<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto">I couldn't have replied better<br><br><div dir="ltr"><div><span style="background-color: rgba(255, 255, 255, 0);">-- </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"> J. Hellenthal</span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><span style="background-color: rgba(255, 255, 255, 0);">The fact that there's a highway to Hell but only a stairway to Heaven says a lot about anticipated traffic volume.</span></div><div dir="ltr"><br><blockquote type="cite">On Jul 18, 2022, at 10:38, Tom Beecher <beecher@beecher.cc> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">But in the mean time (and generally) this should really only be used in a dedicated VM.  And the *primary* audience is my networks class--even though I shared with the broader networking community, in case others might find it useful or have feedback (thank you!).<br></blockquote><div><br></div><div>It's a cardinal rule that anything built with a set of assumptions about the environment it operates in will inevitably be run in a different environment somewhere, someday. :) </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 15, 2022 at 11:09 AM Casey Deccio <<a href="mailto:casey@deccio.net">casey@deccio.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> On Jul 15, 2022, at 8:25 AM, J. Hellenthal <<a href="mailto:jhellenthal@dataix.net" target="_blank">jhellenthal@dataix.net</a>> wrote:<br>
> <br>
> For a quick cursory overview of this project, I would urge you to add an adendum or change the following line in the installation documentation...<br>
> <br>
> "%sudo   ALL=(ALL:ALL) NOPASSWD: ALL"<br>
> <br>
> This is technically influencing bad behavior with sudo for those that are not aware of the security impacts of such decisions.<br>
> <br>
> I'm not one to provide a negative remark usually without suggesting a result that provides a positive impact that can be built upon. So with that said and along the lines of that id suggest adjusting the documentation to contain something of the sorts of a guided only per user or separate group other than "%sudo"... maybe "%cougarnet" and add instructions for creating the group and adding users to that group.<br>
> <br>
> Beyond that... nice project and thank you for your contribution to networking. This may be beyond the scope of just this one mailing list and wish you the best.<br>
<br>
Thanks so much for the feedback.  As noted, this is still a work-in-progress.  Now that I'm mostly past the proof-of-concept phase of development, and one of my near-term to-do items is to improve least privilege in the code.  I think it does fairly well in other places, but the sudo access is still too liberal.  At the moment, the plan is to enumerate the commands used with sudo in the code and apply them to a group of which a user must be a part.  For example:<br>
<br>
%cougarnet   ALL=(ALL:ALL) NOPASSWD: /usr/bin/ip, /usr/sbin/sysctl<br>
<br>
But in the mean time (and generally) this should really only be used in a dedicated VM.  And the *primary* audience is my networks class--even though I shared with the broader networking community, in case others might find it useful or have feedback (thank you!).<br>
<br>
Cheers,<br>
Casey</blockquote></div>
</div></blockquote></body></html>