কোনও ব্যবহারকারীর এক্সিকিউটেবল তৈরি এবং এগুলি চালানো থেকে বিরত করার কোনও উপায় আছে কি?

র্যানসমওয়্যার আক্রমণগুলি শূন্য-দিনের শোষণগুলি ব্যবহার করতে পারে তবে প্রায়শই আক্রমণকারী কেবলমাত্র একজন দোষী ব্যবহারকারীকে ডাউনলোড এবং ক্লিক করে একটি নির্বাহযোগ্য চালানোর জন্য বোকা বানাবে।

মনে করুন আমাদের একটি নিষ্পাপ ব্যবহারকারী রয়েছে এবং এগুলি সাধারণ পথে সীমাবদ্ধ রাখতে চান। কার্যকর করার সুযোগসুবিধা সহ কোনও ফাইল তৈরি করা থেকে বাধা দেওয়ার কোনও উপায় আছে কি?

বা আরও সাধারণভাবে, অ্যাক্সেস নিয়ন্ত্রণের তালিকা তৈরি করার এবং এই ব্যবহারকারী কেবলমাত্র এই তালিকার মধ্যে ফাইলগুলি কার্যকর করতে পারে তা নির্ধারণ করার কোনও উপায় আছে?

আপনি যে নির্দিষ্ট আক্রমণ সম্পর্কে উদ্বেগ প্রকাশ করেছেন তা হ'ল:

প্রায়শই একজন আক্রমণকারী কেবলমাত্র একজন দোষী ব্যবহারকারীকে ডাউনলোড এবং ক্লিক করে সম্পাদনযোগ্য চালানোর জন্য বোকা বানাবে।

অন্তত সাধারণ ক্ষেত্রে যেখানে ফাইলটি কোনও ওয়েব ব্রাউজারে ডাউনলোড হয় সেখানে উবুন্টুতে ইতিমধ্যে এক্সিকিউট-পারমিটেশন বিট আবশ্যক নীতিমালার ব্রাউজারের আনুগত্য দ্বারা এটি প্রতিরোধ করা উচিত । নীতির সর্বাধিক প্রত্যক্ষ প্রাসঙ্গিক অংশগুলি হ'ল:

• ডেস্কটপ এবং শেল সহ অ্যাপ্লিকেশনগুলিতে ফাইলগুলি যখন উভয়ই থাকে তখন তাদের সম্পাদনযোগ্য কোড চালানো উচিত নয়:

  • এক্সিকিউটেবল বিট অভাব
  • ব্যবহারকারীর হোম ডিরেক্টরি বা অস্থায়ী ডিরেক্টরিতে অবস্থিত।

• একটি ওয়েব ব্রাউজার, মেল ক্লায়েন্ট, ইত্যাদি থেকে ডাউনলোড করা ফাইলগুলি কখনও মৃত্যুদন্ড কার্যকর হিসাবে সংরক্ষণ করা উচিত নয়।

সুতরাং যদি কোনও ব্যবহারকারীকে কোনও ওয়েব ব্রাউজারে একটি প্রোগ্রাম ডাউনলোড করতে বলা হয়, তা করে এবং তার উপর ডাবল-ক্লিক করে ফাইলটি চালানোর চেষ্টা করে, এটি চলবে না। ডাউনলোড করা ফাইলটি শেল স্ক্রিপ্ট বা এমনকি একটি .ডেস্কটপ ফাইল হলেও এটি প্রযোজ্য। (আপনি যদি কখনও ভেবে থাকেন তবে কেন আপনার হোম ডিরেক্টরিতে .ডেস্কটপ ফাইলগুলিকে সত্যিকারের প্রোগ্রাম নয় তবুও সম্পাদনযোগ্য হিসাবে চিহ্নিত করতে হবে , এ কারণেই))

ব্যবহারকারীদের পক্ষে কনফিগারেশন পরিবর্তনের মাধ্যমে এই আচরণটি পরিবর্তন করা সম্ভব। বেশিরভাগই তা করবে না, এবং যারা সম্ভবত করবেন তাদের উচিত নয়, এটি আপনাকে চিন্তিত করার মতো নয়। সবচেয়ে বড় উদ্বেগ হ'ল আরও জটিল আক্রমণ যা আমি মনে করি যে আপনি ইতিমধ্যে উদ্বিগ্ন হয়ে পড়েছেন, যার মধ্যে একজন দূষিত ব্যক্তি (বা বট) ব্যবহারকারীকে একটি নির্দিষ্ট ফাইল ডাউনলোড করার নির্দেশ দেয়, এটিকে নির্বাহযোগ্য হিসাবে চিহ্নিত করে (তাদের ফাইল ব্রাউজারের মাধ্যমে বা এর মাধ্যমে chmod), এবং তারপর এটি চালান।

দুর্ভাগ্যক্রমে, কোনও ব্যবহারকারীর কোনও ফাইলকে এক্সিকিউট বিট সেট করার বা কিছু শ্বেতলিস্টের ফাইল ব্যতীত অন্য ফাইলগুলি কার্যকর করার ক্ষমতা সীমাবদ্ধ করা সমস্যাটিকে লক্ষণীয়ভাবে হ্রাস করতে পারে না। কিছু আক্রমণ ইতিমধ্যে কাজ করবে, এবং যেগুলি তুচ্ছভাবে সংশোধন করা যায়নি যাতে তারা করে। মৌলিক সমস্যাটি হ'ল ফাইল চালানোর প্রভাবটি যদি ফাইলে কার্যকর করার অনুমতি না থাকে তবেও তা অর্জন করা যায় ।

উদাহরণস্বরূপ এটি সর্বোত্তম চিত্রিত। ধরুন evilবর্তমান ডিরেক্টরিতে এমন একটি ফাইল যা যদি এক্সিকিউটেবল অনুমতি ( chmod +x evil) এবং রান ( ./evil) চালিত হয় তবে কিছু খারাপ করবে। এটি কী ধরণের প্রোগ্রামের উপর নির্ভর করে নিম্নলিখিত প্রভাবগুলির মধ্যে একটির দ্বারা একই প্রভাব অর্জন করা যেতে পারে:

• . ./evilবা বর্তমানে চলমান শেলের মধ্যেsource ./evil কমান্ডগুলি চালায় ।evil
• bash ./evilরান evilএ bash।
• python3 evilরান evilএ python3।
• perl evilরান evilএ perl।
• ... এবং সাধারণভাবে interpreter evilরান evilমধ্যে অনুবাদক interpreter ।
• বেশিরভাগ সিস্টেমে /lib64/ld-linux-x86-64.so.2 ./evil বাইনারি এক্সিকিউটেবল চালায় evil ।

এর মধ্যে কোনওটিই, এমনকি শেষটিও নয়, ফাইলটির নির্বাহযোগ্য অনুমতি থাকতে হবে বা ব্যবহারকারী ফাইলটিকে এক্সিকিউটেবল অনুমতি দিতে সক্ষম হতে পারে তাও নয় ।

তবে দূষিত নির্দেশাবলী এমনকি জটিল হতে হবে না। এই অ-দূষিত কমান্ডটি বিবেচনা করুন , যা এনভিএম ইনস্টল বা আপডেট করার আনুষ্ঠানিকভাবে প্রস্তাবিত উপায়গুলির মধ্যে একটি :

wget -qO- https://raw.githubusercontent.com/nvm-sh/nvm/v0.34.0/install.sh | bash

এটি দূষিত না হওয়ার কারণটি হ'ল এনভিএম ম্যালওয়্যার নয়, তবে ইউআরএল যদি কারও স্ক্রিপ্টের পরিবর্তে চালানো হয় তখন খারাপ কাজ করে, সেই কমান্ডটি স্ক্রিপ্টটি ডাউনলোড করে চালিত করে। কোনও মুহুর্তে কোনও ফাইলকে এক্সিকিউটেবল অনুমতি দেওয়ার দরকার পড়েনি। দূষিত ফাইলে থাকা কোডটি ডাউনলোড করা এবং চালানো এটির মতো একটি একক কমান্ড হ'ল, আমি বিশ্বাস করি, আক্রমণকারীরা ব্যবহারকারীদের গ্রহণ করার জন্য আক্রমণাত্মকদের একটি সাধারণ প্রচলিত ক্রিয়া।

আপনি ব্যবহারকারীদের চালনার জন্য দোভাষী কী কী তা সীমাবদ্ধ করার চেষ্টা করার কথা ভাবতে পারেন। তবে এটি করার সত্যিই কোনও উপায় নেই যা সম্ভবত ব্যবহারকারীদের করতে সক্ষম হতে পারে এমন সাধারণ কাজগুলিকে যথেষ্ট প্রভাবিত করে না। যদি আপনি একটি অত্যন্ত সীমাবদ্ধ পরিবেশ স্থাপন করে থাকেন যার উপরে ব্যবহারকারী কোনও কম্পিউটারে যা করতে চান তার প্রায় সমস্ত কিছুই নিষ্ক্রিয় করা হয়, এমন কিওস্কের মতো যা কেবলমাত্র কয়েকটি প্রোগ্রাম চালায়, তবে এটি অর্থবোধক সুরক্ষার কিছুটা ব্যবস্থা সরবরাহ করতে পারে। তবে এটি আপনার ব্যবহারের মতো মনে হচ্ছে না।

সুতরাং আপনার প্রশ্নের আনুমানিক উত্তর হ'ল "না" " পূর্ণাঙ্গ উত্তর আপনি পারে সম্ভবত ব্যবহারকারীদের ঐ যে আপনি একটি পরিচ্ছন্ন তালিকা উপর সরবরাহ ব্যতীত কোন ফাইল নির্বাহ থেকে বিরত পরিচালনা করুন। তবে এটি "চালানো", এর কঠোর, প্রযুক্তিগত অর্থে যা বেশিরভাগ প্রোগ্রাম বা স্ক্রিপ্ট চালানোর সম্পূর্ণ প্রভাব অর্জন করার প্রয়োজন হয় না। এটি রোধ করতে , আপনি শ্বেতলিস্টটি খুব ছোট করে তোলার চেষ্টা করতে পারেন, সুতরাং এটি অত্যন্ত সীমাবদ্ধ হতে পারে এমন ব্যতীত কোনও দোভাষীকে তালিকাভুক্ত করেনি। আপনি যদি এটি পরিচালনা করেন তবে ব্যবহারকারীরা খুব বেশি কিছু করতে পারেনি এবং আপনি এটিকে এত ছোট করে ফেললে তারা নিজেরাই ক্ষতি করতে পারে না, তারা সম্ভবত কিছুই করতে পারে না। ( টমাস ওয়ার্ডের মন্তব্য দেখুন ।)

যদি আপনার ব্যবহারকারীরা নিজেরাই ক্ষতি করতে পারে তবে তাদের নিজের ক্ষতি করতে বোকা বানানো যেতে পারে।

আপনি সুনির্দিষ্ট প্রোগ্রামগুলি ব্যবহার করা বা অন্যথায় ক্ষতিকারক উপায়ে এমন আচরণ করা থেকে বিরত রাখতে সক্ষম হতে পারেন এবং যদি আপনি নির্দিষ্ট নিদর্শনগুলি দেখেন তবে রান্সমওয়্যার অনুসরণ করে তবে আপনি কিছু নির্দিষ্ট সাধারণ ক্ষেত্রে রোধ করতে সক্ষম হতে পারেন। ( AppArmor দেখুন ।) এটি কিছু মান প্রদান করতে পারে। তবে আপনি যে ব্যাপক সমাধান আশা করছেন তার কাছাকাছি কিছু দেয় না anything

প্রযুক্তিগত পদক্ষেপগুলি (যদি কোনও হয়) আপনি গ্রহণ না করেই থাকুন না কেন, আপনার সেরা বাজি ব্যবহারকারীদের শিক্ষিত করা। এর মধ্যে তাদের যে আদেশগুলি বোঝে না সেগুলি চালাবেন না এবং এমন পরিস্থিতিতে ডাউনলোড করা ফাইলগুলি ব্যবহার না করার কথা বলা অন্তর্ভুক্ত রয়েছে যেখানে তারা কেন এটি যুক্তিসঙ্গতভাবে নিরাপদ তা ব্যাখ্যা করতে সক্ষম হবে না। তবে এতে ব্যাকআপগুলি তৈরি করার মতো জিনিসও অন্তর্ভুক্ত রয়েছে, যাতে যদি কিছু ভুল হয়ে যায় (ম্যালওয়ারের কারণে বা অন্যথায়) তবে ক্ষতিটি যতটা সম্ভব সম্ভব হবে।

হ্যাঁ ^*

একে একটি সীমাবদ্ধ শেল বলে।

আপনি ব্যবহার করতে পারেন /bin/rbashযা উবুন্টুতে ইতিমধ্যে উপলব্ধ এবং এটি একটি সীমাবদ্ধ PATH ভেরিয়েবলের সাথে একত্রিত করতে পারেন । rbashকিছু নেই থেকে মৃত্যুদন্ড নিষিদ্ধ হবে $PATH।

একটি সীমাবদ্ধ ব্যবহারকারী যুক্ত করুন:

sudo adduser --shell /bin/rbash res-user

একটি নতুন ডিরেক্টরি তৈরি করুন, যেখানে আমরা বাইনারিগুলিতে লিঙ্ক করতে পারি, ব্যবহারকারী সীমাবদ্ধ থাকবে:

sudo mkdir /home/res-user/bin

.profileফাইলটি পরিবর্তন করুন:

sudo vim /home/res-user/.profile

if [ -n "$BASH_VERSION" ]; then
    # include .bashrc if it exists
    if [ -f "$HOME/.bashrc" ]; then
        . "$HOME/.bashrc"
    fi
fi

readonly PATH=/home/res-user/bin
export PATH

করুন .profile, bashrcএবং .bash_profileঅপরিবর্তনীয়:

sudo chattr +i /home/res-user/.profile
sudo chattr +i /home/res-user/.bashrc
sudo chattr +i /home/res-user/.bash_profile

এখন আমরা কেবলমাত্র ব্যবহারকারীকে তার অনুমতি দেওয়া হবে, অর্থাৎ ফায়ারফক্স খুলুন:

sudo ln -s /usr/lib/firefox/firefox /home/res-user/bin/

এখন, res-userআমরা যদি কেবল ফায়ারফক্স খুলতে পারি হিসাবে লগইন করি:

res-user@localhost:~$ /home/res-user/bin/firefox --version
Mozilla Firefox 68.0.1

আমরা আমাদের নিষিদ্ধ শেলটি সহজেই এড়াতে পারি না:

res-user@localhost:~$ export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin
-su: PATH: readonly variable

সীমাবদ্ধ ব্যবহারকারী ফাইলগুলিকে এক্সিকিউটেবল করতে পারে না, বা সেগুলি শুরু করতে পারে না:

res-user@localhost:~$ chmod +x script.sh 
Command 'chmod' is available in '/bin/chmod'
res-user@localhost:~$ bash script.sh 
Command 'bash' is available in '/bin/bash'
The command could not be located because '/bin' is not included in the PATH environment variable.
bash: command not found

সীমাবদ্ধ ব্যবহারকারীর ইন্টারনেট থেকে খারাপ স্ক্রিপ্টগুলি কার্যকর করতে পারে না, কারণ ব্যবহারকারী প্রয়োজনীয় কমান্ডগুলি সম্পাদন করতে পারে না:

res-user@localhost:~$ wget -qO- https://raw.githubusercontent.com/nvm-sh/nvm/v0.34.0/install.sh | bash
Command 'wget' is available in '/usr/bin/wget'
The command could not be located because '/usr/bin' is not included in the PATH environment variable.
wget: command not found
Command 'bash' is available in '/bin/bash'
The command could not be located because '/bin' is not included in the PATH environment variable.
bash: command not found

^* _{সীমাবদ্ধ শেলগুলি ভেঙে ফেলার উপায় রয়েছে , তবে যদি আপনার ব্যবহারকারী এটি সক্ষম হন তবে সেগুলি আপনার মতো মনে হয় না gu}