এসএসএইচ প্রাইভেট কীতে লগ ইন করার পরে পাসওয়ার্ড ছাড়াই sudo

23

এসএসএইচ প্রাইভেট কীগুলি সমর্থন করার জন্য কি sudo কমান্ড তৈরি করা সম্ভব, যাতে যখন ব্যবহারকারী কোনও প্রাইভেট কী ব্যবহার করে লগইন করে তখন সে পাসওয়ার্ড টাইপ না করেই সুডো করতে পারে।

এটি ইউনিক্স সিসাদমিন পাসওয়ার্ডগুলিকে একটি এনক্রিপ্ট করা কোল্ড স্টোরেজে সংরক্ষণ করার অনুমতি দেবে এবং ব্যবহারকারীদের সর্বদা সার্ভারে লগইন করার জন্য সুরক্ষিত বেসরকারী এসএসএইচ কী ব্যবহার করে ধরে নেওয়া দরকার।

linux  ssh  sudo 
মিক্কো ওহতামা
সূত্র
askubuntu.com/a/135838 আপনি যদি এই ব্যবহারকারীদের একটি গ্রুপে রাখেন, আপনি অবশ্যই পারবেন!
রব
চেষ্টা করুন sudo visudoএবং NOPASSWD: ALLএটি ব্যবহার করে কিনা তা দেখতে আপনার পাসওয়ার্ড পরিবর্তন করুন
বায়ুসংক্রান্ত
3
@ অ্যালানটিউরিং এটি সেই গোষ্ঠীর ব্যবহারকারীদের জন্যও কাজ করবে যারা একটি পাসওয়ার্ডের মাধ্যমে সনাক্ত করেছিল।
Xyon
@ অ্যালানটিউরিং এর ফলে সার্ভারের সুরক্ষা কার্যকরভাবে হ্রাস পাবে - আমি কেবলমাত্র কিছু নির্দিষ্ট ব্যবহারকারী চাই, সবাই না
মিক্কো ওহতামায়
নির্দিষ্ট ব্যবহারকারীদের প্রিভিলিজেস দেওয়া সম্ভব। আমার উত্তর দেখুন।
আইজাক রবিনোভিচ

উত্তর:

10

তা করার বিকল্প যেহেতু (অন্তত) অস্তিত্ব হয়েছে এপ্রিল 2014

আপনার নামে একটি প্যাকেজ ইনস্টল করতে হবে pam_ssh_agent_auth(বাক্সের বাইরে সেন্টোস 7 এর জন্য উপলব্ধ, ওয়াইএমএমভি), তারপরে /etc/pam.d/sudoএটি অনুমোদন পদ্ধতি হিসাবে কনফিগার করুন । অবশেষে, আপনাকে SSH_AUTH_SOCKপরিবেশের ভেরিয়েবলগুলির তালিকায় যুক্ত করতে হতে পারে যা চলতে থাকে sudo

জেন্টু উইকের এই পদক্ষেপগুলির বিশদ রয়েছে।

লিয়াম ডসন
সূত্র
1
লাভলী, তোমাকে ধন্যবাদ লিয়াম। খুব খারাপ আমি বহু বছর ধরে স্যাসাদমিনে আছি না!
মিক্কো ওহতামা
1

Sudo এবং sshd- এ কিছু গুরুতর কোড পরিবর্তন করা ছাড়া এটি সম্ভব নয়। সুডো লগইন পদ্ধতি সম্পর্কে জানে না, এবং ssh অন্যান্য প্রোগ্রামগুলিতে এমন কিছু প্রকাশ করে না যা লগইন করার জন্য পাবলিক কী, পাসওয়ার্ড, বা অন্য কোনও পদ্ধতি ব্যবহৃত হয়েছিল কিনা তা নির্দেশ করে।

অন্য কেউ যেমন বলেছে, আপনি sudoers এ NOPASSWD বিকল্পটি ব্যবহার করতে পারেন - এটি নির্দিষ্ট ব্যবহারকারীদের ক্ষেত্রে সর্বদা প্রযোজ্য হবে, তবে তারা কেবল প্রাইভেট কী ব্যবহার করে এসএসএস ব্যবহার করবেন না।

আপনি যদি সত্যিই চান তবে এমন একটি ট্রিকস থাকতে পারে যা আপনি একটি suid প্রোগ্রামের সাহায্যে করতে পারেন যা sshd লগটি পরীক্ষা করে এবং sudoers ফাইলটিকে লক / সম্পাদনা করে যে ব্যবহারকারীর নো-পাসওয়ার্ড সুডো করতে দেয় এবং এই অনুমতিটি প্রত্যাহার করার জন্য একটি পর্যায়ক্রমিক টাস্ক।

যা যা বলেছিল, আমি মনে করি এটি একটি খারাপ ধারণা। সুবিধাপ্রাপ্ত কমান্ডগুলির জন্য একটি পাসওয়ার্ডের প্রয়োজনের বেশ কয়েকটি দুর্দান্ত সুবিধা রয়েছে যা ব্যক্তিগত কী এসএসএইচ দেয় না। উল্লেখযোগ্যভাবে, এটি আপনাকে অনুমোদনের সময়সীমা রাখতে দেয় (পাসওয়ার্ডটি অবশ্যই পুনরায় প্রবেশ করাতে হবে, এসএসএস সেশনের ক্ষেত্রে এটি সত্য নয়), এটি আপনাকে পাসওয়ার্ডের ন্যূনতম এবং ঘূর্ণন করতে দেয় (ssh কীগুলির বিপরীতে, যার সার্ভারের নিয়ন্ত্রণের বাইরে পাসফ্রেজ রয়েছে)।

দাগোন
সূত্র
11
"এটা সম্পন্ন করা যাবে না" নয় উত্তর, বিশেষত যখন এটি হয় করতে কাজ করতে হবে।
আইজাক রবিনোভিচ
নতুন ইনফর্মটিনোযুক্ত সঠিকটির উত্তর পরিবর্তন করা।
মিক্কো ওহতামা
1

উত্তরগুলির একটি দম্পতি পৃথক ব্যবহারকারীর পাসওয়ার্ড ছাড়াই সুডো টু পয়েন্ট। আপনার সচেতন হওয়া উচিত যে এটি আপনার সুরক্ষা হ্রাস করবে।

কোনও ব্যবহারকারীর জন্য যা ইতিমধ্যে একটি শংসাপত্রের সাথে দৃ strongly়ভাবে প্রমাণীকরণ করা হয়েছে এটি কোনও সমস্যা হতে পারে না কারণ তিনি শংসাপত্রের ভঙ্গিতে রয়েছেন যা তাত্ত্বিকভাবে তাকে মূল তৈরি করতে পারে।

তবে আপনি যদি দুর্বলতার কথা চিন্তা করেন যা কোনও আক্রমণকারীকে সীমিত ব্যবহারকারীর শেল সরবরাহ করে এবং এই ব্যবহারকারীর নোডপাসডাব্লুডির sudoers ফাইলে সেট করা আছে তবে আক্রমণকারীর সিস্টেমের কোনও শংসাপত্র ছাড়াই রুট।

যদি সুডো ব্যবহারকারীর কাছ থেকে পাসওয়ার্ডের প্রয়োজন হয় তবে আক্রমণকারী তার অধিকারগুলি রুট করার জন্য সময় এবং ভাগ্যের প্রয়োজন।

সেবাস্তিয়ান ব্রাবেটজ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.