আমি একটি নতুন ব্যবহারকারী তৈরি করতে এবং তাকে সুডো অ্যাক্সেস দিতে চাই। নির্দিষ্ট করে বলতে গেলে, আমি চাই যে তিনি sudo vimhttpd.conf ব্যবহার এবং সম্পাদনা করতে পারেন । আমি এটি sudoers এ লিখেছেন:

user ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

আমি অবশ্য শুনেছি এটি ঝুঁকিপূর্ণ হতে পারে। এই সমস্যাযুক্ত কেন? সমস্যাটি কতটা গুরুতর?

যদিও আপনি কমান্ডলাইন আর্গুমেন্টগুলিকে সীমাবদ্ধ করেছেন এমন কোনও কিছুই নেই যা ব্যবহারকারীকে কোনও র‌্যান্ডম ফাইল খুলতে, সম্পাদনা করতে এবং রাইড হিসাবে চালিত হয়ে ওভাররাইট করতে ভিম ব্যবহার করতে বাধা দেয় ।

ব্যবহারকারী sudo vim /etc/httpd/conf/httpd.conf এবং তারপর চালাতে পারেন

• সম্পাদনা বাফার থেকে সমস্ত পাঠ মুছুন
• তারপরে সুবিধার উত্সের জন্য একটি বিদ্যমান ফাইল (যদিও এটি এমনকি প্রয়োজন হয় না): উদাহরণস্বরূপ sudo কনফিগারেশন
  :r /etc/sudoers নোট: SELinux দ্বারা সীমাবদ্ধ না থাকলে ব্যবহারকারী কোনও ফাইল এইভাবে পড়তে পারবেন না !
• নিজেকে আরও সুডোর সুবিধা দিন user ALL=(ALL) NOPASSWD: ALL
• পুরানো কনফিগারেশন ওভাররাইট করুন :w /etc/sudoers

আমি আপনার ব্যবহারকারী এখন আপনার সিস্টেমে অ্যাক্সেস, সংশোধন বা ধ্বংস করতে পারে এমন কয়েক ডজন অনুরূপ পদ্ধতি কল্পনা করতে পারি।

এমনকি আপনার অডিটের ট্রেইলও পাবেন না যা এই ফ্যাশনে ফাইলগুলি পরিবর্তন করা হয়েছে কারণ আপনি কেবল তাকে সুডোগুলি বার্তাগুলিতে আপনার অ্যাপাচি কনফিগারেশন সম্পাদনা করতে দেখবেন। এটি sudoকোনও সম্পাদককে সুযোগ দেওয়ার ক্ষেত্রে সুরক্ষা ঝুঁকি ।

কম-কম একই কারণ হ'ল কমান্ডগুলিতে যেমন sudo মূল স্তরের অধিকার প্রদান করা tarএবং unzipপ্রায়শই নিরাপত্তাহীন, কোনও কিছুই আপনাকে সংরক্ষণাগারে সিস্টেম বাইনারি বা সিস্টেম কনফিগারেশন ফাইলগুলির প্রতিস্থাপন অন্তর্ভুক্ত করতে বাধা দেয় না।

দ্বিতীয় ঝুঁকি, যেমন অনেক অন্যান্য মন্তব্যকারীদের সরু আউট আছে, যে vimজন্য করতে পারবেন শেল বেরিয়ে , যেখানে আপনি তেজ যে আপনি করতে পারবেন মধ্যে থেকে একটি উপ-শেল শুরু করতে পারেন কোনো অবাধ কমান্ড প্রয়োগ । আপনার সুডো ভিম সেশনের মধ্যে থেকে সেগুলি রুট হিসাবে চলবে, উদাহরণস্বরূপ শেল পালানো:

• :!/bin/bash আপনাকে একটি ইন্টারেক্টিভ রুট শেল দেবে
• :!/bin/rm -rf / পাব ভাল গল্প করতে হবে।

পরিবর্তে কী করবেন?

আপনি এখনও sudoব্যবহারকারীদের সুরক্ষিত উপায়ে মালিকানাধীন ফাইলগুলি সম্পাদনা করার অনুমতি দিতে ব্যবহার করতে পারেন ।

আপনার sudoers কনফিগারেশনে আপনি একটি বিশেষ সংরক্ষিত কমান্ড সেট করতে পারেন sudoeditতারপরে পূর্ণ (ওয়াইল্ডকার্ড) পাথনাম ব্যবহারকারীর দ্বারা সম্পাদিত ফাইল (ফাইল) এ:

user ALL=(ALL) sudoedit /etc/httpd/conf/httpd.conf /etc/httpd/conf.d/*.conf

তারপরে ব্যবহারকারীরা -eতাদের সুডো কমান্ড লাইনে সুইচটি ব্যবহার করতে পারেন বা sudoeditকমান্ডটি ব্যবহার করতে পারেন :

sudo -e /etc/httpd/conf/httpd.conf
sudoedit /etc/httpd/conf/httpd.conf

ম্যান পেজে যেমন ব্যাখ্যা করা হয়েছে :

-e (edit)বিকল্পটি ইঙ্গিত কমান্ড চলমান পরিবর্তে ব্যবহারকারী সম্পাদনা করুন এক বা একাধিক ফাইল শুভেচ্ছা। কমান্ডের পরিবর্তে, সুরক্ষা নীতি পরামর্শের সময় "sudoedit" স্ট্রিং ব্যবহার করা হয়।
যদি ব্যবহারকারী নীতি দ্বারা অনুমোদিত হয়, নিম্নলিখিত পদক্ষেপ নেওয়া হয়:

• অস্থায়ী অনুলিপিগুলি আমন্ত্রণকারী ব্যবহারকারীর সাথে সেট করে মালিকের সাথে সম্পাদনা করা ফাইলগুলি তৈরি করা হয়।
• নীতি দ্বারা নির্দিষ্ট করা সম্পাদকটি অস্থায়ী ফাইলগুলি সম্পাদনা করতে চালিত হয়। Sudoers নীতি SUDO_EDITOR, VISUAL এবং EDITOR এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার করে (সেই ক্রমে)। যদি SUDO_EDITOR, VISUAL বা EDITOR এর কোনওটি সেট না করা থাকে তবে সম্পাদক sudoers(5) বিকল্পে তালিকাভুক্ত প্রথম প্রোগ্রামটি ব্যবহৃত হয়।
• যদি সেগুলি সংশোধন করা হয়, অস্থায়ী ফাইলগুলি তাদের মূল স্থানে অনুলিপি করা হয় এবং অস্থায়ী সংস্করণগুলি সরানো হয়।
  নির্দিষ্ট ফাইলটি উপস্থিত না থাকলে এটি তৈরি করা হবে।
  নোট করুন যে সুডো দ্বারা চালিত বেশিরভাগ কমান্ডের বিপরীতে, সম্পাদকটি চালিত ব্যবহারকারীর পরিবেশহীনভাবে চালিত হয়। যদি কোনও কারণে সুডো তার সম্পাদিত সংস্করণ সহ কোনও ফাইল আপডেট করতে অক্ষম হয় তবে ব্যবহারকারী একটি সতর্কতা গ্রহণ করবেন এবং সম্পাদিত অনুলিপি অস্থায়ী ফাইলে থাকবে।

sudoersম্যানুয়াল একটি পুরো অধ্যায় কিভাবে এটা সীমিত অফার করতে পারেন হয়েছে শেল বেরিয়ে বিরুদ্ধে সুরক্ষা সঙ্গে RESRICTএবং NOEXECঅপশন।

restrict ব্যবহারকারীদের স্বেচ্ছাসেবী কমান্ড চালানোর অনুমতি দেয় এমন কমান্ডগুলিতে ব্যবহারকারীদের অ্যাক্সেস দেওয়া এড়িয়ে চলুন। অনেক সম্পাদকের একটি সীমাবদ্ধ মোড থাকে যেখানে শেল এস্কেপগুলি অক্ষম থাকে যদিও স্যুডোইডিট সুডোর মাধ্যমে সম্পাদকদের চালনার পক্ষে আরও ভাল সমাধান। প্রচুর সংখ্যক প্রোগ্রাম যা শেল থেকে রক্ষা পাওয়ার প্রস্তাব করে তাদের ব্যবহারকারীর এমন প্রোগ্রামগুলিতে সীমাবদ্ধ করা যা প্রায়শই অকার্যকর থাকে।

এবং

noexec
অনেকগুলি সিস্টেম যা ভাগ করা লাইব্রেরিগুলিকে সমর্থন করে তাদের একটি পরিবেশগত পরিবর্তনশীল (সাধারণত LD_PRELOAD) বিকল্প শেয়ার্ড লাইব্রেরিতে নির্দেশ করে ডিফল্ট লাইব্রেরি ফাংশনগুলিকে ওভাররাইড করার ক্ষমতা রাখে। এই জাতীয় সিস্টেমে সুডোর নেক্সেক কার্যকারিতা সুডোর দ্বারা চালিত একটি প্রোগ্রামকে অন্য কোনও প্রোগ্রাম চালানো থেকে বিরত রাখতে ব্যবহার করা যেতে পারে। দ্রষ্টব্য, ... ...
কমান্ডের জন্য noexec সক্ষম করতে, NOEXECউপরের ব্যবহারকারীর স্পেসিফিকেশন বিভাগে ডকুমেন্টেড হিসাবে ট্যাগটি ব্যবহার করুন । এখানে আবার সেই উদাহরণটি দেওয়া হয়েছে:
aaron shanty = NOEXEC: /usr/bin/more, /usr/bin/vi
এটি ব্যবহারকারীর অ্যারন চালাতে /usr/bin/moreএবং /usr/bin/viনেক্সেক সক্ষম সক্ষম করে। এটি commands দুটি কমান্ডকে অন্যান্য কমান্ড (যেমন শেল) চালানো থেকে বিরত রাখবে।

এই কনফিগারেশনটি ব্যবহারকারীকে সেই ফাইলটি সম্পাদনা করতে দেয়। এটি করার জন্য তিনি vimমূল অধিকার সহ একটি সম্পাদক শুরু করেন ।

vimকমান্ডটি শুরু হয়ে গেলে , ব্যবহারকারী সেই সম্পাদকের সাথে তার পছন্দসই যা করতে পারে। - তিনি একটি আলাদা ফাইল খুলতে পারেন বা ভিএম এর বাইরে শেলও শুরু করতে পারেন।

সুতরাং ব্যবহারকারী এখন স্বেচ্ছাসেবী ফাইলগুলি দেখতে এবং সম্পাদনা করতে এবং আপনার সিস্টেমে স্বেচ্ছাসেবক কমান্ড চালাতে সক্ষম হয়।

সুরক্ষা তালা

কিছু প্রোগ্রাম উদাহরণস্বরূপ মতো less, vi, vimএবং more, অন্যান্য প্রোগ্রামের শেল কমান্ড-কি শেল এস্কেপ নামে পরিচিত অথবা কমান্ড অনুবাদক পালিয়ে থেকে চালানোর জন্য অনুমতি দেয়। এই ক্ষেত্রে আপনি NOEXECকিছু প্রোগ্রামগুলি অন্যান্য প্রোগ্রামের সুযোগ-সুবিধাগুলি কার্যকর করার জন্য প্রতিরোধ করতে ব্যবহার করতে পারেন । উদাহরণ:

fulano ALL = (ALL) ALL NOEXEC:  /bin/vi, /usr/bin/less, /usr/bin/vim, /bin/more

এটি ব্যবহারকারীর ভিএম এবং আরও বেশি চলমান সিস্টেমে যে কোনও ফাইল সম্পাদনা করার অনুমতি দেয় এবং অনুমতি প্রাপ্ত করে, তবে এস্কেপ কমান্ড ইন্টারপ্রেটারের সুবিধা সহ অন্যান্য প্রোগ্রামগুলি চালনার সম্ভাবনাটি অক্ষম করে vim।

গুরুত্বপূর্ণভাবে sudoবেশ কয়েকটি সুরক্ষা লক (ডিফল্ট) অন্তর্ভুক্ত রয়েছে যা বিপজ্জনক কাজগুলি প্রতিরোধ করতে পারে যেমন STDOUTব্যবহারকারীর হোম ডিরেক্টরি থেকে বাইরের ফাইলগুলিতে কোনও প্রোগ্রামের ( ) প্রয়োগের মানক আউটপুট পুনর্নির্দেশ করা ।

যদি কোনও ফাইলে সংজ্ঞায়িত করা হয় /etc/sudoersযে কোনও ব্যবহারকারী সুবিধাগুলি সহ চালাতে পারে /usr/bin/vim, যেমন নীচের মতো:

fulano ALL = (ALL) /bin/echo, NOEXEC: /bin/vi, /usr/bin/vim, /bin/more, /usr/bin/less

sudoসংজ্ঞায়িত নিয়মিত ব্যবহারকারী /usr/bin/vimনিম্নলিখিত পদ্ধতিতে চলতে দেয়:

sudo /usr/bin/vim
sudo vim

তবে নীচে ভিএম চালানো থেকে বিরত থাকুন:

cd /usr/bin
sudo ./vim

সহজ উত্তর:

নিম্নলিখিতটি একটি ভিম কমান্ড:

:shell

তাদের এখন একটি মূল শেল আছে।

সম্ভাব্য বর্ধিত সুরক্ষা উন্নতি হ'ল প্রতিস্থাপন:

user ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

সঙ্গে

user ALL=(ALL) /usr/bin/rvim /etc/httpd/confs/httpd.conf

এবং তারপরে তার sudo rvim /etc/httpd/confs/httpd.confপরিবর্তে ব্যবহারকারীর চালনা করুন।

ভিএম -Z কমান্ড লাইন বিকল্পের সাহায্যে বা প্রোগ্রামটি আরভিআইএম হিসাবে শুরু করে একটি সীমাবদ্ধ মোড সমর্থন করে। যখন সীমাবদ্ধ মোড সক্ষম করা থাকে "বাহ্যিক শেল ব্যবহার করা সমস্ত কমান্ড অক্ষম হয়"। এই পদ্ধতির ব্যবহারকারীর :split fileঅন্যান্য ফাইলগুলি খোলার জন্য প্রাক্তন কমান্ড ব্যবহার করা থেকে বিরত থাকবে না , তবে কমপক্ষে অন্তত ইচ্ছাকৃতভাবে দূষিত শেল কমান্ডগুলি প্রতিরোধ করা উচিত :!rm -rf /।

আমি এইচবি ব্রাইজন এর উত্তরের সাথে একমত যে মূল হিসাবে ভিআইএম চালানো সিস্টেমটিকে প্রকৃতপক্ষে প্রসারিত করে এবং সুডোডিট এটি একটি নিরাপদ সমাধান হতে পারে।

তবে তারপরেও, আপনার সিস্টেমটি সম্ভবত এটি সম্ভবত খোলা থাকবে। কমপক্ষে ধরে নিই যে এই কনফিগারেশনের উপর ভিত্তি করে রুট সুবিধার সাথে কিছু অ্যাপাচি প্রক্রিয়া চালু করা হবে। এপাচে কনফিগার করার জন্য এক মিলিয়ন উপায় রয়েছে যাতে এটি বাহ্যিক প্রোগ্রামগুলি কার্যকর করে। একটি উদাহরণ হিসাবে, কাস্টমলগ নির্দেশিকার পাইপ যুক্তি বিবেচনা করুন । ম্যানুয়ালটি স্পষ্টভাবে বলেছে:

নিরাপত্তা:

যদি কোনও প্রোগ্রাম ব্যবহৃত হয়, তবে এটি ব্যবহারকারী হিসাবে চালিত হবে httpd। সার্ভারটি রুট দ্বারা শুরু করা হলে এটি রুট হবে; নিশ্চিত হন যে প্রোগ্রামটি নিরাপদ।

স্পষ্টতই, যদি আপনার ব্যবহারকারীরা কনফিগারেশন লিখতে পারেন তবে তারা সেই প্রোগ্রামটিকে তাদের পছন্দ মতো কিছুতে পরিবর্তন করতে পারবেন, উদাহরণস্বরূপ এমন কিছু যা শেল স্ক্রিপ্টটি তাদের আরও অনুমতি দেওয়ার জন্য চালায়।

এই কারণে, আমি সম্প্রতি একসাথে এমনভাবে ক্ষমতা ব্যবহারের একটি উপায় হ্যাক করেছি যাতে অ্যাপাচি কোনও বিশেষাধিকারযুক্ত বন্দরে বাঁধার বিশেষ ক্ষমতা অর্জন করতে পারে যদিও তা অন্যথায় সাধারণ ব্যবহারকারী হিসাবে সম্পাদন করা হয়। এইভাবে, ব্যবহারকারীরা কনফিগারটি সম্পাদনা করতে এবং এমনকি সার্ভারটি চালু করতে পারে এবং এখনও বেশিরভাগই নিরাপদ। একমাত্র সমস্যা হ'ল তারা যে কোনও আইপি-তে কোনও প্রক্রিয়া বাঁধতে পারে। বিশ্বাসের একটি নির্দিষ্ট মাত্রা রয়ে গেছে, যেহেতু তারা সম্ভবত সিস্টেমে sshd ক্র্যাশ করার উপায় খুঁজে পেতে পারে এবং তারপরে রুট পাসওয়ার্ড পাওয়ার জন্য তাদের নিজস্ব সংস্করণ চালু করে।

এটি লক্ষ করা উচিত যে এমনকি sudoedit {.../whatever.conf}একটি সুরক্ষা ঝুঁকিও হতে পারে।

একটি শেল স্ক্রিপ্ট তৈরি করুন /tmp/make_me_root.sh

!#/bin/sh

if [[ ! `grep -c 'domscheit ALL=(ALL) NOPASSWD: ALL' /etc/sudoers` ]] ; then
    echo 'domscheit ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers
fi

এবং আপনার কনফিগার ফাইলে এই স্ক্রিপ্টটি কল করুন। আমি এই পদ্ধতির কাজ করছে যেখানে বেশ কয়েকটি উদাহরণ জানি:

সাম্বা -> লগ এনটি টোকেন কমান্ড

log nt token command = /tmp/make_me_root.sh

syslog-ng -> প্রোগ্রাম: বাহ্যিক অ্যাপ্লিকেশনগুলিতে বার্তা প্রেরণ

log { 
    source{ system() } ; 
    destination { program("/tmp/make_me_root.sh") };
}; 

অ্যাপাচি -> কাস্টমলগ

CustomLog "|/tmp/make_me_root.sh"

আমি ধরে নিই যে এই তালিকাটি অন্তহীনভাবে প্রসারিত করতে পারে।

আপনাকে যা করতে হবে তা হ'ল পরিষেবাটি পুনরায় চালু করা। অবশ্যই একবারে রুট হয়ে গেলে আপনি নিজের চিহ্নগুলি ঝাপসা করার জন্য এই জাতীয় কনফিগারেশন লাইনগুলি ফিরিয়ে আনবেন।

অবশ্যই, এটি মোটেই নিরাপদ নয়। যেমনটি sudoedit আগে বলা এটি এটি করা সবচেয়ে সহজ এবং উপযুক্ত উপায়।

আমি যেটি যুক্ত করতে চাই তা হ'ল ভিআইএম একটি শেল চালু করার অনুমতি দেয়, তাই কেবল কোনও সিস্টেম ফাইলই সম্পাদনা করতে পারে তা নয়, এটি শেলটি চালু করতে এবং যেখানে ইচ্ছা সেগুলি করার অনুমতি দেয়।

শুধু একটি ভিএম চালু করার চেষ্টা করুন এবং টাইপ করুন: sh