Despiste de seguridad en Fedora 12
Seguramente muchos ya hayáis leído algo sobre el tema, pero lo cierto es que es curioso que una distribución tan pulida como esta haya fallado en un aspecto tan singular como la seguridad de primer nivel.
Y es que en Fedora 12 se ha descubierto que cualquier usuario puede instalar software en una máquina con esta distribución sin necesidad de utilizar la contraseña del administrador. La noticia fue muy comentada en Reddit, y Red Hat pronto abrió un informe de error para subsanar ese problema. ¿Cómo subsanarlo?
El error -que de hecho es intencionado, una decisión polémica de los desarrolladores de Fedora 12- se debe a la tecnología PolicyKit integrada para usuarios de escritorio, y teóricamente fue un paso realizado para facilitarle a los usuarios menos expertos el acceso a esta tarea, pero las consecuencias son muy graves.
Como comentaba uno de los propios usuarios de Reddit,
“Esta es una de las actualizaciones más estúpidas en una distro Linux de primer nivel que he visto en los últimos 10 años. Lo que es peor, la gente ni siquiera entiende cuál es el problema. Incluso en Windows ya se sabe que no se deben hacer las cosas así. Antes de UAC, al menos había cuentas de Administrador en XP. Felicidades, ya estáis a la par con Winodws 98“.
Las críticas se sucedieron, y demostraron que el sistema es vulnerable a exploits de paquetes que podemos instalar e incluso que elegimos no instalar. Sin embargo, es posible solucionar el problema ejecutando el siguiente comando en una ventana de terminal:
sourcepklalockdown --lockdown org.freedesktop.packagekit.package-installMás información sobre este cambio, aquí.
Que yo sepa no fue un error, sino que decidieron hacerlo asi explicitamente para facilitar la vida al usuario. Estoy de acuerdo en lo que dijeron en otro blog, que se ha liado tanta polemica por ser Fedora, si hubiera sido otra distribucion no se hubiera liado tanto…
realmente pienso que ya con con el uso de sudo en linux se facilita bastante las cosas al usuario, hacerlo aun mas facil conllevaria a un sistema muy inseguro. Por ejemplo windows cambio su politica y en windows 7, la contraseña de administrador ya se hace incapie en que es recomendable hacerla, en cambio ediciones anteriores como XP simplemente tenias la opcion pero la mayoria de usuarios ni se percataban.
no es un fallo, es una característica :D
Qué lastima que hayan tomado una decisión de este tipo.
Primero la seguridad!
Ya anunciaron una actualización que revierte el cambio.
http://lwn.net/Articles/362986/rss
Pues una de las cosas que más me gusta de GNU/Linux es que nadie, menos yo, puede instalar cosas en mi pc, si le quitamos eso pierde algo de gracia.
De hecho, solo se pueen instalar aplicaciones de este modo SI Y SOLO SI estas están en repositorios con sus correspondientes firmas digitales, si no están firmados entonces te pide contraseña como siempre.
tan dificil es usar su ? y mirar que el usuario este en el grupo de sudoers?
Me parece una muy desafortunada decisión por parte del equipo de Fedora. Lo más importante es la seguridad y después la comodidad.
La cantidad de obreros que preferirían quitarse el casco en verano por comodidad (calor) es inmensa, pero si lo hiciesen, las muertes laborales se multiplicarían. Es un caso extremo, pero creo que ilustra fácilmente la importancia de la seguridad frente a la comodidad.
Estoy con “Anonimo”, ha cambio de la comodidad se sacrifica la seguridad. Lamentable…
Pues con eso de que fedora es el tester de Redhat no dudo que hayan pensado implementar esta característica con esos fines
Concuerdo con @sancochito, la gracia de usar Linux es el hecho de que solo yo puedo instalar programas, cuando me toca estar en Windows extraño mucho esa seguridad.
A mí también me parece un error bastante tonto, la verdad, no obstante se deja en manos del usuario que instala, un buen administrador te capa eso a la primera.
Y aunque ni tiene que ver con la noticia ni uso Fedora, para quienes interese se ha publicado la Guía de Usuario de Fedora 12. la tenéis disponible en pdf (en español) aquí:
http://doc.fbnetwork.org/
entre la extraña actualización hacia atrás de un Mandriva 2010 recién instalado (pide actualizar al 2009) y ahora esto… al final me sentiré afortunado de ser un paleto que usa Ubuntu todavía…
*blink blink* o.o
Porque no simplemente entonces dejaron que las instalaciones locales (para un unico usuario) fueran las que no pidieran password, y las de sistema sí?
La verdad, tal parece que a alguien le hicieron falta algunas neuronas a la hora de estar configurando esta cosa.
entonces… la instalacion sin permisos solo es para paquetes firmados o para todos??
pero nada!! fedora, corrije eso, i qe ninguna otra haga eso otra vez! qe no ven qe hasta el windows se copio de nosotros para su UAC y uds quitandolo??
no digo qe no qieran facilitar la vida al usuario de a pie, pero ayudaran mas manteniendo la seguridad; ademas, no molesta casi poner la contraseña cada vez qe instala uno algo…
JaD!
En este aspecto cada vez Linux se parece mas a Windows. Es como el temible ‘sudo’ de Ubuntu y algunas distros mas. Si hay algo en que Linux siempre ha destacado es en el tema de los permisos. No querramos hacer inventos para una teórica facilidad de uso de cara al usuario, cagandola en algo tan importante.
[...] Fallo de seguridad en Fedora 12 [...]
@jado92mx: totalmente de acuerdo. Es gracioso, microsoft mejora la seguridad y sus usuarios le saltan a la yugular, una distribucion de linux relaja la seguridad y sus usuarios ponen el grito en el cielo. Una de las mejores cosas que tienen los sistemas libres (hasta ahora) son sus usuarios, no son comodos!!. Saludos.
Pd: no me queda claro si fue un error de Fedora o una forma de :acercarse” mas al usuario de windows.
Algunos comentarios que leo, me hacen pensar que nos olvidamos que muchos usuarios no tienen ni ganas ni tiempo de aprender como se otorgan permisos o privilegios para hacer tal o cual cosa… Solo usar sus aplicaciones para hacer lo que tengan que hacer y listo… a otra cosa… Alguna vez han visto un usuario que recien instala un sistema gnu/linux y no saber porque no puede instalar un programa?
A veces nos quejamos de que a gnu/linux le falta mucho mas feeling con el usuario común, y cuando implementan algo que esta pensado para eso..
Cuantos de acá realmente leyeron que es lo que implica de verdad esta política y cuales son los riesgos?
Me da la sensación de que a veces se escriben comentarios solo con leer el titulo y nada más..
Igual sigo respetando todas las opiniones.
[...] » noticia original [...]
Podrían hacer eso para que se instale en una carpeta que no tenga nada que ver con /usr/bin | /usr/share | /usr/lib, sino que se instale en una carpeta llamada /localpkg/user en la que se instalen las cosas sin necesitar ser root. Me parecería una buena idea si fuera así o:
@Nahuelsin: Como muchos usuarios no tienen ni ganas ni tiempo de aprender a manejar mirando los espejos retrovisores hagamos autos sin espejos, eureka!!! encontramos la solucion a todos nuestros problemas!!!. No creo que sea muy dificil aprenderse una contrasenia y saber que cuando instalemos algo la vamos a necesitar; a mi por lo menos no me gusta que me traten como un imbecil, se sumar 2+2.
Saludos y cuiden sus sistemas.
Si solo se pueden instalar paquetes firmados de los repositorios y han tenido en cuenta la seguridad, tal y como describen en su web, parcheando los procesos que corren como root, no le veo problema.
Aqui todos opinamos de seguridad, pero creo que la gente de fedora (red hat) sabŕan un poquito más que nosotros, así que por mi esta de lujo
Un saludo
[...] MuyLinux [...]
@Máximo
>Podrían hacer eso para que se instale en una carpeta que no tenga nada que ver con >/usr/bin | /usr/share | /usr/lib, sino que se instale en una carpeta llamada /localpkg/user en l>a que se instalen las cosas sin necesitar ser root. Me parecería una buena idea si fuera >así o:
¿ Te suenan /usr/local/ y /opt ? Llevan en UNIX/ Linux desde tiempos remotos …
[...] MuyLinux http://www.segu-info.com.ar Visto en [...]