/Etc/init.d- এ নন-রুটের মালিকানাধীন স্ক্রিপ্টগুলি কতটা সুরক্ষিত?


15

আমার একটি অ্যাপ্লিকেশন রয়েছে যা ডেমন হিসাবে চলে এবং /etc/init.d এ স্ক্রিপ্ট দ্বারা নিয়ন্ত্রিত হয়
কখনও কখনও আমাদের এই স্ক্রিপ্টগুলির শুরু / নিয়ন্ত্রণের কিছু পরামিতি পরিবর্তন করতে হবে এবং তারপরে ডেমন পুনরায় চালু করতে হবে। এই স্ক্রিপ্টগুলিতে কেবল রুট ব্যবহারকারীর জন্য লেখার অনুমতি রয়েছে, সুতরাং এই স্ক্রিপ্টগুলি সম্পাদনা করার সময় আমার রুট সুবিধাগুলি প্রয়োজন।

আমি যা ভাবছিলাম তা হ'ল আমি কোনও নন-রুট ব্যবহারকারীকে সেই স্ক্রিপ্টগুলির মালিক বানাই। এইভাবে কেবল রুট এবং একটি বিশেষ ব্যবহারকারী এই স্ক্রিপ্টগুলি সম্পাদনা করতে পারবেন।

কিছু নন-রুট মালিকানাধীন ফাইলগুলি /etc/init.d ডিরেক্টরিতে রাখা কি গ্রহণযোগ্য?
বা এটি অযৌক্তিক, সিস্টেমের প্রাকৃতিক শৃঙ্খলা বিঘ্নিত?


1
খারাপ ধারণা, না।
চককট্রিল

উত্তর:


17

অবিলম্বে যা মনে আসে তা হ'ল সুবিধাবঞ্চিত ব্যবহারকারী বুট-এ রুট হিসাবে জিনিস চালাতে সক্ষম হচ্ছেন , যা ক্র্যাকারদের পক্ষে কাম্য:

  • অন্যান্য অ্যাকাউন্টগুলির সুবিধাগুলি বাড়িয়ে তুলতে চান
  • দুর্বৃত্ত পরিষেবাটি হোস্ট করতে আপনার সার্ভারটি ব্যবহার করতে চান
  • সার্ভারটি পুনরায় চালু হলে আইআরসি / স্প্যাম বটগুলি শুরু করতে চান
  • "আমি আবার উপরে আছি" এবং সম্ভবত একটি নতুন পেডলোড ডাউনলোড করতে একটি মাদার শিপকে পিং করতে চান
  • তাদের ট্র্যাকগুলি পরিষ্কার করতে চান
  • ... অন্য খারাপ।

এটি সম্ভব যদি আপনার সুবিধাবঞ্চিত ব্যবহারকারী কোনওরকমভাবে আপস করা হয়, সম্ভবত অন্য কোনও পরিষেবাদির (HTTP / ইত্যাদি) মাধ্যমে। বেশিরভাগ আক্রমণকারী খুব শীঘ্রই সমস্ত কিছু চালাতে lsবা findচালিয়ে যাবেন /etcকেবল এটি দেখার জন্য যে এই ধরনের সম্ভাবনা রয়েছে কি না, তাদের ব্যবহার করা বিভিন্ন ভাষায় শাঁস রয়েছে যা এইটিকে সহজ করে তোলে।

আপনি সার্ভারে দূরবর্তী অবস্থান থেকে পরিচালনা করেন, তাহলে বেশিরভাগ SSH- র মাধ্যমে, একটি খুব ভাল সুযোগ যে আপনি এমনকি হবে দেখতে যদি না আপনি init স্ক্রিপ্ট পরিদর্শন, কারণ আপনি বুটে আউটপুট (যদিও না দেখতে, আপনি যে কিছু ব্যবহার করা উচিত হবে পরিচিত হ্যাশগুলির বিরুদ্ধে sc স্ক্রিপ্টগুলির হ্যাশগুলি পরীক্ষা করে দেখুন কিনা কিছু পরিবর্তন হয়েছে, বা সংস্করণ নিয়ন্ত্রণ সফ্টওয়্যার ইত্যাদি)

আপনি অবশ্যই এমনটি চান না, মূলটি অবশ্যই সেই init স্ক্রিপ্টের মালিক হওয়া দরকার। আপনি বিকাশকারী ব্যবহারকারীকে sudoers এর তালিকায় যোগ করতে পারেন যাতে এটি স্ক্রিপ্টটি আপডেট করার পক্ষে যথেষ্ট সুবিধাজনক তবে আমি আরডি.ডি- তে কোনও সুবিধাবঞ্চিত লেখার অ্যাক্সেস না করার পরামর্শ দেব


5
tl; dr : আপনি যদি এটি করেন তবে নন-রুট ব্যবহারকারী পরবর্তী বুটে রুটের মতোই ভাল। আপনি বন্ধকী হতে ভিক্ষা করছেন।
ওয়ারেন ইয়ং

9

টিম পোস্ট দ্বারা তৈরি খুব ভাল পয়েন্ট ছাড়াও, আমি এমন একটি সেটআপ যুক্ত করব যেখানে একাধিক লোককে কোনও সার্ভারের মাধ্যমে পরিবর্তনগুলি ঠেকাতে সক্ষম হতে হবে, আপনার কোনও ধরণের কনফিগারেশন ম্যানেজমেন্ট সিস্টেম ব্যবহার করা উচিত।

যদি আপনি উদাহরণস্বরূপ পুতুল, বা শেফ, বা সিফিনজিন ব্যবহার করেন, তবে আপনি প্রাসঙ্গিক ব্যবহারকারীদের স্থানীয়ভাবে ফাইলগুলি সম্পাদনা করতে পারেন এবং তারপরে কনফিগার ব্যবস্থাপনার সাহায্যে পরিবর্তনগুলি ঠেকাতে পারেন। ঠিক কীভাবে এটি সেট আপ করবেন তা অবশ্যই নির্ভর করবে আপনি কোন সিস্টেমটি ব্যবহার করছেন তার উপর নির্ভর করে, তবে সঠিকভাবে সেট আপ করার সাথে সংস্করণ সফ্টওয়্যার অন্তর্ভুক্ত থাকবে যখন এটি কোনও কনফিগার ফাইলের পূর্ববর্তী সংস্করণে ফিরে যেতে সহজতর হবে (দ্রষ্টব্য: কখন , যদি না তবে !) কারও ভুল হয়েছে। এটি আলাদা টেস্ট সিস্টেম ইত্যাদিতে কনফিগারেশন অনুলিপি করা আপনার পক্ষে আরও সহজ করে তুলবে etc.


কোনও সিস্টেমের সাথে আপোস করা যেতে পারে কিনা তা বিবেচনা না করেই আপনার স্ক্রিপ্টগুলি এমনকি আপনার কনফিগারেশন ডেটা ফাইলগুলিকে একটি কনফিগারেশন / সংস্করণ পরিচালন সিস্টেমে সংস্করণযুক্ত রাখা একটি দুর্দান্ত ধারণা।
চককট্রিল

প্রকৃতপক্ষে - আমি প্রায়শই কয়েকগুণ সম্পর্কে ভুল সংশোধন করার জন্য এটি ব্যবহার করেছি যে আমি এটি একটি আপোসযুক্ত সিস্টেমটি ঠিক করার জন্য ব্যবহার করেছি।
জেনি ডি

আপনাকে অনেক ধন্যবাদ . কারণ এখানে বেশিরভাগই একজন নিবেদিত ব্যবহারকারী এই অ্যাপ্লিকেশনটি ব্যবহার করে তাই সুডো যথেষ্ট কাজ করছে এবং এটি আমি দীর্ঘদিন থেকে করছিলাম। তবে কনফিগারদের জন্য আমি খুব আগ্রহী সংস্করণ পরিচালন সিস্টেম। প্রিয় জেনি আপনি আমাকে বা অন্য কোনও উদাহরণের জন্য কোনও পুনঃপ্রেরণ সরবরাহ করতে পারেন! :)।
আকক্স

1
আপনি যদি পুরো পুতুল / শেফ / সিফেনজিন ইত্যাদি পথে যেতে না চান তবে আমি ব্যক্তিগতভাবে www.perfor.com ব্যবহার করব। আমরা পুতুলের অস্তিত্বের আগে সময়ে ~ 100 সার্ভারের জন্য ব্যবহার করেছি এবং একটি সার্ভারের জন্য তাদের evভাল লাইসেন্সই যথেষ্ট। প্রধান সুবিধাটি হ'ল আপনি ভিসি'ড ফাইলগুলিকে একটি সাবপ্যাথের মধ্যে সীমাবদ্ধ না করে ফাইল সিস্টেমের যে কোনও জায়গায় চেকআউট করতে পারেন। অন্যান্য বিকল্পগুলি হ'ল joeyh.name/code/etckeeper , বা স্ক্রিপ্টগুলির সাথে মিলিত কোনও ভিসি ব্যবহার করে ফাইলগুলি সঠিক ডিরেক্টরিতে স্থানান্তরিত করতে।
জেনি ডি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.