR].*.

Тут же речь идет об аналоге судо. И что если написать

% less file
% run0 less file

то во втором случае ты будешь листать файл на красном фоне, и, типа, будешь осторожнее жать там ‘!’

Это для тех, у кого память как у страуса, что запустил less и сразу забыл где находишься, а понять окружение из контекста — слишком сложно. (%

Куда больше шансов промахнуться хостом, чем юзером.

А как ты сделал. что у тебя sudo меняет промпт?

А никак - он sudo с su перепутал :-D

systemd-boot загрузит netbsd, freebsd и windows?

На кой хрен этот хлам нужен?

Хотя по мне и systemd-boot избыточен - достаточно EFISTUB.