কেন বিশ্ব নির্বাহযোগ্য?

আমার একটি মাথাবিহীন সার্ভার রয়েছে যা একাধিক ব্যবহারকারীর দ্বারা দূরবর্তীভাবে লগ ইন করা হয়। অন্য ব্যবহারকারীদের কেউই sudoers ফাইলে নেই, সুতরাং তারা এর মাধ্যমে রুট পেতে পারে না sudo। তবে, অনুমতি যেহেতু উপর suহয় -rwsr-xr-xতাদের পাশব বল রুট পাসওয়ার্ড প্রয়াস থেকে বাঁধন কিছু নেই।

কেউ তর্ক করতে পারে যে কোনও ব্যবহারকারী যদি রুট পাসওয়ার্ড জানেন তবে তারা যে কোনও উপায়ে সিস্টেমে আপস করতে পারেন, তবে আমি মনে করি এটি কেস নয়। ওপেনএসএইচ PermitRootLogin noএবং এর সাথে কনফিগার করা হয়েছে এবং PasswordAuthentication noঅন্যান্য ব্যবহারকারীর কারওরই সার্ভারে শারীরিক অ্যাক্সেস নেই। যতদূর আমি বলতে পারি যে, বিশ্বকাপের অনুমতি কার্যকর করার /usr/bin/suজন্য ব্যবহারকারীরা আমার সার্ভারে রুট অর্জনের চেষ্টা করছেন তাদের একমাত্র উপায়।

আমার কাছে আরও কী বিস্মিত হচ্ছে যে এটি এমনকি দরকারী বলে মনে হচ্ছে না। এটি আমাকে না করে suসরাসরি চালানোর অনুমতি দেয় sudo suতবে এটি কোনও অসুবিধা নয় is

আমি কি কিছু উপেক্ষা করছি? বিশ্বব্যাপী suhistoricতিহাসিক কারণে ঠিক সেখানে অনুমতি কার্যকর করা হচ্ছে ? সেই অনুমতি অপসারণের কি কোনও ডাউনসাইড রয়েছে যা আমি এখনও মুখোমুখি হই নি?

ইলকচাচের উত্তর থেকে একটি পয়েন্ট যা অনুপস্থিত তা হ'ল মূলকে উন্নত করা কেবলমাত্র একটি নির্দিষ্ট ব্যবহার su। Su এর সাধারণ উদ্দেশ্য হ'ল অন্য ব্যবহারকারীর লগইন অ্যাকাউন্টের অধীনে একটি নতুন শেল খোলা। যে অন্যান্য ব্যবহারকারী হতে পারে root(এবং সম্ভবত বেশিরভাগ ক্ষেত্রেই), তবে স্থানীয় সিস্টেম প্রমাণ করতে suপারে এমন কোনও পরিচয় ধরে নিতে ব্যবহার করা যেতে পারে ।

উদাহরণস্বরূপ, যদি আমি ব্যবহারকারীরূপে লগ ইন jimকরেছি এবং আমি যে সমস্যাটির mikeপ্রতিবেদন করেছে তবে আমি যা তদন্ত করতে চাইছি তবে আমি যা পুনরুত্পাদন করতে পারছি না, আমি লগ ইন করার চেষ্টা করতে পারি mikeএবং যে কমান্ডটি তাকে সমস্যা দিচ্ছে তা চালিয়ে যেতে পারি ।

13:27:20 /home/jim> su -l mike
Password:(I type mike's password (or have him type it) and press Enter)
13:27:22 /home/mike> id
uid=1004(mike) gid=1004(mike) groups=1004(mike)
13:27:25 /home/mike> exit  # this leaves mike's login shell and returns to jim's
13:27:29 /home/jim> id
uid=1001(jim) gid=1001(jim) groups=1001(jim),0(wheel),5(operator),14(ftp),920(vboxusers)

এটি সম্পূর্ণ লগইন ( পৃষ্ঠা প্রতি ) অনুকরণ করার কারণগুলির -lবিকল্পটি ব্যবহার করে ।suman

উপরেরগুলির mikeঅবশ্য পাসওয়ার্ডের জ্ঞান প্রয়োজন । যদি আমার sudoঅ্যাক্সেস থাকে তবে আমি mikeতার পাসওয়ার্ড ছাড়াও লগ ইন করতে পারি ।

13:27:37 /home/jim> sudo su -l mike
Password:(I type my own password, because this is sudo asking)
13:27:41 /home/mike>

সংক্ষেপে, suএক্সিকিউটেবলের জন্য অনুমতিগুলি আপনার দেখানোর মতো কারণগুলি হ'ল কারণ suএটি একটি সাধারণ-উদ্দেশ্যে সরঞ্জাম যা সিস্টেমে সমস্ত ব্যবহারকারীর জন্য উপলব্ধ।

Icallyতিহাসিকভাবে (নন-জিএনইউ সংযোগগুলিতে), এটি ছিল না, বা আপনি যদি "চাকা" নামক কোনও গ্রুপের মধ্যে অনুমতিপ্রাপ্ত হন তবে এটি ম্যানুয়ালি পরীক্ষা করে দেখা হয়েছিল su। সেই suসময়ে অ্যাক্সেস নিয়ন্ত্রণ সম্পর্কে আরএমএসের মতাদর্শের কারণেই জিএনইউ সংস্করণটি এই কার্যকারিতাটি পুনরুত্পাদন করেছিল না:

Why GNU `su' does not support the `wheel' group
===============================================

   (This section is by Richard Stallman.)

   Sometimes a few of the users try to hold total power over all the
rest.  For example, in 1984, a few users at the MIT AI lab decided to
seize power by changing the operator password on the Twenex system and
keeping it secret from everyone else.  (I was able to thwart this coup
and give power back to the users by patching the kernel, but I wouldn't
know how to do that in Unix.)

   However, occasionally the rulers do tell someone.  Under the usual
`su' mechanism, once someone learns the root password who sympathizes
with the ordinary users, he or she can tell the rest.  The "wheel
group" feature would make this impossible, and thus cement the power of
the rulers.

   I'm on the side of the masses, not that of the rulers.  If you are
used to supporting the bosses and sysadmins in whatever they do, you
might find this idea strange at first.

গুগলিং "হুইল গ্রুপ আরএমএস" বা অনুরূপ দ্বারা আপনি আরও অনেক কিছু আবিষ্কার করতে পারেন।

তবে, অনুমতি যেহেতু উপর suহয় -rwsr-xr-xতাদের পাশব বল রুট পাসওয়ার্ড প্রয়াস থেকে বাঁধন কিছু নেই।

হ্যাঁ. আপনার সাধারণ লিনাক্স সিস্টেমটিকে ধরে নিয়ে, pam_unix.soমডিউলটি ব্যর্থ প্রমাণীকরণের প্রয়াসকে ~ দুই সেকেন্ড দেরি করে, তবে আমি মনে করি না যুগপত প্রচেষ্টা বন্ধ করার মতো কিছু আছে।

ব্যর্থ প্রচেষ্টা অবশ্যই লগ হয়:

Aug 16 22:52:33 somehost su[17387]: FAILED su for root by ilkkachu

নিরীক্ষণ করার জন্য আপনার কাছে যদি কোনও ধরণের ব্যবস্থা থাকে তবে নিখরচায় একটি পাসওয়ার্ড নিখরচায় পাসওয়ার্ডটি প্রদর্শন করা উচিত। এবং যদি আপনার অবিশ্বস্ত স্থানীয় ব্যবহারকারী থাকে তবে আপনার উচিত। অবিশ্বস্ত স্থানীয় ব্যবহারকারীরা যে কোনও স্থানীয়-কেবল সুবিধাগুলি বৃদ্ধির কাজে ব্যবহার করার চেষ্টা করতে পারে এবং তারা দূরবর্তী সুযোগ সুবিধা বৃদ্ধি পাওয়ার চেয়ে অনেক বেশি সাধারণ much

আমার কাছে আরও কী বিস্মিত হচ্ছে যে এটি এমনকি দরকারী বলে মনে হচ্ছে না।

অবশ্যই এটি দরকারী root, যদি আপনি পাসওয়ার্ড জানেন তবে এটি আপনাকে নিজেকে উন্নত করতে দেয় ।

এটি আমাকে না করে suসরাসরি চালানোর অনুমতি দেয় sudo suতবে এটি কোনও অসুবিধা নয়।

sudo suকিছুটা অপ্রয়োজনীয়। দুটি প্রোগ্রাম ব্যবহার করার দরকার নেই যা আপনাকে অন্য ব্যবহারকারী হিসাবে প্রোগ্রাম চালানোর অনুমতি দেয়, একটি যথেষ্ট যথেষ্ট। শুধু ব্যবহার sudo -iবা sudo -s(অথবা sudo /bin/bashইত্যাদি) যদি আপনি শেল চালাতে চান।

আমি কি কিছু উপেক্ষা করছি? Historicতিহাসিক কারণে বিশ্ব সেখানে কেবলমাত্র অনুমতি কার্যকর করছে?

উপরে দেখুন. ঠিক আছে, সমস্ত সিস্টেমের sudoবিকল্প হিসাবে নেই, আপনি নিশ্চিত হন না যে আপনি historicতিহাসিক বিবেচনা করছেন।

সেই অনুমতি অপসারণের কি কোনও ডাউনসাইড রয়েছে যা আমি এখনও মুখোমুখি হই নি?

সত্যিই নয়, যতদূর আমি জানি no আমি মনে করি কিছু সিস্টেম suসেট করেছে যাতে কেবলমাত্র একটি নির্দিষ্ট গোষ্ঠীর সদস্যরা (" wheel") এটি চালাতে পারে। আপনি sudo( chown root.sudousers /usr/bin/sudo && chmod 4710 /usr/bin/sudo) পছন্দ করলে একই কাজ করতে পারেন ।

অথবা আপনি কেবল দুটি বা উভয় প্রোগ্রাম মুছে ফেলতে পারেন যদি আপনার প্রয়োজন না হয়। যদিও ডেবিয়ানে, প্যাকেজটি suনিয়ে আসে login, তাই সামগ্রিকভাবে প্যাকেজটি সরিয়ে ফেলা সম্ভবত ভাল ধারণা নয়। (এবং জুটি বাঁধা loginএবং এর suমতো একসাথে কিছুটা historicতিহাসিক মনে হয় না))

আপনার কাছে ইতিমধ্যে কিছু ভাল উত্তর রয়েছে তবে আপনার পোস্টের একটি অংশ রয়েছে যা তারা সম্বোধন করে না।

আমি যতদূর বলতে পারি, / / ​​ইউএসআর / বিন / সু-এর উপর বিশ্বব্যাপী অনুমতি কার্যকর করা ব্যবহারকারীরা আমার সার্ভারে রুট অর্জনের চেষ্টা করার একমাত্র উপায়।

এটি একটি বিপজ্জনক ধারণা। আপনি যদি রুটের জন্য একটি ভাল পাসওয়ার্ড সেট করে রেখেছেন তবে বেশিরভাগ ক্ষেত্রে এটি সফল সম্ভাবনা বৃদ্ধি কর্নেলের কোনও বাগের শোষণ বা একটি সেটুইড বাইনারি দ্বারা চালিত হওয়ার কারণ হতে পারে (আপনি অবশ্যই সেটুয়েডটি অপসারণ করতে পারেন) এগুলি থেকে বিট, তবে passwdনির্ধারিত এবং আপনি উচ্চ সুরক্ষা পেতে চাইলে আপনার ব্যবহারকারীদের কাছে এটিও দেওয়া উচিত এবং তাদের পাসওয়ার্ড পরিবর্তন করার বিকল্পটি অস্বীকার করা তার সাথে সামঞ্জস্যপূর্ণ নয়)।

su এর বিশ্ব নির্বাহযোগ্য হওয়া দরকার যাতে সবাই এটি চালাতে পারে। অনেক সিস্টেমে এটি অন্য ব্যবহারকারীর পাসওয়ার্ড সরবরাহ করে পরিবর্তিত হতে ব্যবহার করা যেতে পারে।

আপনি যদি কেউ রুট পাসওয়ার্ডের জালিয়াতি সম্পর্কে উদ্বিগ্ন হন তবে আপনি কেবল এটি অক্ষম করতে পারেন। (হ্যাশটিকে অবৈধ করুন যাতে কোনও প্রদত্ত পাসওয়ার্ড এর সাথে মেলে না)

আমি theক্যমত্য সম্পর্কে জানিনা, তবে আমি নিজেই এবং নিজের মধ্যে একটি সুরক্ষিত সমস্যা সরাসরি হিসাবে লগ ইন করতে সক্ষম হব।

অন্যান্য উত্তরগুলি সঠিক বলে "su" আপনাকে রুট ব্যতীত অন্য অ্যাকাউন্টগুলিতে লগ ইন করতে দেয়।

যদিও "sudo su" সম্পর্কে একটি নোট। এটি আপনাকে মূল পাসওয়ার্ড না জেনে রুট অ্যাকাউন্টে লগ ইন করতে দেয়। আপনি যে অ্যাকাউন্টে সুডো চালাচ্ছেন তার পাসওয়ার্ড জানতে হবে এবং সেই অ্যাকাউন্টটি সুডোয়ার্স ফাইলে থাকতে হবে।