"স্বীকৃতিপ্রাপ্ত * "টিকে কেন নিরাপত্তাহীন বলে বিবেচনা করা হয়?

ইন /etc/ssh/sshd_config, একটি বিকল্প বলা হয় AcceptEnvযা এসএসএস ক্লায়েন্টকে পরিবেশের ভেরিয়েবলগুলি প্রেরণ করতে দেয়। আমার প্রচুর পরিমাণে পরিবেশের ভেরিয়েবল প্রেরণে সক্ষম হতে হবে। ক্লায়েন্টের কাছ থেকে প্রতিটি সংযোগে এই পরিবর্তনগুলি, তাই এগুলি সার্ভারে লগইন স্ক্রিপ্টে রাখাই আরও কঠিন হবে।

আমি পড়েছি যে "AcceptEnv *"নিরাপদ। আমি বুঝতে চাইছি কেন আগে পরিবেশের যে সমস্ত ভেরিয়েবলগুলি সেখানে রাখার জন্য সেট করার চেষ্টা করা হয়েছে তার একটি তালিকা পাওয়ার চেষ্টা করার আগে।

কেন এটি অনিরাপদ হিসাবে বিবেচিত হয়? আমি একটি উদাহরণ পেতে পারি?

পরিবেশ প্রক্রিয়াকরণ সক্ষম করা ব্যবহারকারীদের কিছু কনফিগারেশনে যেমন LD_PRELOAD ব্যবহার করে অ্যাক্সেস বিধিনিষেধগুলিকে বাইপাস করতে সক্ষম করতে পারে।

Sshd_config এর জন্য ম্যান পৃষ্ঠাগুলির সমস্ত সংস্করণ এটি উল্লেখ করে না। যদি আপনার পরিবেশের ভেরিয়েবলগুলি আগেই পরিবর্তন করা হয় এবং এর দ্বারা নির্দিষ্ট নতুন লাইব্রেরি সহ কিছু বিশেষাধিকারপ্রাপ্ত প্রক্রিয়াগুলি কার্যকর করা হয় তবে সমস্যাগুলির ফলাফল হতে পারে।

কটাক্ষপাত http://www.dankalia.com/tutor/01005/0100501004.htm জন্য "LD_PRELOAD শোষণ" অনুসন্ধান এবং। দুঃখিত, পৃষ্ঠাটির কোনও অ্যাঙ্কর লিঙ্ক নেই।

এই স্ট্যাকওভারফ্লো প্রশ্নটি দেখুন, "এলডিপ্রেলএড ট্রিক কী? "

সংযোগের পরে পরিবেশের ভেরিয়েবলগুলি সেট করা ভাল, তবে যখন সেই পরিবর্তনশীলগুলি এসসি ডেমোনের দ্বারা অ্যাকসেপ্টইনভি দ্বারা সেট করা হিসাবে ব্যাখ্যা করা হয়, তখন খারাপ জিনিসগুলি ঘটতে পারে।

পরিবেশের ভেরিয়েবল গ্রহণ করবেন না:

সম্প্রতি প্রকাশিত শেলশক শোষণটি দেখুন .. আপনি যদি পরিবেশের ভেরিয়েবলগুলি গ্রহণ করেন তবে আপনি একটি সত্যই দুষ্টু শোষণের উদ্বোধন করছেন।