Bug 12449

Summary: sudo не "видит" не локальные группы
Product: Sisyphus Reporter: Boris Savelev <boris>
Component: sudoAssignee: Evgeny Sinelnikov <sin>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: major    
Priority: P3 CC: aen, boris, evg, iv, lav, mike, rlz, sin, vitty
Version: unstable   
Hardware: all   
OS: Linux   
URL: https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=235915
Bug Depends on:    
Bug Blocks: 27685    

Description Boris Savelev 2007-08-02 15:23:48 MSD 
Используется libnss-mysql. Упоминаний о пользователе boris нет ни в /etc/passwd
ни в /etc/group
/etc/nsswitch.conf:
passwd:     files mysql nisplus nis
shadow:     tcb mysql files nisplus nis
group:      files mysql nisplus nis

/etc/sudoers:
boris ALL=(root) NOPASSWD: /bin/su
%builder ALL=(root) NOPASSWD: /bin/mount

$ id boris
uid=611(boris) gid=100(users) группы=71(floppy),80(cdwriter),100(users),500(builder)

$ sudo -l
(root) NOPASSWD: /bin/su

/bin/mount не показывает
Comment 1 Dmitry V. Levin 2007-08-05 01:28:28 MSD 
Fixed in 1.6.8p12-alt4.
Comment 2 Boris Savelev 2008-02-15 18:45:56 MSK 
sudo-1.6.8p12-alt5

опять не работает
Comment 3 Boris Savelev 2009-01-20 19:18:02 MSK 
есть мнение, что оно вообще никогда не работало
Comment 4 Evgeny Sinelnikov 2009-01-23 22:33:52 MSK 
Я собрал в свой git новый sudo-1.7.0:
http://git.altlinux.org/people/sin/packages/sudo.git

Проверил работу сетевых пользователей в Tartarus. На первый взгляд всё работает...
Comment 5 Evgeny Sinelnikov 2009-04-09 14:58:19 MSD 
Хотелось бы всё-таки, чтобы sudo нормально разрешал группы через NSS.
В чём проблема обновить sudo?
Comment 6 Evgeny Sinelnikov 2009-05-12 00:45:27 MSD 
Я собрал в свой git новый sudo-1.7.1:
http://git.altlinux.org/people/sin/packages/sudo.git
Comment 7 Vitaly Lipatov 2010-10-26 00:50:03 MSD 
По-прежнему не показывает запись sudo
%builder ALL=(root) NOPASSWD: /bin/mount 
, если группа не локальна.
sudo-1.6.8p12-alt7
Comment 8 Evgeny Sinelnikov 2012-12-19 21:36:28 MSK 
(В ответ на комментарий №7)
Ветка 1.6 (а соответственно и сборка sudo-1.6.8p12-alt7 или sudo-1.6.8p12-alt12) не могут работать с не локальными группами. Это реализовано начиная с ветки 1.7.

Сегодня объединил последнюю сборку в сизифе в новой веткой 1.8 и сделал 1.8.6p6-alt1:
http://git.altlinux.org/people/sin/packages/sudo.git
http://git.altlinux.org/tasks/86414/

Там есть ещё что подумать включить:
1) модули:
--with-ldap
--with-selinux
--with-sssd

2) опция iologdir:
sudoreplay не отрабатывает, поскольку ничего не сохраняет, для этого есть отдельный каталог: --with-iologdir
Я пока не понял почему он не отрабатывает и как вообще работает.

3) открытие новой PAM-сеcсии параметром -i:
--with-pam-login (требует отдельного /etc/pam.d/sudo-i)
Comment 9 Evgeny Sinelnikov 2013-02-12 15:36:00 MSK 
1.8.6p6-alt1: http://git.altlinux.org/tasks/89838/
Прошлая была 1.8.6p3-alt1, я её по ошибка назвал 1.8.6p6-alt1.
Comment 10 AEN 2013-02-14 19:47:22 MSK 
2ldv@: прошу высказаться.
Comment 11 AEN 2013-04-04 01:46:09 MSK 
2ldv@: все еще жду реакции.
Comment 12 Evgenii Terechkov 2015-07-30 19:28:14 MSK 
ping?
Comment 13 Michael Shigorin 2015-07-31 01:41:39 MSK 
Полагаю, ответ где-то здесь:

$ rpm -qp --changelog http://mirror.yandex.ru/fedora/linux/releases/22/Workstation/x86_64/os/Packages/s/sudo-1.8.12-1.fc22.x86_64.rpm | grep CVE
- fixes CVE-2014-9680
- fixes CVE-2013-1775 and CVE-2013-1776
- fixed CVE-2012-2337
- added patch for CVE-2012-0809
- fixes CVE-2011-0008, CVE-2011-0010
$ rpm -q --changelog sudo-1.6.8p12-alt12 | grep CVE
- Backported upstream fix for CVE-2010-1163 (env_reset, ignore_dot and
- Backported upstream fix for CVE-2010-1646 (env_reset sudoers option
- Backported upstream fix for CVE-2010-0426 (a flaw in sudoedit could
Comment 14 Vitaly Lipatov 2017-08-06 17:44:03 MSK 
Проверил на
sudo-1.8.20p2-alt1.S1.x86_64
как на группах, назначенных через rule, так и приходящих через sssd.
работает.
Comment 15 Vitaly Lipatov 2017-08-07 00:24:10 MSK 
Закрываем.