অ-রুট ব্যবহারকারী অ্যাকাউন্টের অধীনে ডেমন চালানো কি ভাল অনুশীলন?

13

আমি একটি অ্যাপ্লিকেশন তৈরি করেছি যা আমার দুটি কম্পিউটারের সিঙ্ক করতে নেটওয়ার্ক সময় পরিবর্তন করতে এনটিপি ব্যবহার করে। এটি চলবে root, যেহেতু কেবলমাত্র লিনাক্সের সময় এবং তারিখটি পরিবর্তন করার অনুমতি দেওয়া হয়েছিল (আমার ধারণা)।

এখন, আমি এটি একটি ব্যবহারকারী হিসাবে চালাতে চাই। তবে, আমার সময়টি অ্যাক্সেস করা দরকার।

  • অ-রুট ব্যবহারকারী অ্যাকাউন্টের অধীনে ডেমন চালানো কি ভাল অনুশীলন?
  • আমি আমার অ্যাপ্লিকেশনটি একটি দেব সামর্থ্য যেমন CAP_SYS_TIME?
  • এটি সুরক্ষা দুর্বলতার পরিচয় দেয় না?
  • একটি ভাল উপায় আছে কি?
security  daemon  access-control 
Anonymous12223
সূত্র
সাধারণত এনটিপি ডিমন ntpব্যবহারকারী অ্যাকাউন্ট হিসাবে চালানোর কথা (কমপক্ষে লিনাক্স সিস্টেমে) তাই আপনার এই পরিবর্তনটি করার প্রয়োজন হবে না। আপনি কোন এনটিপি প্যাকেজ ইনস্টল করেছেন?
6
রুটবিহীন অ্যাকাউন্টের অধীনে ডেমন চালানো "ড্রপিং রুট সুবিধাগুলি" বলা হয় এবং এটি একটি সাধারণভাবে পরিচিত একটি অনুশীলন কারণ এটি ডেমনটিতে সুরক্ষিত দুর্বলতার সম্ভাব্য ক্ষতির সীমাবদ্ধ করে।
1
" প্রিভিলেজ বিচ্ছেদ " এর জন্য উইকিপিডিয়া দেখুন ।
কুসালানন্দ
আমি উত্স থেকে এনটিপি সংকলন করেছি। আমার কোনও এনটিপি গ্রুপ নেই
বেনামে
@ xhaltar আপনি এনটিপি গ্রুপ এবং ব্যবহারকারী তৈরি করতে পারেন। কীভাবে কোনও পরিষেবা শুরু হয় তা কনফিগার করতে (ব্যবহারকারী, গোষ্ঠী ইত্যাদি) আপনি সার্ভিস আরআইপি স্ক্রিপ্ট তৈরি / সম্পাদনা করতে পারেন, হয় সিস্টেমড ইউনিট তৈরি / কনফিগার করতে পারেন।
Pl4nk

উত্তর:

15

অ-রুট ব্যবহারকারী অ্যাকাউন্টের অধীনে ডেমন চালানো কি ভাল অনুশীলন?

হ্যাঁ, এবং এটি সাধারণ। উদাহরণস্বরূপ, অ্যাপাচি রুট হিসাবে শুরু হয় এবং তারপরে www- ডেটা (ডিফল্টরূপে) হিসাবে নতুন প্রক্রিয়া ফোর করে।
পূর্বে যেমন বলা হয়েছে, যদি আপনার প্রোগ্রামটি হ্যাক হয়ে থাকে (উদা: কোড ইনজেকশন), আক্রমণকারী কোনও রুট অ্যাক্সেস অর্জন করতে পারে না, তবে আপনি এই নির্দিষ্ট ব্যবহারকারীর কাছে যে সুযোগগুলি দিয়েছিলেন তা সীমাবদ্ধ থাকবে।

আমি কি "সামর্থ্য" যেমন "সিএপিএসওয়াইএসটাইম টাইম" দেব?

আপনি সেটুইড ব্যবহার এড়ানো এবং এই খুব সুনির্দিষ্ট সক্ষমতার জন্য অনুমতিগুলি সীমাবদ্ধ করার কারণে এটি একটি ভাল ধারণা ।

আমি কি এমন অন্য উপায় ব্যবহার করব যা "গুড অনুশীলন" হিসাবে বিবেচিত হবে?

আপনি সুরক্ষা বাড়াতে পারেন, উদাহরণস্বরূপ:

  • কোনও শেল ছাড়াই অপ্রয়োজনীয় ব্যবহারকারী হিসাবে পরিষেবাটি চালান।
  • ব্যবহারকারীকে এটির হোম ডিরেক্টরিতে লক করতে ক্রুট ব্যবহার করুন ।
Pl4nk
সূত্র
এনবি: আপনি যদি লিনাক্সে রুট এবং চলমান থাকেন তবে ক্রুট কোনও সুরক্ষা সরবরাহ করে না। রুট ব্যবহারকারী ক্রুটে একটি ডিরেক্টরি তৈরি করতে পারে, ক্রট এর মূল ডিরেক্টরিটি খুলতে পারে, নতুন ডিরেক্টরিতে ক্রুট করতে পারে, আবার সত্যিকারের রুট পর্যন্ত ফিরে যায়, এবং তারপরে আসল রুটে ক্রুট হয়। বিএসডি ডিরেক্টরি fd কে ক্রুটে নেওয়ার অনুমতি না দিয়ে এটি সমাধান করে।
কেভিন
@ কেভিন আপনি যদি মূলের হন তবে আপনি ক্রোটের বাইরে প্রসেসগুলিও আবিষ্কার করতে পারেন এবং এটির আরও অনেক উপায় রয়েছে। একটি নিছক chroot না শিকড় রাখতে পারবেন না।
গিলেজ 'SO- স্টপ হচ্ছে মন্দ'
//, emp.jar.st আসলে সুরক্ষার কারণে নিজের জন্য একটি ব্যবহারকারী তৈরি করে। খুব ভাল অনুশীলন।
নাথান বাসানিজ
অপেক্ষা করুন, আমি যদি ব্যবহারকারী, আমি কি একটি নির্দিষ্ট ডিরেক্টরিতে ব্যবহারকারীকে লক করতে পারি? যেমন "/ opt" (উদাহরণস্বরূপ)?
বেনামে
@ xhaltar USERডিরেক্টরিতে চালিত কোনও প্রক্রিয়া লক করতে আপনি ব্যবহার করেন chroot(এটি রুট ব্যবহারকারী হিসাবে চালান)। যাইহোক, আপনাকে অবশ্যই একটি জেল (ডিরেক্টরি) তৈরি করার আগে এবং শুরু করতে হবে । সংক্ষেপে, আপনার প্রক্রিয়াকরণের প্রয়োজনীয় গ্রন্থাগারগুলি এবং বাইনারিগুলি এই কারাগারে স্থাপন করতে হবে, তারপরে কল করুন chroot <path/to/jail> <command>। আপনার প্রয়োজনীয় কয়েকটি উদাহরণ সহ একটি ভাল টিউটোরিয়াল এখানে
Pl4nk
13
  • আমি কি এমন অন্য উপায় ব্যবহার করব যা "গুড অনুশীলন" হিসাবে বিবেচিত হবে?

অন্যথায় আপনার দৃ strong়, অকাট্য কারণগুলি না থাকলে আপনার জিএনইউ / লিনাক্স বিতরণে আসা এনটিপি প্যাকেজটি ব্যবহার করা উচিত। স্ট্যান্ডার্ড এনটিপি ডেমনটি পরিপক্ক হতে কয়েক বছর সময় নিয়েছে এবং আপনার সিস্টেমের ঘড়িটি কোনও নেটওয়ার্ক বা জিপিএস ঘড়ির সাথে সিঙ্ক করার জন্য ধীরগতি বা গতি বাড়ানোর মতো অত্যাধুনিক বৈশিষ্ট্য নিয়ে আসে। এটা তোলে ঘড়ি sync'ing তাই এটি সম্ভবত জন্য উপযোগী করা হয়েছে হয় যে উদ্দেশ্যে শ্রেষ্ঠ হাতিয়ার প্রায়।

ntpdএখনও রক্ষণাবেক্ষণ করা হয়, সাম্প্রতিক আপডেটগুলি বিচার করে (এই পোস্টটি লেখার ক্ষেত্রে)। আপনার যদি আরও বৈশিষ্ট্যের প্রয়োজন হয় তবে আমি পরামর্শ দিচ্ছি যে আপনি সরাসরি বিকাশকারীদের সাথে যোগাযোগ করেছেন, তাদের এ সম্পর্কে কী বলতে হবে তা বিশ্বাস করুন।

5

আপনার যদি এমন কোনও প্রোগ্রাম থাকে যা এক্স ফাংশন করতে সক্ষম হয় (উদাহরণস্বরূপ, ঘড়িটি সামলানো), এবং আপনি এটিকে এক্স ফাংশন করার অধিকার / ক্ষমতা দিতে পারেন এবং অন্য কিছু নয়, এটি বর্ণমালার সম্পূর্ণ ক্যান দেওয়ার চেয়ে ভাল that স্যুপ। এটি ন্যূনতম সুবিধার নীতি হিসাবে পরিচিত । আপনার প্রোগ্রামে কোনও ত্রুটি থাকলে - কোনও সাধারণ প্রোগ্রামিং ত্রুটি বা শোষণীয় সুরক্ষা দুর্বলতা বিবেচনা করুন। যদি এটি "রুট" হিসাবে চলতে থাকে তবে এটি প্রত্যেকের ফাইল মুছে ফেলতে পারে - বা আক্রমণকারীকে তাদের পাঠিয়ে দিতে পারে। যদি প্রোগ্রামটি কেবলমাত্র কাজটি করতে সক্ষম হয় তা হল ঘড়িটি (এবং অ-সুবিধাপূর্ণ ফাংশনগুলি যেমন লক-ডাউন ডিরেক্টরিতে ফাইলগুলি ম্যানিপুলেট করার মতো) পরিচালনা করা, তবে প্রোগ্রামটি দুর্বল হয়ে গেলে এমনটি সবচেয়ে খারাপ হতে পারে।

জি-ম্যান বলেছেন 'মনিকা পুনরায় ইনস্টল করুন'
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.