/ Usr / sbin / nologin লগইন শেল হিসাবে একটি সুরক্ষার উদ্দেশ্যে কাজ করে?

আমার /etc/passwdফাইলে, আমি দেখতে পাচ্ছি যে www-dataঅ্যাপাচি দ্বারা ব্যবহৃত ব্যবহারকারী এবং তেমনি সমস্ত প্রকারের সিস্টেম ব্যবহারকারীদের হয় /usr/sbin/nologinবা /bin/falseতাদের লগইন শেল। উদাহরণস্বরূপ, এখানে লাইনগুলির একটি নির্বাচন রয়েছে:

daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
games:x:5:60:games:/usr/games:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
syslog:x:101:104::/home/syslog:/bin/false
whoopsie:x:109:116::/nonexistent:/bin/false
mark:x:1000:1000:mark,,,:/home/mark:/bin/bash

ফলস্বরূপ, আমি যদি এই ব্যবহারকারীদের কারও কাছে অদলবদল করার চেষ্টা করি (যা আমি মাঝে মাঝে তাদের অনুমতিগুলি সম্পর্কে আমার বোঝার জন্য যা করতে চাই এবং এটির জন্য সম্ভবত অন্তত অর্ধেক বুদ্ধিমান কারণও রয়েছে), আমি ব্যর্থ হই:

mark@lunchbox:~$ sudo su www-data
This account is currently not available.
mark@lunchbox:~$ sudo su syslog
mark@lunchbox:~$ 

অবশ্যই, এটি কোনও অসুবিধার খুব বেশি নয়, কারণ আমি এখনও এই জাতীয় পদ্ধতির মাধ্যমে তাদের জন্য একটি শেল চালু করতে পারি:

mark@lunchbox:~$ sudo -u www-data /bin/bash
www-data@lunchbox:~$ 

কিন্তু এটি কেবল এই ব্যবহারকারীদের লগইন শেলকে অস্বীকার করে কী উদ্দেশ্যে পরিবেশন করা হবে তা ভেবে আমাকে অবাক করে। একটি ব্যাখ্যার জন্য ইন্টারনেটের আশেপাশে খোঁজ নিচ্ছেন, অনেক লোক দাবি করেন যে এটির সুরক্ষার সাথে কিছু সম্পর্ক রয়েছে এবং প্রত্যেকে মনে হয় যে এই ব্যবহারকারীর লগইন শেলগুলি পরিবর্তন করা কোনওভাবেই খারাপ ধারণা হবে। এখানে উদ্ধৃতি সংগ্রহ:

অপাচি ব্যবহারকারীর শেলটি অ-ইন্টারেক্টিভ কিছুতে সেট করা সাধারণত ভাল সুরক্ষা অনুশীলন (সত্যিকার অর্থে যে সমস্ত পরিষেবা ব্যবহারকারীদের ইন্টারেক্টিভভাবে লগইন করতে হয় না তাদের শেল সেটটি অ-ইন্টারেক্টিভ কিছুতে সেট করা উচিত)।

- https://serverfault.com/a/559315/147556

ব্যবহারকারীর জন্য www- ডেটা শেলটি / usr / sbin / nologin এ সেট করা হয়েছে এবং এটি খুব ভাল কারণে সেট করা আছে ।

- https://askubuntu.com/a/486661/119754

[সিস্টেম অ্যাকাউন্টগুলি] সুরক্ষা গর্ত হতে পারে , বিশেষত যদি তাদের শেল সক্ষম থাকে:

• খারাপ

  bin:x:1:1:bin:/bin:/bin/sh

• ভাল

  bin:x:1:1:bin:/bin:/sbin/nologin

- https://unix.stackexchange.com/a/78996/29001

সুরক্ষার কারণে আমি টমক্যাট সার্ভারটি চালানোর জন্য কোনও লগইন শেল ছাড়াই একটি ব্যবহারকারী অ্যাকাউন্ট তৈরি করেছি:

# groupadd tomcat
# useradd -g tomcat -s /usr/sbin/nologin -m -d /home/tomcat tomcat

- http://www.puschitz.com/InstallingTomcat.html

যদিও এই পোস্টগুলি সর্বসম্মতভাবে চুক্তিতে রয়েছে যে সিস্টেম ব্যবহারকারীদের বাস্তব লগইন শেল না দেওয়া সুরক্ষার পক্ষে ভাল, তাদের মধ্যে একটিও এই দাবিটিকে ন্যায়সঙ্গত করে না এবং আমি এর কোথাও এর ব্যাখ্যা খুঁজে পাই না।

এই ব্যবহারকারীদের বাস্তব লগইন শেল না দিয়ে আমরা কী আক্রমণ থেকে নিজেকে রক্ষা করার চেষ্টা করছি?

nologinম্যান পৃষ্ঠাটিতে একবার নজর রাখলে আপনি নীচের বর্ণনাটি দেখতে পাবেন।

উদ্ধৃতাংশ

নোলজিন একটি বার্তা প্রদর্শন করে যে কোনও অ্যাকাউন্ট উপলব্ধ নেই এবং শূন্য-বহির্গমন থেকে প্রস্থান করে। এটি কোনও অ্যাকাউন্টে লগইন অ্যাক্সেস অস্বীকার করার জন্য প্রতিস্থাপন শেল ফিল্ড হিসাবে তৈরি।

যদি ফাইলটি /etc/nologin.txtবিদ্যমান থাকে তবে nologinএর সামগ্রীগুলি ডিফল্ট বার্তার পরিবর্তে ব্যবহারকারীর কাছে প্রদর্শন করে।

ফিরে আসা প্রস্থান কোডটি nologinসর্বদা 1 হয়।

সুতরাং এর আসল উদ্দেশ্যটি nologinকেবলমাত্র তাই যখন কোনও ব্যবহারকারী কোনও অ্যাকাউন্টে এটির ব্যবহার করে এমন লগইন করার চেষ্টা করে /etc/passwdযাতে তারা কোনও ব্যবহারকারী বান্ধব বার্তা উপস্থাপিত হয় এবং যে কোনও স্ক্রিপ্ট / কমান্ড ব্যবহার করার চেষ্টা করে এই লগইন 1 এর প্রস্থান কোড পাবেন।

নিরাপত্তা

সুরক্ষার প্রতি শ্রদ্ধার সাথে আপনি সাধারণত সেই ক্ষেত্রের অন্যান্য জিনিসের মধ্যে /sbin/nologinকখনও কখনও বা কখনও কখনও দেখতে পাবেন /bin/false। তারা উভয়ই একই উদ্দেশ্যে পরিবেশন করে তবে /sbin/nologinসম্ভবত এটি পছন্দসই পদ্ধতি। যে কোনও ক্ষেত্রে তারা এই নির্দিষ্ট ব্যবহারকারীর অ্যাকাউন্ট হিসাবে কোনও শেলের সরাসরি অ্যাক্সেসকে সীমাবদ্ধ করছে।

সুরক্ষার ক্ষেত্রে কেন এটিকে মূল্যবান বলে বিবেচনা করা হয়?

"কেন" সম্পূর্ণরূপে বর্ণনা করা শক্ত, তবে এই পদ্ধতিতে ব্যবহারকারীর অ্যাকাউন্ট সীমাবদ্ধ করার মান হ'ল loginআপনি যখন ব্যবহারকারী অ্যাকাউন্ট ব্যবহার করে অ্যাক্সেস অর্জন করার চেষ্টা করবেন তখন অ্যাপ্লিকেশনটির মাধ্যমে সরাসরি অ্যাক্সেসকে ব্যর্থ করে দেয় ।

হয় nologinবা /bin/falseএটি ব্যবহার করে । আপনার সিস্টেমের আক্রমণ পৃষ্ঠকে সীমাবদ্ধ করা সুরক্ষা বিশ্বে একটি সাধারণ কৌশল, নির্দিষ্ট বন্দরগুলিতে পরিষেবাগুলি অক্ষম করা, বা কারও সিস্টেমে লগইনগুলির প্রকৃতি সীমাবদ্ধ করা হোক না কেন।

এখনও ব্যবহারের জন্য অন্যান্য যৌক্তিকতা আছে nologin। উদাহরণস্বরূপ, scpএই সার্ভারফল্ট প্রশ্নোত্তর শিরোনামে বর্ণিত যেমন কোনও আসল শেলকে মনোনীত করে না এমন কোনও অ্যাকাউন্টের সাথে আর কাজ করবে না: / এসবিন / নোলোগিন এবং / বিন / মিথ্যাটির মধ্যে পার্থক্য কী? ।

অবশ্যই এটি একটি সুরক্ষা উদ্দেশ্যে কাজ করে। উদাহরণস্বরূপ, শেল থাকা সিস্টেম ব্যবহারকারীর জন্য দায়ের করা নীচের বাগটি দেখুন ।

বৈধ লগইন শেল এবং ইন্টারনেট অ্যাক্সেসের জন্য সাম্বা খোলার কারণে ডেমন অ্যাকাউন্টের কারণে আমার ডেবিয়ান সার্ভার আপোস হয়েছিল। ডেমন অ্যাকাউন্টের জন্য সাম্বার মাধ্যমে দূরবর্তী পাসওয়ার্ড সেট করে এবং এসএসএসের মাধ্যমে লগ ইন করে ব্রেকটি করা হয়েছিল। কিছু স্থানীয় রুট শোষণ তখন আমার সার্ভার OWN ব্যবহার করা হয়েছিল।

আমি আপনাকে গিলসের এই দুর্দান্ত উত্তরটি পড়ার পরামর্শ দিচ্ছি যেখানে তিনি কিছু বাগের লিঙ্কও সরবরাহ করেছেন।

এই ইস্যুতে ডেবিয়ানে (274229, 330882, 581899) ফাইলগুলি রয়েছে যা বর্তমানে খোলা এবং "ইচ্ছা তালিকা" হিসাবে শ্রেণিবদ্ধ রয়েছে classified আমি একমত হতে চাই যে এগুলি বাগ এবং সিস্টেম ব্যবহারকারীদের শেল হিসাবে / বিন / মিথ্যা হওয়া উচিত যদি না অন্যথায় এটি করার প্রয়োজন দেখা দেয়।

@ এসএলএম এবং @ রামেশের দুর্দান্ত উত্তরগুলিতে যুক্ত করতে:

হ্যাঁ, আপনি যেমনটি বলেছেন, আপনি এখনও শিরোনামের sudoসাথে সংজ্ঞায়িতভাবে নোলোগিন ব্যবহারকারীদের ডিফল্ট শেল হিসাবে স্যুইচ করতে পারেন , তবে এই ক্ষেত্রে আপনাকে এগুলি করতে হবে:

1. বৈধ শেল রয়েছে এমন অন্য ব্যবহারকারী হিসাবে লগ ইন করুন
2. suকমান্ডটি চালানোর জন্য সেই ব্যবহারকারীর জন্য sudo অনুমতি কনফিগার করা আছে এবং
3. আপনার su প্রচেষ্টা sudoers লগ এ লগ ইন করা হয়েছে (অবশ্যই যে sudo লগিং সক্ষম আছে অনুমান)।

যে ব্যবহারকারীরা নোলোগিনকে তাদের ডিফল্ট শেল হিসাবে সংজ্ঞায়িত করেছেন তাদের প্রায়শই নিয়মিত ব্যবহারকারীর তুলনায় উচ্চতর সুবিধাগুলি থাকে / তারা সিস্টেমের আরও ক্ষতি করতে সক্ষম হন, সুতরাং আপনার সিস্টেমের লঙ্ঘনের ফলে যে ক্ষতি হতে পারে তা সীমাবদ্ধ করার জন্য তারা সরাসরি লগ ইন করতে না পেরে ।

দেওয়া হয়েছে দুর্দান্ত উত্তর ছাড়াও, এটি অন্য উদ্দেশ্য পরিবেশন করে।

আপনি যদি আপনার সার্ভারে এফটিপি ডেমন চালান, এটি লগইন করার চেষ্টা করে এমন ব্যবহারকারীদের লগইন শেলটি পরীক্ষা করে। শেলটি যদি তালিকাভুক্ত না /etc/shellsথাকে তবে এটি তাদের লগইন করতে দেয় না। সুতরাং ডেমন অ্যাকাউন্টগুলিকে একটি বিশেষ শেল দেওয়ার কারণে কেউ এফটিপি-র মাধ্যমে অ্যাকাউন্টটি পরিবর্তন করতে বাধা দেয়।

ইতিমধ্যে প্রদত্ত দুর্দান্ত উত্তরের পাশে, আমি নিম্নলিখিত দৃশ্যের কথা ভাবতে পারি।

একটি সীমাবদ্ধ ব্যবহারকারী হিসাবে চলমান একটি পরিষেবাদিতে একটি সুরক্ষা বাগ সেই ব্যবহারকারী হিসাবে কোনও ফাইল লেখার অনুমতি দেয়। এই ফাইলটি ~ / .ssh / অনুমোদিত_কিগুলি হতে পারে।

এটি আক্রমণকারীকে সরাসরি একটি শেলটিতে লগইন করতে দেয় যা কোনও সুবিধাদির পরিমাণ বাড়ানো সহজ করে তোলে।

লগইন শেলকে অস্বীকার করা এই বিকল্পটিকে আরও অনেক কঠিন করে তুলবে।

সাধারণত আমি বলব / বিন / মিথ্যা এবং / এসবিন / নোলগিন একই - তবে আমি মনে করি এটি নির্ভর করে আপনি কোন এসএসএইচ সার্ভারটি ব্যবহার করছেন।

ওপেনএসএসএইচে এই সাম্প্রতিক শোষণটি / বিন / মিথ্যা লগইনগুলিকে প্রভাবিত করে তবে নয় / এসবিন / নোলজিনকে প্রদর্শিত হবে বলে বুদ্ধিমানের কাজ হবে। তবে এতে বলা হয়েছে যে ড্রপবিয়ার এই পদ্ধতিতে আলাদা (এছাড়াও শোষণটি বিশেষত ওপেনএসএসএইচে প্রযোজ্য)।

শোষণ বেশিরভাগ সংস্করণকে প্রভাবিত করে:

11.২ পি ১ এবং নিম্ন (সমস্ত সংস্করণ; ২০ বছর পূর্বে ডেট করা) এক্স 11 ফরওয়ার্ডিং সক্ষম হয়েছে

https://www.exploit-db.com/exploits/39569/

সুতরাং এর উপর ভিত্তি করে - আমি ব্যক্তিগতভাবে / sbin / nologin করতাম তবে আমি নিশ্চিত নই যে এটি পরিষেবাগুলিতে প্রভাব ফেলতে পারে যা / বিন / ভুয়া প্রবেশ / / etc / passwd তে তৈরি করে। আপনি নিজের ফলাফল পরীক্ষা ও দেখতে পারেন, তবে দয়া করে নিজের ঝুঁকিতে এটি করুন! আমি মনে করি সবচেয়ে খারাপ ক্ষেত্রে আপনি কেবল এটি পরিবর্তন করতে পারেন এবং কোনও প্রভাবিত পরিষেবা (গুলি) পুনরায় চালু করতে পারেন। আমার কাছে ব্যক্তিগতভাবে / বিন / মিথ্যা ব্যবহারের জন্য বেশ কয়েকটি প্রবেশ রয়েছে - এটি নিশ্চিত নয় যে X11 ফরোয়ার্ডিং আমি সক্ষম হওয়া কিছু নয় বলে আমি এটির সাথে বিরক্ত করতে চাই কিনা;)

আপনি যদি ওপেনএসএইচ ব্যবহার করেন (অনেক লোকেরা আমার কাছে মনে হয় ...) এবং এক্স 11 ফরোয়ার্ডিং সক্ষম করে রেখেছেন - আপনি / এসবিন / নোলগিন বিবেচনা করতে (বা সম্ভবত ড্রপবারে স্যুইচ করতে পারেন) ইচ্ছুক হতে পারেন।

অ ইন্টারেক্টিভ লগইনে পরিষেবা এবং অ্যাপ্লিকেশন অ্যাকাউন্টগুলি সেট করা সাধারণত ভাল সুরক্ষা অনুশীলন। কোনও অনুমোদিত ব্যবহারকারীর এখনও এসইউ বা এসইউডিও ব্যবহার করে সেই অ্যাকাউন্টগুলিতে অ্যাক্সেস থাকতে পারে তবে তাদের সমস্ত ক্রিয়াকলাপ সুডোর লগ ফাইলগুলিতে ট্র্যাক করা হয় এবং পরিষেবা অ্যাকাউন্ট সুবিধাগুলির অধীনে কমান্ড কার্যকর করা ব্যবহারকারীর কাছে ফিরে পাওয়া যায়। এই কারণেই কেন্দ্রীভূত লগ ম্যানেজমেন্ট সিস্টেমে লগ ফাইলগুলি সংরক্ষণ করা জরুরী যাতে সিস্টেম প্রশাসকদের যাতে লগ ফাইলগুলি পরিবর্তন করতে না পারে। SU বা SUDO এর অধীন কমান্ড কার্যকরকারী ব্যবহারকারী ইতিমধ্যে সিস্টেমে অ্যাক্সেসের জন্য অনুমোদিত।

অন্যদিকে সিস্টেমে কোনও বাহ্যিক বা অননুমোদিত ব্যবহারকারীর সেই অ্যাকাউন্টগুলি ব্যবহার করে লগইন করার সম্পূর্ণ অ্যাক্সেস থাকবে না এবং এটি একটি সুরক্ষা ব্যবস্থা।

হ্যাঁ, এটি একটি সুরক্ষা উদ্দেশ্যে কাজ করে। এটি একটি প্রতিরক্ষা-গভীরতা পরিমাপ।

এটি মূল উদ্দেশ্যটির মূল কারণটি হ'ল এখানে বিভিন্ন বিটস রয়েছে যা নির্দিষ্ট ব্যবহারকারীর জন্য কিছু প্রকারের লগইন শংসাপত্রগুলি বৈধতা দেয় এবং তারপরে কোনও কমান্ড চালানোর জন্য সেই ব্যবহারকারীর লগইন শেল ব্যবহার করে। সম্ভবত সবচেয়ে উল্লেখযোগ্য উদাহরণ এসএসএইচ। আপনি যদি সফলভাবে এসএসএইচ-র মাধ্যমে ব্যবহারকারী হিসাবে প্রমাণীকরণ করেন তবে এসএসএইচ ব্যবহারকারীর লগইন শেলটি চালু করে (অথবা আপনি যদি ssh someuser@example.com 'command to run'বাক্য গঠন ব্যবহার করেন তবে আপনি যে কমান্ড সরবরাহ করেছেন তা চালানোর জন্য এটি ব্যবহার করে )।

অবশ্যই, আদর্শভাবে একজন আক্রমণকারী কোনওভাবেই ব্যবহারকারী হিসাবে প্রমাণীকরণ করতে সক্ষম হবে না। তবে ধরুন নিম্নলিখিত পরিস্থিতি ঘটে:

• আপনার দ্বারা নিয়ন্ত্রিত একটি সার্ভার একটি হোম ডিরেক্টরি এবং একটি লগইন শেল ব্যবহারকারী হিসাবে একটি ওয়েব পরিষেবা চালাচ্ছে
• একজন আক্রমণকারী সেই পরিষেবাটিতে একটি দুর্বলতা আবিষ্কার করে যা আক্রমণকারীর ব্যবহারকারীর হোম ডিরেক্টরিতে ফাইল লিখতে দেয়

এখন আপনার আক্রমণকারী একটি এসএসএইচ পাবলিক কী লিখতে পারেন ~/.ssh/authorized_keys, তারপরে এসএসএইচ ইন এবং - বুম! - তারা আপনার সার্ভারে শেল অ্যাক্সেস পেয়েছে।

পরিবর্তে যদি ব্যবহারকারীদের /usr/sbin/nologinতাদের লগইন শেল হিসাবে থাকে, তবে আক্রমণকারী সফলভাবে জনসাধারণের কীটি লিখে দেওয়ার পরেও এটি authorized_keysতাদের পক্ষে কার্যকর নয়। এটি তাদের যা করতে দেয় তা দূরবর্তীভাবে চালিত হয় nologinযা খুব কার্যকর নয়। তারা শেল পেতে পারে না, এবং তাদের আক্রমণ প্রশমিত করা হয়েছে।

যদি এই দৃশ্যটি খুব অনুমানীয় বলে মনে হয়, তবে আমি এই বিষয়টি জানতে চাই যে আমি এই প্রশ্নটি জিজ্ঞাসা করার এক বছর পরে, ২০১৫ সালের কোনও এক সময় এই আক্রমণটি দ্বারা স্পষ্টভাবে লক্ষ্যবস্তু হয়েছিলাম note একটি বিধ্বংসী মূর্খের মতো, আমি রেডিসের উদাহরণটি রেখেছি যা পৃথিবীর জন্য কোনও পাসওয়ার্ড খোলা নেই। এটি রেডিস ক্র্যাকিট আক্রমণ দ্বারা টার্গেট পেয়েছে , এতে আক্রমণকারী আপনার রেডিস ডাটাবেসে একটি এসএসএইচ পাবলিক কী সন্নিবেশ করায়, তারপরে একটি কমান্ড প্রেরণ করে রেডিসকে ডাটাবেসের বিষয়বস্তু লিখতে বলে, তারপরে এসএসএইচে .ssh/authorized_keysচেষ্টা করে I আমি পরিণতি থেকে রক্ষা পেয়েছি was আমার নিজের অক্ষমতার বিষয়টি কেবল redis-serverএপটি প্যাকেজের রক্ষণাবেক্ষণকারীদের (যা আমি রেডিস ইনস্টল করতে ব্যবহার করতাম) এটিকে রেডিস হিসাবে চালিত করার বুদ্ধি ছিলredisব্যবহারকারী যার কোনও হোম ডিরেক্টরি বা লগইন শেল নেই; এটি তাদের জন্য না থাকলে আমার সার্ভার সম্ভবত মুক্তিপণ বা কিছু হ্যাকারের বোটনেটের অংশটি শেষ করে দেওয়া হত।

এই অভিজ্ঞতাটি আমাকে কিছুটা নম্রতা দিয়েছে এবং গভীরভাবে ডিফেন্সের গুরুত্ব এবং বিশেষত, ওয়েবসার্স, ডাটাবেস এবং অন্যান্য পটভূমি পরিষেবাদি পরিচালিত অ্যাকাউন্টগুলিতে লগইন শেল না দেওয়ার বিষয়ে আমাকে প্রশংসা করেছে ।