এসএমএসে পারমিট ইউজার পরিবেশের নিরাপত্তা ঝুঁকি

11

এনএসভি শেল থেকে এনভেরি ভেরিয়েবলগুলি পাস করার জন্য PermitUserEnvironmentআমি ফাইল ~/.ssh/environmentএবং ফাইল সম্পর্কিত বেশ কয়েকটি পোস্ট পড়েছি । অফিসিয়াল এসএসডিডি ডকস এবং কয়েকটি অন্যান্য সংস্থানগুলি এটির কিছু নিরাপত্তা ঝুঁকির ইঙ্গিত দেয়।

পরিবেশ প্রক্রিয়াকরণ সক্ষম করা ব্যবহারকারীদের কিছু কনফিগারেশনে যেমন LD_PRELOAD ব্যবহার করে অ্যাক্সেস বিধিনিষেধগুলিকে বাইপাস করতে সক্ষম করতে পারে।

সক্রিয়করণের সম্ভাব্য সুরক্ষা সমস্যাগুলি কী কী PermitUserEnvironment? আমি এই পরিবেশের ভেরিয়েবলগুলিতে ডিবি সংযোগের বিশদটি ধারণ করতে চেয়েছিলাম, এটি কি পরামর্শ দেওয়া উচিত?

security  ssh  environment-variables 
রব স্কোয়ায়ার্স
সূত্র
আমি ওপেনএসএসএইচ প্রকল্পের সাথে একটি বাগ রিপোর্ট দায়ের করেছি, তাদের এই সমস্যাটি স্পষ্ট করে sshd_config ম্যান পৃষ্ঠায় কয়েকটি শব্দ যুক্ত করতে বলে: bugzilla.mindrot.org/show_bug.cgi?id=2317
ফ্লোরিন আন্দ্রেই

উত্তর:

16

প্রথমত, যদি আপনি ব্যবহারকারীর অ্যাক্সেস বিধিনিষেধের সাথে অভিনব কিছু করার চেষ্টা না করে থাকেন - এটি হ'ল যদি আপনি ইন্টারেক্টিভ শেল অ্যাক্সেসের প্রস্তাব দিচ্ছেন - তবে ফাইলটি ব্যবহারের অনুমতি দেওয়ার ক্ষেত্রে শূন্যতার অতিরিক্ত অতিরিক্ত ঝুঁকি রয়েছে .ssh/environment, যেহেতু কিছু ব্যবহারকারীরা সেই ফাইলটি সম্পন্ন করতে পারে তারা তাদের শেলটিতে ইন্টারেক্টিভভাবেও করতে পারে।

পরিবেশ প্রক্রিয়াকরণ সক্ষম করা ব্যবহারকারীদের কিছু কনফিগারেশনে যেমন LD_PRELOAD ব্যবহার করে অ্যাক্সেস বিধিনিষেধগুলিকে বাইপাস করতে সক্ষম করতে পারে।

আপনি যদি এসএসএইচ জোরপূর্বক কমান্ডগুলি ব্যবহার করে লোকেরা এসএসএসের মাধ্যমে কী করতে পারে তা সীমাবদ্ধ করতে (উদাহরণস্বরূপ, আপনি যদি কেবলমাত্র মানুষকে ব্যবহার করতে sftpবা সীমাবদ্ধ করে থাকেন scp) তবে কাউকে পরিবেশের ভেরিয়েবল যেমন LD_PRELOAD(অথবা সম্ভবত এমনকি PATH) সেট করার অনুমতি দেয় তবে তারা আপনার হাইজ্যাকের অনুমতি দেয় তাদের নিজস্ব কোড সহ বেসিক লাইব্রেরি কলগুলি প্রতিস্থাপন করে বিধিনিষেধগুলি। অন্যদিকে, আপনি যদি .ssh/environmentআপনার ব্যবহারকারীদের পক্ষে তৈরি করে থাকেন এবং তারা অন্যথায় এটি পরিচালনা করতে সক্ষম না হয় তবে আপনার ঝুঁকি তুলনামূলকভাবে কম।

আপনার নির্দিষ্ট ব্যবহারের ক্ষেত্রে সম্পর্কে আরও না জেনে একটি নির্দিষ্ট উত্তর দেওয়া কঠিন to

larsks
সূত্র
আমি কেবল তাদের আরএসএ কীগুলির মাধ্যমে 2 বা 3 বিশ্বস্ত পার্টি (আমাদের নিজস্ব প্রতিষ্ঠানের মধ্যে ডেভস) থেকে সার্ভারে অ্যাক্সেসের অনুমতি দিচ্ছি। সুতরাং আপনি যা বলছেন তা থেকে এটি ঠিক শোনাচ্ছে
রব স্কাইয়ার্স
আপনার উত্তর থেকে, আমি এটি গ্রহণ করেছি যে আমার সমস্ত এসএস অ্যাকাউন্টে পূর্ণ ব্যাশ অ্যাক্সেস (কোনও সুডো নেই) সরবরাহ করা হলে এই বিকল্পটি সক্ষম করার সুরক্ষা সম্পর্কিত প্রভাব সম্পর্কে আমার কোনও ঘুম হারানো উচিত নয়। সঠিক?
ফ্লোরিন আন্দ্রেই
এটাই সঠিক. আপনি যদি পূর্ণ বাশ অ্যাক্সেস সরবরাহ করে থাকেন তবে লোকেরা ইতিমধ্যে তারা যে পরিবেশের পরিবর্তনগুলি চান সেটি সেট করতে পারে।
লারস্ক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.