মূল সুবিধাগুলি পাওয়ার সবচেয়ে নিরাপদতম উপায়: সুডো, সু বা লগইন?


120

আমার অনিচ্ছুক ব্যবহারকারীর সাথে আপোস করা থাকলেও আমি সুরক্ষার জন্য মূল অ্যাকাউন্টটি রাখতে চাই।

উবুন্টুতে আপনি কেবলমাত্র "সুরক্ষা কারণে" ডিফল্টরূপে sudo ব্যবহার করতে পারেন। তবে আমি নিশ্চিত না যে এটি কোনও পাঠ্য-মোড কনসোলে লগইন ব্যবহারের চেয়ে কোনও নিরাপদ। আক্রমণকারী আমার সাধারণ ব্যবহারকারী হিসাবে কোড চালাতে পারলে এমন অনেকগুলি জিনিস ভুল হতে পারে। উদাহরণস্বরূপ, এলিয়াস যুক্ত করা, আমার পাঠ্যপুস্তকে স্টাফ যুক্ত করা, কয়েকটি উল্লেখ করার জন্য LD_PRELOAD এবং এক্স 11 কীলগার নির্ধারণ করা। আমি দেখতে পেলাম একমাত্র সুবিধা হ'ল সময়সীমা তাই আমি লগ আউট করতে কখনও ভুলি না।

সু সম্পর্কে আমার একই সন্দেহ রয়েছে তবে এটির সময়সীমাও নেই। কিছু অপারেশন (বিশেষত আইও পুনঃনির্দেশ) সু সম্পর্কে আরও দৃ with়প্রত্যয়ী তবে সুরক্ষা অনুযায়ী এটি আরও খারাপ বলে মনে হয়।

একটি পাঠ্য-মোড কনসোলে লগইন করা নিরাপদ বলে মনে হচ্ছে। যেহেতু এটি আক্রমণ দ্বারা শুরু করা হয়েছে যদি কোনও আক্রমণকারী PATH বা LD_PRELOAD নিয়ন্ত্রণ করতে পারে তবে সে ইতিমধ্যে মূল। এক্সটিতে চলমান প্রোগ্রামগুলি দ্বারা কী-টিপস ইভেন্টগুলি বাধা দেওয়া যায় না X এক্স-তে চলমান প্রোগ্রামগুলি [সিটিআরএল] + [আলটি] + [এফ 1] (এবং একটি কনসোলের মতো দেখতে একটি পূর্ণস্ক্রিন উইন্ডো খুলতে পারে) জানি না বা এটি উইন্ডোজে [ctrl] + [Alt] + [del] এর মতো নিরাপদ। তা ছাড়া আমি দেখি একমাত্র সমস্যা হ'ল সময়সীমার অভাব।

আমি কি কিছু মিস করছি? কেন উবুন্টু ছেলেরা কেবল সুডোর অনুমতি দেওয়ার সিদ্ধান্ত নিয়েছে? কোনও পদ্ধতির সুরক্ষা উন্নত করতে আমি কী করতে পারি?

এসএসএইচ সম্পর্কে কী? Ditionতিহ্যগতভাবে রুট এসএসএইচ দিয়ে লগ ইন করতে পারে না। তবে উপরের যুক্তি ব্যবহার করা এটি করা সবচেয়ে নিরাপদ কাজ হবে না:

  • এসএসএইচ মাধ্যমে রুট অনুমতি দিন
  • পাঠ্য-মোডে স্যুইচ করুন
  • রুট হিসাবে লগ ইন করুন
  • অন্যান্য মেশিনে ssh
  • রুট হিসাবে লগ ইন?

আপনার ssh সমাধানে, আপনি কি বোঝাতে চেয়েছেন যে আপনি অন্য বাক্স থেকে সম্ভাব্য প্রশংসিত বাক্সে প্রবেশ করতে চান? 1 / যদি হ্যাঁ, তবে, আপনার চিন্তার ট্রেনটি অনুসরণ করতে, আপনাকে অবশ্যই নিশ্চিত করতে হবে যে আপনার অন্য বাক্সটি এটি থেকে বের হওয়ার আগে আপস করা হয়নি। 2 / যদি না হয় তবে আপনার একই সমস্যা আছে।
সাউন্ডমোভ

@ সাউন্ডমোভ: আমার ssh পরিস্থিতি সহ 4 জন ব্যবহারকারী রয়েছেন: রুট @ হোস্টা, রুট @ হোস্টবি, স্ট্রিবিকা @ হোস্টা, স্ট্রিবিকা @ হোস্টবি। আক্রমণকারী ধরে নিলে উভয় স্ট্রাইবিকা হিসাবে সালিশী কোড চালানো যেতে পারে (সর্বোপরি তারা ফ্ল্যাশপ্লাগিন এবং হোয়াট নোট চালাচ্ছে) আমি এখনও নিরাপদ রুট অ্যাক্সেস চাই। সুতরাং উভয় বাক্সে আংশিক আপস করা যেতে পারে।
স্ট্রাইবিকা

উত্তর:


105

সুরক্ষা সর্বদা বাণিজ্য বন্ধ করার বিষয়ে। শুধু প্রবাদতুল্য সার্ভার একটি নিরাপদ হয় মত, সংযুক্ত, সমুদ্রের নীচে, rootহবে সবচেয়ে নিরাপদ যদি এ সব এটি অ্যাক্সেস করতে কোন উপায় ছিল না।

LD_PRELOAD এবং PATH আক্রমণগুলির মতো আপনি আক্রমণটি ধরে নিয়েছেন যে ইতিমধ্যে আপনার অ্যাকাউন্টে অ্যাক্সেস সহ এমন একজন আক্রমণকারী আছেন বা কমপক্ষে আপনার ডটফাইলে রয়েছে। সুডো এগুলি থেকে মোটেই ভাল সুরক্ষা দেয় না - যদি তাদের কাছে আপনার পাসওয়ার্ড থাকে তবে সর্বোপরি পরে আপনাকে ট্রিক করার চেষ্টা করার দরকার নেই ... তারা sudo এখনই ব্যবহার করতে পারে ।

মূলত সুডোর জন্য কী নকশা করা হয়েছিল তা বিবেচনা করা গুরুত্বপূর্ণ: নির্দিষ্ট কমান্ডের (যেমন প্রিন্টার পরিচালনা করার মতো) প্রতিনিধি "সাব-অ্যাডমিনিস্ট্রেটররা" (সম্ভবত কোনও পরীক্ষাগারে শিক্ষার্থীদের গ্রেড) পুরোপুরি শিকড় ছাড়েনি। করতে উবুন্টু ব্যবহার সবকিছু সবচেয়ে প্রচলিত ব্যবহার আমি এখন দেখতে, কিন্তু এটা অগত্যা সমস্যা (অত: পর হাস্যকর জটিল কনফিগ ফাইল সিনট্যাক্স) প্রোগ্রাম সমাধান করতে অভিপ্রেত ছিল না।

কিন্তু উবুন্টু-জন্য-অবাধ-রুট করে রুট পাসওয়ার্ড manageability: ADDRESS অন্য নিরাপত্তাজনিত সমস্যা। অনেক সংস্থায়, এগুলি হোয়াইটবোর্ডে লেখা ক্যান্ডির মতো ঘুরতে থাকে এবং এটি চিরতরে ছেড়ে যায়। এটি একটি বড় দুর্বলতা ছেড়ে দেয়, যেহেতু প্রত্যাহার করা বা অ্যাক্সেস পরিবর্তন করা বড় উত্পাদন সংখ্যায় পরিণত হয়। এমনকি কোন মেশিনের কী পাসওয়ার্ড রয়েছে তা ট্র্যাক করাও একটি চ্যালেঞ্জ - কোনটি কে জানেন কে তা ট্র্যাক করতে দিন।

মনে রাখবেন যে বেশিরভাগ "সাইবার-ক্রাইম" ভিতরে থেকে আসে। মূল পাসওয়ার্ডের পরিস্থিতি বর্ণিত হিসাবে, কে কী করেছে তা সন্ধান করা শক্ত - দূরবর্তী লগিংয়ের সাথে সুডো কিছু খুব ভাল করে deals

আপনার হোম সিস্টেমে, আমি মনে করি এটি দুটি পাসওয়ার্ড মনে রাখবেন না সুবিধার জন্য এটি সত্যিই আরও বেশি জিনিস। এটি সম্ভবত সম্ভাব্য যে অনেক লোক তাদেরকে একই - বা আরও খারাপ হিসাবে সেট করেছিল, প্রাথমিকভাবে তাদের একই হতে সেট করে এবং তারপরে সিঙ্ক থেকে বেরিয়ে যেতে দেয়, মূল পাসওয়ার্ডটি পচে যেতে দেয়।

পাসওয়ার্ডগুলি ব্যবহার এ সব থেকে পাসওয়ার্ড আঘ্রাণ trojaned SSH ডেমন রিয়েল-বিশ্ব ব্যবস্থা আপোস আমি দেখেছি 90% ভালো কিছু জায়গা পুরা হয়, SSH জন্য, বিপজ্জনক। এটি এসএসএইচ কীগুলি ব্যবহার করা আরও ভাল এবং এটি দূরবর্তী রুটের অ্যাক্সেসের জন্যও কার্যকর ব্যবস্থা হতে পারে।

তবে এখন সমস্যাটি হচ্ছে আপনি পাসওয়ার্ড পরিচালনা থেকে কী পরিচালনায় সরে গেছেন এবং ssh কীগুলি আসলে খুব বেশি পরিচালিত হয় না। অনুলিপিগুলিকে সীমাবদ্ধ করার কোনও উপায় নেই এবং যদি কেউ অনুলিপি করেন তবে তাদের পাসফ্রেজটিকে ক্ষত-বিক্ষত করার জন্য সমস্ত প্রচেষ্টা রয়েছে। আপনি নীতিমালা তৈরি করতে পারেন যে কীগুলি অপসারণযোগ্য ডিভাইসে সংরক্ষণ করা উচিত এবং প্রয়োজনের সময় কেবল মাউন্ট করা উচিত তবে এটি প্রয়োগ করার কোনও উপায় নেই - এবং এখন আপনি একটি অপসারণযোগ্য ডিভাইস হারিয়ে যাওয়া বা চুরি হওয়ার সম্ভাবনাটি চালু করেছেন introduced

সর্বাধিক সুরক্ষা আসতে চলেছে এককালীন কী বা সময় / পাল্টা ভিত্তিক ক্রিপ্টোগ্রাফিক টোকেনগুলির মাধ্যমে। এগুলি সফ্টওয়্যারগুলিতে করা যেতে পারে, তবে টেম্পার-প্রতিরোধী হার্ডওয়্যার আরও ভাল। ওপেন সোর্স ওয়ার্ল্ডে ওয়াইকিডি , ইউবিকি বা লিনটপি রয়েছে এবং অবশ্যই মালিকানাধীন হেভিওয়েট আরএসএ সিকিউরিডও রয়েছে । আপনি যদি মাঝারি থেকে বড় সংস্থায় থাকেন বা সুরক্ষা-সচেতন ছোট একটিও হন, তবে প্রশাসনিক অ্যাক্সেসের জন্য আমি এই পদ্ধতির একটিতে সন্ধান করার পরামর্শ দিচ্ছি।

এটি সম্ভবত বাড়ির জন্য অত্যধিক দক্ষতা রয়েছে, যেখানে আপনার সত্যিই পরিচালনার ঝামেলা নেই - যতক্ষণ আপনি বোধগম্য সুরক্ষা অনুশীলনগুলি অনুসরণ করেন।


আমি এটি উত্তর হিসাবে গ্রহণ করব কারণ উবুন্টু বিকাশকারীরা sudo তৈরি করার সময় ডিফল্ট পদ্ধতিতে কী ভাবছিল তা সম্পর্কে অনেকটা পরিষ্কার হয়ে যায়। রিমোট লগিংও একটি দুর্দান্ত ধারণা বলে মনে হয় এবং এটি দেওয়া হয়েছে যে আমি ইতিমধ্যে সিসলগ-এনজি ব্যবহার করছি এটি সেট আপ করা খুব কঠিন হওয়া উচিত নয় যাতে আমার সমস্ত কম্পিউটার অন্য সকলের কাছে লগ হয়। আমি সম্পূর্ণ রুট অ্যাক্সেসের জন্য পাঠ্য-মোডে স্যুইচ করতে এবং সেখান থেকে লগ ইন করার আমার বর্তমান অনুশীলনটি ধরে রেখে চলেছি। অধিকারগুলির একটি উপসেট ডিলিট করা অবশ্যই সুডো ব্যবহার করার একটি ভাল উপায় এবং যা আমি কখনই বিবেচনা করি নি।
স্ট্রাইবিকা

7
sudoউইন্ডোজ ভিস্তার ব্যবহারকারী অ্যাকাউন্ট নিয়ন্ত্রণের সাথে খুব মিল। উভয়ই সুরক্ষা বৃদ্ধি না করার জন্য তৈরি করা হয়েছে , তবে এটি নিয়ন্ত্রিত উপায়ে এটিকে হ্রাস করা সহজ করার জন্য । তবে যেহেতু তারা আপনার সুবিধাগুলি সাময়িকভাবে কম-ঘর্ষণ উপায়ে উন্নীত করা সহজ করে তোলে, তাই আপনাকে বাড়ানো সময়কালের জন্য উন্নত সুযোগ সুবিধাগুলি দিয়ে চালানো দরকার না, এইভাবে সুরক্ষা বাড়ানো উচিত। (ইউনিক্সে এটি এত বড় সমস্যা ছিল না, তবে উইন্ডোজটিতে আমার মনে আছে প্রশাসনিক হিসাবে শেষের দিকে কয়েক দিন চালানো ছিল, কারণ স্যুইচিং এতটা বেদনাদায়ক ছিল ))
জের্গ ডব্লু মিট্টাগ

পাসওয়ার্ড স্নিফিং ট্রজনযুক্ত এসএস ডেমন? যদি তারা ssh ডিমন প্রতিস্থাপন করতে পারে তবে তাদের ইতিমধ্যে মূল রয়েছে।
psusi

@ পিপুসি: হ্যাঁ, সেই সিস্টেমে; এমন পরিবেশে যেখানে পাসওয়ার্ডগুলি একাধিক সিস্টেমের মধ্যে (ডিরেক্টরি পরিষেবা দ্বারা) ভাগ করা হয় সেখানে কোনও আপস করা এইভাবে ছড়িয়ে দেওয়া সহজ। এমনকি এটি একটি একক সিস্টেমের পরেও, আপসটি সনাক্ত হওয়ার পরে পুনরায় ইনস্টল করার পরে প্রত্যেকের পাসওয়ার্ডটি পুনঃস্থাপন করার ঝামেলা।
mattdm

1
আপনার সমস্ত কোম্পানির rootপাসওয়ার্ড পরিবর্তন করার সম্ভাব্য অসুবিধাগুলি অপ্স রিপোর্ট কার্ডের চূড়ান্ত আইটেম হিসাবেও উল্লেখ করা হয়েছে , যা পড়ার পক্ষে উপযুক্ত।
ওয়াইল্ডকার্ড

30

এটি একটি খুব জটিল প্রশ্ন। mattdm ইতিমধ্যে অনেক পয়েন্ট কভার করেছে

সু এবং সুডোর মধ্যে, আপনি যখন কোনও একক ব্যবহারকারী হিসাবে বিবেচনা করেন, তখন su কিছুটা সুরক্ষিত যে কোনও আক্রমণকারী যিনি আপনার পাসওয়ার্ড খুঁজে পেয়েছেন তা অবিলম্বে রুট সুবিধাগুলি অর্জন করতে পারে না। তবে আক্রমণকারীটির স্থানীয় রুট হোল (তুলনামূলকভাবে অস্বাভাবিক) সন্ধান করা বা একটি ট্রোজান ইনস্টল করা এবং আপনার দৌড়ানোর জন্য অপেক্ষা করার জন্য যা যা লাগে তা হ'ল।

সুডোর একাধিক ব্যবহারকারী থাকলেও কনসোল লগইন করার সুবিধা রয়েছে। উদাহরণস্বরূপ, যদি কোনও সিস্টেম দূরবর্তী টেম্পার-প্রুফ লগগুলির সাথে কনফিগার করা থাকে তবে সর্বদা আপনি অনুসন্ধান করতে পারবেন যে সর্বশেষে কে সুডো চালিয়েছে (বা যার অ্যাকাউন্টে আপস করা হয়েছিল) তবে কনসোলে কে রুট পাসওয়ার্ড টাইপ করেছেন তা আপনি জানেন না।

আমি সন্দেহ করি যে উবুন্টুর সিদ্ধান্তটি আংশিক সরলতার (শুধুমাত্র একটি পাসওয়ার্ড মনে রাখার স্বার্থে) এবং আংশিক সুরক্ষার স্বার্থে এবং ভাগ করা মেশিনে (ব্যবসায় বা পরিবার) শংসাপত্র বিতরণে স্বাচ্ছন্দ্যে ছিল suspect

প্রমাণীকরণের জন্য লিনাক্সের কোনও সুরক্ষিত মনোযোগ কী বা অন্যান্য সুরক্ষিত ব্যবহারকারী ইন্টারফেস নেই। যতদূর আমি জানি এমনকি ওপেনবিএসডি-তেও কিছু নেই। যদি আপনি রুট অ্যাক্সেস সম্পর্কে উদ্বিগ্ন হন তবে আপনি চলমান সিস্টেম থেকে সম্পূর্ণরূপে রুট অ্যাক্সেস অক্ষম করতে পারেন: আপনি যদি রুট হতে চান তবে আপনাকে বুটলোডার প্রম্পটে কিছু টাইপ করতে হবে। এটি স্পষ্টতই সমস্ত ব্যবহারের ক্ষেত্রে উপযুক্ত নয়। (* বিএসডি-র সুরক্ষিত কাজটি এটির মতো কাজ করে: উচ্চ সুরক্ষিত অংশে, এমন কিছু জিনিস রয়েছে যা আপনি রিবুট না করেই পারবেন না, যেমন নিরাপদলেভ কমিয়ে দেওয়া বা সরাসরি মাউন্ট করা কাঁচা ডিভাইসগুলি অ্যাক্সেস করা))

যেভাবে কোনও ব্যক্তি রুট হয়ে উঠতে পারে সেগুলি সীমাবদ্ধ করা সুরক্ষার পক্ষে সর্বদা লাভ নয়। সুরক্ষা ত্রিয়ার তৃতীয় সদস্য মনে রাখবেন : গোপনীয়তা , অখণ্ডতা , প্রাপ্যতা । নিজেকে আপনার সিস্টেম থেকে লক করা আপনাকে কোনও ঘটনার প্রতিক্রিয়া জানাতে বাধা দিতে পারে।


যদি তারা আপনার পাসওয়ার্ডটি সন্ধান করতে পারে, তবে তারা সহজ না হলে খুব সহজেই রুট পাসওয়ার্ডটি আবিষ্কার করতে পারে। এছাড়াও আপনি নিরাপদ মনোযোগ ক্রম হিসাবে sysrq-k ব্যবহার করতে পারেন।
psusi

লিনাক্সের সুরক্ষার মনোযোগ কী রয়েছে, কার্নেলের ডকুমেন্টেশনগুলি দেখুন
বিটিশেংশেং

@btshengsheng লিনাক্স পারেন একটি "নিরাপদ মনোযোগ কী" আছে, কিন্তু যেহেতু এটি আউট কনফিগার করা যেতে পারে, আপনি নিশ্চিত যে এটা কোন বিশেষ মেশিনে অপারেটিং এর হতে পারে না। এটি কীবোর্ড লেআউটের উপরও নির্ভরশীল, তাই এটির একটি কী পুনরায় সাইন ইন করে বাইপাস করা যায়। এটা বলা একটি "নিরাপদ মনোযোগ কী", কিন্তু এটা বেশ বিল মাপসই করা হবে না।
গিলস

9

সুরক্ষিত ওপেনওয়াল জিএনইউ / * / লিনাক্স ডিস্ট্রোর ডিজাইনাররা su(মূল হওয়ার জন্য) এবং সম্পর্কেও সমালোচনা মতামত প্রকাশ করেছেন sudo। আপনি এই থ্রেডটি পড়তে আগ্রহী হতে পারেন:

... দুর্ভাগ্যক্রমে সু এবং সুডো উভয়ই সূক্ষ্মভাবে তবে মৌলিকভাবে ত্রুটিযুক্ত।

ত্রুটি suএবং অন্যান্য বিষয়গুলি নিয়ে আলোচনা করা ছাড়াও সোলার ডিজাইনার ব্যবহারের জন্য একটি নির্দিষ্ট কারণকে লক্ষ্য করে su:

হ্যাঁ, এটি রুট হিসাবে লগইন না করে "সু রুট" এর সাধারণ সিসাদমিন জ্ঞান হিসাবে ব্যবহৃত হত। যাদেরকে জিজ্ঞাসা করা হয়েছিল, তারা আসলে এই পছন্দটির জন্য একটি বৈধ কারণ নিয়ে আসতে পারে তারা এই পদ্ধতির মাধ্যমে অর্জিত উত্তম জবাবদিহিতা উল্লেখ করবে। হ্যাঁ, এই পদ্ধতির পক্ষে সত্যই এটি একটি ভাল কারণ। তবে এটিও একমাত্র। ... (আরও পড়ুন)

তাদের ডিস্ট্রোতে তারা "ডিফল্ট ইনস্টলটিতে SID মূল প্রোগ্রামগুলি থেকে সম্পূর্ণ মুক্তি পেয়েছে" (যেমন, সহ su; এবং তারা এর জন্য ক্ষমতা ব্যবহার করে না):

সার্ভারগুলির জন্য, আমি মনে করি লোকেরা পুনর্বিবেচনা করা উচিত এবং বেশিরভাগ ক্ষেত্রে ব্যবহারকারীদের দ্বারা su এবং sudo রচনাকে অস্বীকার করে। পুরানো "অ-রুট হিসাবে লগইন থেকে কোনও সুরক্ষিত নেই, তারপরে সু বা সুডোকে" সিসাদমিন "জ্ঞান" থেকে রুট করতে হবে, নন-রুট এবং সরাসরি রুট হিসাবে লগ ইন করার তুলনায় (দুটি পৃথক সেশন)। বিপরীতে, সুরক্ষা দৃষ্টিকোণ থেকে পরবর্তী দিকটিই একমাত্র সঠিক:

http://www.openwall.com/lists/owl-users/2004/10/20/6

(একাধিক সিসাদমিনের জবাবদিহিতার জন্য, আউলের মতো সিস্টেমে একাধিক রুট-সুবিধাযুক্ত অ্যাকাউন্ট থাকা সমর্থন করতে হবে))

(এক্স সহ ডেস্কটপগুলির জন্য, এটি আরও জটিলতর হয়))

আপনি একেবারে মোকাবেলা করতে হবে ...

BTW, তারা প্রতিস্থাপন ছিল suloginসঙ্গে msuloginএকাধিক রুট অ্যাকাউন্টের সাথে সেটআপ করার অনুমতি: msuloginএক ব্যবহারকারীর নামটি দিয়ে লেখা যখন একক ব্যবহারকারী মোডে যাচ্ছে না (এবং "জবাবদিহিতা" সংরক্ষণ) (এই তথ্য থেকে আসে পারবেন মধ্যে রাশিয়ান এই আলোচনা ) ।


1
যে সিস্টেমটির জন্য মূলত ফায়ারওয়াল বোঝানো হয় এবং এটি আরও ভাল না, তবে আপনি যদি এলোমেলো উদাহরণ হিসাবে, mysql / postgresql / bind / powerdns / apache এবং কোনও প্রোডাকশন সিস্টেমে কী নন, চালানোর ইচ্ছা করছেন তবে আপনি শুরু করুন সমস্যাগুলির মধ্যে দৌড়াচ্ছে, যতটা তারা এক্স দিয়ে বর্ণনা করে Es এটি সুষ্ঠু ট্রেড অফ কিনা তা সিদ্ধান্ত নেওয়া প্রশাসনিক প্রশাসনের হাতে administrator ব্যক্তিগতভাবে, আমি দেবিয়ানের সাথে লেগে থাকব।
শাদুর

4

আপনি ধরে নিচ্ছেন বলে মনে হয় যে sudoসর্বদা ব্যবহার করা পরিবেশের পরিবর্তনশীলগুলি সংরক্ষণ করে তবে এটি সর্বদা ক্ষেত্রে হয় না। সুডো ম্যানপেজের একটি অংশ এখানে দেওয়া হয়েছে:

পরিবেশের ভেরিয়েবলগুলি মোকাবেলার জন্য দুটি স্বতন্ত্র উপায় রয়েছে। ডিফল্টরূপে, env_reset sudoers বিকল্প সক্ষম করা আছে। এটি কমান্ডগুলির দ্বারা এনআইভি_চেক এবং এনভি_কিপ সুডোর বিকল্পগুলির দ্বারা অনুমোদিত ইনভোকেটিং প্রক্রিয়াটি থেকে ভেরিয়েবলের পাশাপাশি TERM, PATH, হোম, শেল, LOGNAME, ব্যবহারকারীর এবং ব্যবহারকারী নামক একটি ন্যূনতম পরিবেশ সহ কার্যকর করা হবে। পরিবেশের ভেরিয়েবলের কার্যকরভাবে একটি শ্বেত তালিকা রয়েছে।

তবে, env_reset বিকল্পটি sudoers এ অক্ষম করা থাকলে, env_check দ্বারা env_check এবং env_delete বিকল্পগুলি উত্তোলনকারী প্রক্রিয়া থেকে উত্তরাধিকার সূত্রে প্রাপ্ত কোনও ভেরিয়েবল স্পষ্টভাবে অস্বীকার করা হয়নি। এই ক্ষেত্রে, env_check এবং env_delete একটি কালো তালিকার মতো আচরণ করে। যেহেতু সমস্ত সম্ভাব্য বিপজ্জনক পরিবেশের ভেরিয়েবলগুলি কালো তালিকাভুক্ত করা সম্ভব নয়, তাই ডিফল্ট env_reset ব্যবহারের জন্য উত্সাহ দেওয়া হয়।

সব ক্ষেত্রে, () দিয়ে শুরু হওয়া মানগুলির সাথে পরিবেশের ভেরিয়েবলগুলি মুছে ফেলা হয় কারণ এগুলি ব্যাশ ফাংশন হিসাবে ব্যাখ্যা করা যেতে পারে। রুট হিসাবে চালানো হলে sudo -V এর আউটপুটটিতে sudo মঞ্জুরি দেয় বা অস্বীকার করে এমন এনভায়রনমেন্ট ভেরিয়েবলের তালিকা।

সুতরাং যদি env_resetসক্ষম (ডিফল্ট) হয়ে থাকে তবে আক্রমণকারী আপনার PATHবা অন্য পরিবেশের ভেরিয়েবলগুলিকে ওভাররাইড করতে পারে না (যদি না আপনি সেগুলি ভেরিয়েবলের একটি শ্বেত তালিকায় সংরক্ষণ করেন যা সংরক্ষণ করা উচিত)।


1
আমি বুঝিয়েছি যে আক্রমণকারী যদি আমার পথে নিয়ন্ত্রণ করতে পারে তবে সে আমাকে আসল / ইউএসআর / বিন / সুডোর পরিবর্তে যে কোনও কিছু চালাতে পারে। উদাহরণস্বরূপ / tmp / sudo যা প্রিন্ট Password: করে আমি টাইপ করার সময় কিছুই প্রদর্শন করে না, আমি তার কাছে যা টাইপ করেছি তা প্রেরণ করে, বলে যে পাসওয়ার্ডটি ভুল, তারপরে আসল sudo কার্যকর করে।
স্ট্রাইবিকা

হুম, আমি মনে করি সেক্ষেত্রে আপনি শেলটির উপর নির্ভর না করে আপনার জন্য এটি সন্ধান করার জন্য সরাসরি / usr / bin / sudo চালাতে পারবেন run তবে আপনি ঠিক বলেছেন, এটি এমন একটি সমস্যা যা আমি ভাবিনি।
সিড্রিক

1
@ সিড্রিক স্টাব: যতদূর আমি নুনকে বলতে পারি এটি মনে করে। আমি পুরো পথটি দিতে পারি তবে এটি চেষ্টা করে দেখতে পারি: alias /usr/bin/sudo="echo pwned"এছাড়াও এখানে প্রচুর সংখ্যক প্রোগ্রাম জড়িত রয়েছে (এক্স, এক্সটারম, শেল) যার মধ্যে পাসওয়ার্ড চুরি করতে পারে। সে কারণেই আমি বলেছিলাম নিরাপদে স্যুইচ করার ক্ষেত্রে অনেক বেশি সমস্যা রয়েছে।
স্ট্রিবিকা

1
তুমি কি চেষ্টা করেছ? আমি করেছি:bash: alias: `/usr/bin/sudo': invalid alias name
মার্টিনাস

@ মাআর্টিনাস: আকর্ষণীয়। এটি জেডএসএইচে কাজ করে।
স্ট্রিপিকা

4

সবচেয়ে নিরাপদ পদ্ধতিটি কী সংরক্ষণ করার জন্য একটি শারীরিক ডিভাইস ব্যবহার করে (কমপক্ষে) 2048 লম্বা কী (পাসওয়ার্ড লগইন অক্ষম সহ) ব্যবহার করে ssh লগইন করা হয়।


1
রুট-টু-রুট বা অ-বেসরকারী-থেকে-অনাপেক্ষিত তবে অবশ্যই রুটে যেতে হবে? (আমি আসলে নিরাপদ দিকে থাকতে 4096 বিট কীগুলি ব্যবহার করছি
Lar

@ স্ট্রিপিকা ভাল, দুজনেই। যদি মেশিনটি আপোস হয় তবে আপনি এখনও আপনার চাবিটি looseিলা করবেন না। এটি ছড়িয়ে পড়া (পাসওয়ার্ডগুলির সাথে সবচেয়ে বড় সমস্যা) প্রতিরোধ করে।
যাক_আমি_প্রেম

3

আমি কেবল কিছুটা সামান্য বিষয় যুক্ত করতে চাই। (বিষয়টির জন্য প্রথমে '/ বিন / সু -' পরে এখানে দেখুন)

আমি মনে করি যে উপরোক্ত "সুরক্ষা "টিকেও আমরা যে সুরক্ষিত করতে চাইছি তার সাথে যুক্ত করা উচিত।

এটি সুরক্ষিত রাখতে চাইলে এটি পৃথক হওয়া উচিত: আমার_ডেটা, আমার_কম্পনি_ডাটা, মাই_কম্পানি_নেট ওয়ার্ক।

সাধারণত, আমি সুরক্ষা সম্পর্কে কথা বললে আমি "ডেটা সুরক্ষা" এবং ব্যাকআপ সম্পর্কেও কথা বলি। আমরা ত্রুটি-সহনশীল সিস্টেম এবং এর মতোও যুক্ত করতে পারি।

এটি দেওয়া, আমি মনে করি যে সামগ্রিকভাবে সুরক্ষা ব্যবহারযোগ্যতা, "ডেটা সুরক্ষা" এবং একটি সুরক্ষিত সিস্টেম বাস্তবায়নের প্রয়োজনীয় প্রয়াসের মধ্যে একটি ভারসাম্য।

উবুন্টুর লক্ষ্য ছিল, এবং বেশিরভাগটি এখনও চূড়ান্ত ব্যবহারকারী: সুডো ডিফল্ট।

ফেডোরা হ'ল রেডহ্যাটের বিনামূল্যে সংস্করণ যা আরও বেশি সার্ভার ওরিয়েন্টেড হয়: সুডো অক্ষম থাকত।

অন্যান্য বিতরণের জন্য আমার কাছে সরাসরি কোনও তথ্য নেই।

আমি এখনই ব্যবহার করছি, বেশিরভাগই ফেডোরা। এবং একটি পুরানো শৈলীর ব্যবহারকারী হিসাবে আমি কখনই 'su' টাইপ করি না। তবে আমি খুব স্বল্প সময়ে "/ বিন / স -" টাইপ করতে পারি যদিও আমি ঠিক টাইপবাদক নাও হই। PATH ভেরিয়েবল .. কোনও সমস্যা হওয়া উচিত নয় (আমি পথটি টাইপ করি)। এছাড়াও "-" (বিয়োগ) নীতিগতভাবে আমার ব্যবহারকারীর পরিবেশের পরিবর্তনশীলগুলি সরিয়ে ফেলতে হবে এবং কেবলমাত্র মূলগুলি লোড করা উচিত। অর্থাত্ কিছু অতিরিক্ত সম্ভাব্য ঝামেলা এড়ানো। সম্ভবত এলএস_প্রেলওডও।

বাকীগুলির জন্য আমি অনুমান করি যে @ মেটডেম বেশ সুনির্দিষ্ট ছিল।

তবে এটি সঠিক বাক্সে রাখি। ধরে নিন যে একটি স্ক্রিপ্টিং স্মার্ট কিট আমার ডেটাতে অ্যাক্সেস পেয়েছে। সে কী করতেছে বলে আপনি মনে করেন? - আমার ছবি প্রকাশ করবেন? আমার? - আমার গার্লফ্রেন্ডের নাম সন্ধান করার চেষ্টা করে তাকে বলব যে আমি পর্ণ সাইটগুলি পরিদর্শন করি?

একক ব্যবহারকারীর ছবিতে দুটি খারাপ পরিস্থিতি হ'ল: - বাচ্চা আমার সমস্ত ডেটা মুছে দেয়: মজা করার জন্য বা ভুল করে - বাচ্চাটি আমার যন্ত্রটি অন্য কোনও সত্তার উপর আরও আক্রমণ তৈরি করতে ব্যবহার করে। বা অনুরূপ লক্ষ্যগুলি

প্রথম ক্ষেত্রে, আমি উপরে উল্লেখ করেছি, নেটওয়ার্ক সুরক্ষার চেয়ে ব্যাকআপে চেষ্টা করা আরও ভাল। হ্যাঁ, আপনি সংরক্ষণ করছেন। মানে একটি হার্ডওয়্যার ক্রাশ এর চেয়ে আলাদা নয়।

দ্বিতীয় কেসটি আরও সূক্ষ্ম। কিন্তু এই ক্রিয়াকলাপ সম্পর্কে সংকেত আছে। যাই হোক না কেন, আপনি সম্ভবটি করতে পারেন, তবে আমি আমার হোম পিসি একটি সন্ত্রাসবাদী আক্রমণ থেকে রক্ষা করার জন্য কনফিগার করব না!

অন্যান্য পরিস্থিতিতে আমি এড়িয়ে যাব।

চিয়ার্স এফ


2

যদি উদ্বেগের বিষয়টি হ'ল কোনও আপোস করা ব্যবহারকারীর অ্যাকাউন্টটি ব্যবহার করা পাসওয়ার্ড শোঁকার জন্য sudoবা তার জন্য ব্যবহার করা যেতে পারে এবং suতারপরে sudoএবং এর জন্য ওয়ান-টাইম পাসকোড ব্যবহার করুন su

আপনি রিমোট ব্যবহারকারীদের জন্য কী ব্যবহার করতে বাধ্য করতে পারেন, তবে এটি সম্মতিমূলক উদ্দেশ্যে মस्टरকে পাস করতে পারে না। এটি কোনও এসএসএইচ গেটওয়ে বাক্স সেটআপ করা আরও কার্যকর হতে পারে যার জন্য দ্বি-গুণক প্রমাণ দরকার হয়, তারপরে সেখান থেকে কী ব্যবহারের অনুমতি দিন। এই জাতীয় সেটআপের জন্য এখানে ডক: আপনার এসএসএইচ স্থাপনাকে উইকআইডিআইডি দ্বি-গুণক প্রমাণীকরণের মাধ্যমে সুরক্ষিত করুন


0

আপনি প্রাইভেসিআইডিএও একবার দেখে নিতে পারেন , যা আপনাকে কেবল মেশিনে লগইন করার জন্য (বা su / sudo করার জন্য) ওটিপি ব্যবহারের সম্ভাবনা সরবরাহ করে না তবে এটি ওটিপি অফলাইনেও করতে পারে।

তদতিরিক্ত এটি আপনার এসএসএইচ কী পরিচালনা করতে সক্ষম। অর্থাৎ আপনার যদি অনেকগুলি মেশিন এবং বেশ কয়েকটি রুট ব্যবহারকারী থাকে তবে সমস্ত এসএসএইচ কীগুলি কেন্দ্রীয়ভাবে সংরক্ষণ করা হয়। সুতরাং কোনও এসএসএইচ কীটি "প্রত্যাহার" / মুছে ফেলা সহজ, যদি কীটি আর বিশ্বাস করা না যায়।

অবশ্যই সিস্টেমকে সুরক্ষিত করার জন্য সাংগঠনিক কাজ এবং কর্মপ্রবাহ রয়েছে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.