সুডো পাসওয়ার্ডটি অক্ষম করে আমি কোন নির্দিষ্ট দুর্বলতা তৈরি করছি?

16

আপনার পাসওয়ার্ডটি কীভাবে অক্ষম করবেন সে সম্পর্কে এখানে কিছু নির্দেশাবলী দেওয়া হয়েছে sudo। এগুলি নিম্নলিখিত সতর্কতা বহন করে

আপনি যদি sudoনিজের অ্যাকাউন্টের পাসওয়ার্ডটি অক্ষম করেন তবে আপনি আপনার কম্পিউটারের সুরক্ষার সাথে গুরুত্ব সহকারে আপস করবেন। আপনার অচলাতে, লগ ইন থাকা অ্যাকাউন্টে যে কেউ বসে আছে তার সম্পূর্ণ rootঅ্যাক্সেস থাকবে এবং দূরবর্তী শোষণগুলি দূষিত ক্র্যাকারদের জন্য অনেক সহজ হয়ে যায়।

লোকেরা আমার মেশিনে শারীরিক অ্যাক্সেস পাওয়ার বিষয়ে আমি উদ্বিগ্ন নই। আমি যদি এই সতর্কতাটি উপেক্ষা করে পাসওয়ার্ডটি অক্ষম করে রাখতাম তবে দূরবর্তী কী কী ব্যবহার সম্ভব বা সহজতর হবে?

ubuntu  security  sudo  password 
রুপার্ট ম্যাডেন-অ্যাবট
সূত্র

উত্তর:

23

আপনি যদি পাসওয়ার্ডহীন সুডোকে অনুমতি দেন তবে আপনার ব্যবহারকারী হিসাবে আপনার মেশিনে কোড চালানোর পক্ষে যে কেউ তুচ্ছভাবে কোডটিকে রুট হিসাবে চালাতে পারে। এটি এমন কেউ হতে পারে আপনি লগইন করার সময় আপনার কম্পিউটারের সামনে না থাকলেও আপনার কনসোল ব্যবহার করেন, যা সম্পর্কে আপনি উদ্বিগ্ন নন (যাইহোক, শারীরিক অ্যাক্সেস সহ কেউ যদি চান তবে তারা তা করতে পারেন)) এটি এমন কোনও ব্যক্তিও হতে পারে যিনি অন্য মেশিনে আপনার অ্যাকাউন্টটি অ্যাক্সেস করেন যেখানে আপনি নিজের মেশিনে ছাঁটাই করেছেন। তবে এটি এমন কেউও হতে পারে যে কোনও দূরবর্তী সুরক্ষা গর্ত শোষণ করে - উদাহরণস্বরূপ এমন একটি ওয়েবসাইট যা আপনার ব্রাউজারের উদাহরণগুলিতে কোড ইনজেক্ট করতে ব্রাউজার বাগটি ব্যবহার করে।

এটা কত বড় চুক্তি? বেশ কয়েকটি কারণে, তেমনটি নয়:

  • কোনও আক্রমণকারী যিনি দূরবর্তী গর্তটি পেয়েছেন সম্ভবত স্থানীয় রুট গর্তটিও খুঁজে পেতে পারেন।
  • বেশ কয়েকটি আক্রমণকারী রুট সুবিধার বিষয়ে চিন্তা করে না। তারা যা চায় তা হ'ল স্প্যাম প্রেরণ করা এবং অন্য মেশিনগুলিকে সংক্রামিত করা এবং তারা এটি আপনার ব্যবহারকারী হিসাবে করতে পারে।
  • আপনার অ্যাকাউন্টে অ্যাক্সেস থাকা কোনও আক্রমণকারী এমন একটি ট্রোজান ফেলে দিতে পারে যা আপনার কীস্ট্রোকগুলি (আপনার পাসওয়ার্ড সহ) ক্যাপচার করে বা সেই পিগব্যাকস যা আপনার নিজের কমান্ড কার্যকর করতে রুট অর্জনের জন্য পরবর্তী অর্থ ব্যবহার করে তার উপর ফেলে দিতে পারে।
  • আপনি যদি আপনার মেশিনে একমাত্র ব্যবহারকারী হন তবে আপনার ব্যবহারকারী হিসাবে অ্যাক্সেসযোগ্য নয় এমন সুরক্ষার জন্য খুব বেশি কিছু নেই।

অন্য দিকে:

  • আপনি যদি সুরক্ষা আপডেটের সাথে আপ টু ডেট থাকেন তবে আক্রমণকারী শোষণের জন্য কোনও স্থানীয় গর্ত নাও পেতে পারে।
  • একটি মূলবিহীন আক্রমণকারী তার ট্র্যাকগুলি খুব ভালভাবে মুছতে পারে না।
  • এখন এবং একটি পাসওয়ার্ড টাইপ করা খুব বেশি বোঝা নয়।
  • একটি পাসওয়ার্ড টাইপ করা আপনাকে মনে করিয়ে দেয় যে আপনি কিছু বিপজ্জনক করছেন (যেমন: ডেটা হারাতে পারে বা আপনার কম্পিউটারকে অকেজো করে তুলতে পারে)। (অ-রুট ব্যবহারকারী হিসাবে, একমাত্র আসল বিপদটি ভুল করে ডেটা মুছে ফেলা হয়, এবং আপনি যখন কিছু মুছছেন এবং অতিরিক্ত সতর্কতা অবলম্বন করা উচিত তখনই এটি সাধারণত স্পষ্ট))
গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র
9

আমি মনে করি যে sudo এর পাসওয়ার্ড আপনাকে কেবল দুটি জিনিস থেকে রক্ষা করতে পারে:

  1. আপনার নিজের সিস্টেমে দুর্ঘটনাজনিত ক্ষতি (উদাহরণস্বরূপ rm -rf, আগের তুলনায় বিভিন্ন ডিরেক্টরিতে শেল ইতিহাস থেকে আপেক্ষিক পথ নিয়ে কিছু চালানো , বা এই জাতীয় কিছু)
  2. চলমান (দূষিত) স্ক্রিপ্ট যা sudoআপনার সিস্টেমে আহ্বান জানাতে এবং আঘাত করার চেষ্টা করে (তবে আমি মনে করি না যে এই ধরণের দূষিত সফ্টওয়্যারটি খুব জনপ্রিয়)

আপনি যদি চান তবে আপনি NOPASSWDকেবলমাত্র নির্বাচিত কমান্ডগুলির জন্য বিকল্প ব্যবহার করতে পারেন যা আপনার সিস্টেমে ক্ষতিগ্রস্থ হবে না (সম্পাদকদের জন্য বা পরিষেবাগুলি পুনরায় চালু করার জন্য) এবং অন্যান্য কমান্ডের জন্য পাসওয়ার্ড রাখে।

PBM
সূত্র
-1 বিপজ্জনক পরামর্শের জন্য যে কোনও সম্পাদককে রুট হিসাবে চালানোর অনুমতি দেওয়া সিস্টেমকে ক্ষতি করতে পারে না। এই মুহুর্তে আপনি পাশাপাশি কিছু রুট হিসাবে চালাতে পারেন কারণ একটি সম্পাদক অধিবেশন যেকোনো উপায়ে নির্বিচার কোড প্রয়োগ করতে সক্ষম করে।
কালেব
2

এটি লক্ষণীয় যে কিছু সক্ষম সংস্থা আসলে পাসওয়ার্ডহীন সুডো পছন্দ করে যখন তাদের ব্যবহারকারীদের প্রচুর বিভিন্ন রিমোট হোস্টে লগ ইন করতে হবে - বিশেষত যদি এতে বিভিন্ন স্তরের সুরক্ষার হোস্ট অন্তর্ভুক্ত থাকে।

আপনার পাসওয়ার্ড প্রবেশের ক্ষেত্রে সমস্যাটি হ'ল আপনি নিয়মিতভাবে দূরবর্তী সিস্টেমগুলিতে আপনার পাসওয়ার্ড দিচ্ছেন। আমরা এসএসএইচ ব্যবহার করার অন্যতম কারণ হ'ল ধরণের সুরক্ষা গর্তটি ঠিক এড়ানো। এটি ট্রেড অফসের একটি প্রশ্ন: আপনি কোনও সেশন বা কী নিয়ে আপস করেছেন এমন আক্রমণকারী রুট অ্যাক্সেস অর্জন করতে সক্ষম হওয়ার সম্ভাবনা হ্রাস করার জন্য আপনি কোনও ব্যবহারকারীর পাসওয়ার্ড নিয়ে আপস হওয়ার সম্ভাবনা বাড়িয়ে দিচ্ছেন। বিশেষত, নিম্নলিখিত পরিস্থিতিটি কল্পনা করুন:

  • বড় সংস্থা
  • অনেক হোস্ট
  • হোস্টগুলির বিভিন্ন স্তরের সুরক্ষা রয়েছে
  • অ-রুট অ্যাক্সেস ইতিমধ্যে ক্ষতিকারক
  • ব্যবহারকারীর পাসওয়ার্ড অনেক কিছুই আনলক করে

আমি যে দৃশ্যের বর্ণনা দিয়েছি, ব্যবহারকারীর পাসওয়ার্ড সুরক্ষিত করে পাসওয়ার্ডহীন sudo আপনার সুরক্ষা বাড়িয়ে তুলতে পারে । এটি পাসওয়ার্ড-পুনরায় ব্যবহারের আক্রমণগুলির মতো যা ইন্টারনেটে প্রচলিত হয়ে গেছে, পাসওয়ার্ডগুলির আসল পুনরায় ব্যবহারের পরিবর্তে একীভূত প্রমাণীকরণ সিস্টেম থেকে দুর্বলতা থাকে।

আপনি যদি কোনও দৈত্য সংস্থায় না থাকেন তবে পাসওয়ার্ডযুক্ত সুডো সম্ভবত আপনার সুরক্ষা বাড়িয়ে তুলবে — তবে অগত্যা অমিত পরিমাণে নয়। আপনি যদি সিস্টেম সিকিউরিটিতে সত্যই পেশাদার না হন বা এটিতে কোনও মূল্যবান কিছুই নেই এমন একটি হোস্ট না থাকে তবে আমি আপনাকে এটি ছেড়ে দেওয়ার পরামর্শ দিই।

সারা জি
সূত্র
-1

আপনি যদি sshdইনস্টল না করে থাকেন তবে এটি বেশ নিরাপদ, যদি না আপনি নিজের কিছু ভাঙেন।

arlock
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.