mdo — аналог sudo для FreeBSD на рівні ядра

[Володимир Лісівка]

mdo — це альтернативна реалізація sudo, яка працює на рівні ядра (через модуль ядра mac_do та системного виклику setcred), яка дозволяє непривілейованим процесам змінити свій ідентифікатор користувача та групи на основі правил встановлених адміністратором системи. Так як правила перенесені в ядро, то вони працюють для всіх процесів, навіть у контейнерах (jail). Під час літнього проєкту, значно покращили функціонал утиліти, наблизивши його по можливостях до sudo.

Покращення: https://wiki.freebsd.org/SummerOfCode2025Projects/MacDoAndMDoImprovements

[yvs115]

Схоже що з тим що наведено як делегування user credentials то тільки деяка функціональність (частково як sudo чи doas), а в цілому мабуть початкова фаза реалізації ролевих сценаріїв типу як на Solaris було. З Linux вирішується іншими підходами в залежності від задач - починаючи від linuxcaps, selinux, і контейнеризацій snap/flatpak.

[BeSiDa]

Схоже що з тим що наведено як делегування user credentials то тільки деяка функціональність (частково як sudo чи doas), а в цілому мабуть початкова фаза реалізації ролевих сценаріїв типу як на Solaris було. З Linux вирішується іншими підходами в залежності від задач - починаючи від linuxcaps, selinux, і контейнеризацій snap/flatpak.

Ха )))
Ні.
Ви не помітили що вся та тема вказує на ... повний пісець )))

От ви обидва знаєте в чому сенс існування окремих "юзер ід", "ефективний юзер ід", "збережений юзер ід" (та налогічно ГІД)?
І чому суду і мдо може їх окремо змінювати?
Чому зміна юід процесу призводить до зміни юід кожного потоку процесу?
Яка задача вирішується ... глобально?

А задача дуже проста... як відібрати у вас обох права рута так щоб ви не помітили що в вас відібрали права рута )))
Чому? Бо ви обоє ... тупі! )))  (не хочете вчитися, так само як сотні тисяч інших людей)

Можна "взяти і забрати" (як в Андроїд), але тоді ви починаєте деструктивні дії щоб "зламати". А от коли так заховати рівнем складності щоб вам було ліньки те вивчити, а при тому на поверхні розказати вам що "ви цар і бог", то ви тоді спокійні й не ламаєте нічого ))

Тому спочатку був юід, потім заховали в групи, потім в процеси ("процес" головніший за "юід" коли має право змінити "юід"), потім почалися ефективні та збережені, потім капабіліті, і все таке інше.
Вас не дивувало чого так багато написано про "джейл" (бсд) чи "неймспейс" (лінукс)?
Бо саме вони тепер головні! (разом із процесом "наслідування" та "дочірніх джейлів та неймспейсів")
І саме тому там є така цікава деталь про "шлях до програми мдо яка має право змінити всі іди" (бо саме той "шлях" і є "головніших за всіх").

А от як то застосувати ... це вже для тих хто хоче сам вчитися

[BeSiDa]

mdo — це альтернативна реалізація sudo

Зовсім ні. Ви читали опис можливостей суду? З усіма тими плагінами, хуками (до та після запуску, під час, ...), своєю заміною ліб-сі (частини стандартних функцій задля того щоб стороння програма не мала права розмножитися), заміною груп, змінних оточення та записом кожного символу до часток секунди щоб хтось інший міг "відтворити/програти все що було під час запуска суду у реальному часі".

Якщо взяти функціонал плагінів (самому написати та додати до системи), то з суду можна взагалі нову операційну систему створити )))
Але ... більшість про те не знає і лише "запускає від рута". Це менше відсотка того що може суду.

Всі концентруються на "хто" і "дія", замість "транзиту з хто1 в хто2" (з якого саме "хто1" (увесь контекст параметрів разом з зі змінними оточення, налаштуваннями користувача під час логіну, шелу та всього іншого навкруги того "хто") у який саме "хто2").

[yvs115]

тю.. якщо процідити ха-ні комент то залишиться лише)

і все таке інше

[Володимир Лісівка]

Ви про те, що в Sudo 1.8 додали можливість віддаленого поліціювання(?) виконання команд з sudo, для корпоративних потреб? Ну, для великих організацій, це корисна можливість, інакше їм довелося б писати заявку на проведення технічного обслуговування сервера кожного разу для доступу до root.

[BeSiDa]

Ви про те, що в Sudo 1.8 додали можливість...

Ні, я про те, чи помітили ви що саме у вас (та всіх людей світу) відібрали права рута на всіх юнікс системах.
Не помітили, інформацію отримав, дякую.

Ви про те, що в Sudo 1.8 додали можливість віддаленого поліціювання(?) виконання команд з sudo, для корпоративних потреб? Ну, для великих організацій, це корисна можливість, інакше їм довелося б писати заявку на проведення технічного обслуговування сервера кожного разу для доступу до root.

А з чого саме ви зробили висновок що то для корпоративних потреб?
У вас особисто (без корпорацій та організацій) рівно один пристрій у власності? Ніколи не хотіли щоб була єдина точка авторизації вас особисто для ваших потреб особисто (разом з усіма віртуальними машинами, смартфонами, роутерами, тв та іншими пристроями).

Це все знов про те "хто головний" і наскільки він обмежено головний.
От наприклад "єдиний користувач ноутбука" може без логіна під рутом керувати процесом шатдауна, підключення прінтера, флешек та інших пристроїв, енергозбереженням та все таке інше (що тільки для адмінів) через ... обмежені гуі.
Бо... він і так "має доступ до обладнання" (хоча андроїд користувачам то не можна і доступ до обладнання більше не аргумент, бо не надали доступу до драйверів )) тому пофіг що він може припаяти щось фізично).

А ще є "кіоск" коли на вулиці стоїть залізяка з екраном і під тим самим юід "ходить" і "діє" тисяча різних людей (поповнюють свої ... аккаунти ) але то зовсім інші аккаунти, хоч ... дають обмежену додаткову інфу по стану рахунку та іншу приватну ... будь кому фізично).

А також про "через що саме він головний" (тільки через одну фізичну консоль, через послідовний порт, через гуі, через веб інтерфейс, через веб сокет апі, через ...). Або з використанням особистої смарткарти (у вас є? хоч якась? сім, банківська, метро? ...)

Та й взагалі чи є особисто у вас досвід керування компом чи сервером, на якому крім вас є ще інші користувачі одночасно з вами (віддалені)?
Чи є у вас знання як надати логін на вашому особистому сервері зовсім невідомій людині і не ... боятися що щось спортиться

[Володимир Лісівка]

Ні, я про те, чи помітили ви що саме у вас (та всіх людей світу) відібрали права рута на всіх юнікс системах.

У мене є рут там, де мені це потрібно.

А з чого саме ви зробили висновок що то для корпоративних потреб?
У вас особисто (без корпорацій та організацій) рівно один пристрій у власності? Ніколи не хотіли щоб була єдина точка авторизації вас особисто для ваших потреб особисто (разом з усіма віртуальними машинами, смартфонами, роутерами, тв та іншими пристроями).

Ні, не хотів. Навпаки, зараз стараюся робити на кожному пристрої свій унікальний пароль. :-/

Та й взагалі чи є особисто у вас досвід керування компом чи сервером, на якому крім вас є ще інші користувачі одночасно з вами (віддалені)?

Так, є.

Чи є у вас знання як надати логін на вашому особистому сервері зовсім невідомій людині і не ... боятися що щось спортиться

Це тоді не особистий сервер вже. Та і не бачу в цьому потреби — в продажу є багато старих дешевих ноутбуків чи серверів, яких не шкода навіть подарувати повністю, коли потрібно. Зараз все частіше один користувач на декілька пристроїв, а не кілька користувачів на одному пристрої.

[BeSiDa]

У мене є рут там, де мені це потрібно.

У вас є юід 0 там, але його значення вже виключно номінальне... як звання "король" в демократіях )
І ви не помітили що "головний" вже давно не "король".
Достатньо однієї заміни і ... ви там ніхто. В системі все вже готово

Ні, не хотів. Навпаки, зараз стараюся робити на кожному пристрої свій унікальний пароль. :-/

Та невже? ))
Якщо вони такі "ваші", то чому це раптом ви щось таке підозрюєте, що почали "розділяти" задля захисту? ))
Чули таку ідею "не май нічого власного та ... будь щасливий"?
Телевізор ... не ваш власний (ви не маєте там прав рута)
Смартфон ... не ваш власний (теж без рута?)
Банківська та сім карта ... не ваші власні (то теж компи, ви ж знали? і теж без рут)
Комп з ТПМ і підписом... не ваш (хоча колись обіцяли що буде ваш лише з обраної вами клавіатури доступ).
Ноут... біос з підписом хто має право змінити? Ви чи не ви?
Роутер з прошивкою без сорців, бинарною...
Девайси та контролери ...
І все інше ))

Так, є.

Це тоді не особистий сервер вже. Та і не бачу в цьому потреби — в продажу є багато старих дешевих ноутбуків чи серверів, яких не шкода навіть подарувати повністю, коли потрібно. Зараз все частіше один користувач на декілька пристроїв, а не кілька користувачів на одному пристрої.

А квартира теж "не особиста" тільки через те що туди можете когось запросити?
Без "простору взаємодії" з можливістю завести "групу" і передавати файл один одному не як "копію", а як файл з вказаною спільною "групою" втратили цілу окрему культуру існування...