রেডহাটে, "কর্নেল.সুইড_ডাম্পেবল = 1" এর অর্থ কী?

আমি কিছু লগ ফাইল অনুলিপি করার জন্য একটি বাশ স্ক্রিপ্ট চালাচ্ছি এবং তারপরে একটি রেড হ্যাট বাক্সে একটি পরিষেবা পুনরায় চালু করব। আমি যখনই স্ক্রিপ্টটি সম্পাদন করি, আমি আমার কনসোলে নিম্নলিখিতটি পাই:

[root@servername ~]# sh /bin/restart_nss.sh
kernel.suid_dumpable = 1
Stopping Service: [ OK ]
Starting Service: [ OK ]
[root@servername ~]#


এই ক্ষেত্রে "কর্নেল.সুইড_ডাম্পেবল = 1" এর অর্থ কী?

ধন্যবাদ, আইভিআর অ্যাভেঞ্জার

কিছু পটভূমি:

সেটুইড বিট:
এক্সিকিউটেবল ফাইলের সেটুইড বিট এটিকে এত এক্সিকিউটেবল করে তোলে যে কোনও ব্যবহারকারীর দ্বারা চালিত হয়, এমনভাবে চালিত হয় যেন তারা এক্সিকিউটেবলের মালিক দ্বারা চালিত হয়। সুতরাং যদি সেটুয়েডটি এমন কোনও প্রোগ্রামে সেট করা থাকে যা রুটের মালিকানাধীন, এটি কে চালায় তা বিবেচনা না করেই এটি রুট সুবিধাগুলি দিয়ে চালানো হবে। এটি অবশ্যই খুব সহজ নয়, এই উইকিপিডিয়া নিবন্ধটি দেখুন বা ইউনিক্স পরিবেশে স্টিভেনের প্রোগ্রামিংয়ের একটি অনুলিপি পান।

একটি কোর ডাম্প:
একটি কোর ডাম্প একটি ফাইলের কাছে প্রোগ্রামের কাজের মেমরির একটি ডাম্প। দেখুন এই Wikipedia নিবন্ধটি ।

suid_dumpable :
উপরের বর্ণনা অনুসারে কোনও সেটুইড প্রোগ্রাম থেকে মূলটি ডাম্প করা যেতে পারে যদি এটি নিয়ন্ত্রণ করে। নিচে দেখ. এটি কার্নেল টিউনযোগ্য, আপনি এটি দিয়ে এটি পরিবর্তন করতে পারেন:

sudo sysctl -w kernel.suid_dumpable=2

আপনি এই ট্যুয়েবলটি আপনার সোর্সকোডের জন্য ডকুমেন্টেশনে সন্ধান করতে পারেন, এটি ইনস্টল করা থাকলে আপনি কোনও ডিরেক্টরিতে খুঁজে পেতে পারেন: /usr/src/linux-source-2.6.27/ ডকুমেন্টেশন / সিসিটিএল /। এই ক্ষেত্রে, নীচের উল্লেখটি সেই ডিরেক্টরিতে fs.txt এ রয়েছে in uname -aআপনার কার্নেল সংস্করণটি জানতে কমান্ডটি ব্যবহার করুন ।

কেন এটি গুরুত্বপূর্ণ:

এটি সুরক্ষার ঝুঁকি হতে পারে:
সুতরাং ধারণাটি হ'ল, যদি সেখানে কোর্সের মূল ডাম্প থাকে এবং নিয়মিত ব্যবহারকারী এগুলি পড়তে পারেন তবে তারা সুবিধাপ্রাপ্ত তথ্য সন্ধান করতে পারে। প্রোগ্রামটি যদি ভালভাবে ফেলে দেওয়া হয় তবে এটির মেমোরিতে সুবিধাজনক তথ্য ছিল এবং ব্যবহারকারী ডাম্পটি পড়তে পারে, তারা সেই সুবিধাযুক্ত তথ্যটি খুঁজে পেতে পারে।

রেফারেন্স:

This value can be used to query and set the core dump mode for setuid
or otherwise protected/tainted binaries. The modes are

0 - (default) - traditional behaviour. Any process which has changed
   privilege levels or is execute only will not be dumped
1 - (debug) - all processes dump core when possible. The core dump is
   owned by the current user and no security is applied. This is
   intended for system debugging situations only.
2 - (suidsafe) - any binary which normally not be dumped is dumped
   readable by root only. This allows the end user to remove
   such a dump but not access it directly. For security reasons
   core dumps in this mode will not overwrite one another or 
   other files. This mode is appropriate when adminstrators are
   attempting to debug problems in a normal environment.

আপনি নির্ধারিত প্রক্রিয়াগুলি থেকে কোর ডাম্পগুলি পেতে পারেন কিনা তা এটি নির্ধারণ করে।

মূল প্যাচ থেকে কিছু তথ্য

+suid_dumpable:
+
+This value can be used to query and set the core dump mode for setuid
+or otherwise protected/tainted binaries. The modes are
+
+0 - (default) - traditional behaviour. Any process which has changed
+   privilege levels or is execute only will not be dumped
+1 - (debug) - all processes dump core when possible. The core dump is
+   owned by the current user and no security is applied. This is
+   intended for system debugging situations only.
+2 - (suidsafe) - any binary which normally not be dumped is dumped
+   readable by root only. This allows the end user to remove
+   such a dump but not access it directly. For security reasons
+   core dumps in this mode will not overwrite one another or 
+   other files. This mode is appropriate when adminstrators are
+   attempting to debug problems in a normal environment.