forum.opennet.ru

"Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Использование SSH поверх UNIX-сокета вместо sudo для избавле..."	+/–
Сообщение от glad_valakas (?), 20-Дек-23, 17:59
я пришел к похожему сценарию. только с sudo и без systemd. 1) есть простой user. он логинится с консоли, от него запускается X, от него работают недоверенные бинарники. прав на sudo он не имеет, закрытых ключей ssh тоже не имеет, в интересных группах типа root, wheel и adm не состоит. umask 0022. 2) user имеет право сделать так: ssh superuser@localhost логин парольный. 3) superuser имеет право на sudo (парольный), держит у себя в $HOME конфиденциальную инфу, не запускает недоверенные бинарники и X приложения, хранит в ~/.ssh свои ключи (парольные), которыми ходит по другим хостам. umask 0077. где дырки в этой схеме, какие нехорошие сценарии осуществимы (кроме "украдут диск и все файлы украдут") ?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов, opennews, 20-Дек-23, 10:02 [смотреть все]

Вот это да , Мухорчатый, 20-Дек-23, 10:02 (1) //
- На третий день Зоркий Глаз заметил что что у соседнего сарая был suid-ный б, Аноним, 20-Дек-23, 17:35 (86)
Вот это действительно будет дырища, которая может ещё и не работать на некотором, Аноним, 20-Дек-23, 10:07 (3) //
- Развитие юникс архитектуры остановилось со смертью plan9 Вот и приходится изобр, Шарп, 20-Дек-23, 10:17 (4) //
  - А как же инферно , SODIX, 20-Дек-23, 10:33 (6) //
    - А что мешает, ставьте версию для raspberry pi и играйтесь, chubakka, 20-Дек-23, 13:14 (44)
      - Вот именно что играйтесь А надо работать, и не послезавтра, уже вчера , Аноним, 20-Дек-23, 18:05 (93)
      - И результатом этих игрищ ожидается - что именно Более того - зависеть от 1 прои, Аноним, 20-Дек-23, 22:01 (113)
  - Никому не интересен plan9 Куда интереснее, что челу с тыренным ssh-ключом раньш, Аноним, 20-Дек-23, 10:35 (7) //
    - Так себе аргумент Ничего не мешает иметь ключ с паролем для повышения привилеги, WE, 20-Дек-23, 11:47 (23)
    - Пароли умерли, сейчас работает только многофакторка , НеАнонимЪ, 20-Дек-23, 12:11 (28)
      - Но один из факторов - пароль Так что не умерли, а дополнились , Аноним, 20-Дек-23, 12:41 (38)
      - Ничего они не умерли На машине обязан быть парольный аккаунт для rescue-нужд В, freehck, 20-Дек-23, 14:22 (55)
      - Поразвелось тут хайпонашек Еще анализы кала сдавайте блин для входа в систему , Аноним, 20-Дек-23, 17:40 (88)
        
        Они их уже на клавиатуру сдали , Аноним, 20-Дек-23, 19:28 (103)
    - А ты в курсе что при генерации пары ключей, закрытый ключ можно запаролить И то, Аноним, 20-Дек-23, 12:16 (30)
      - А ты в курсе, что есть методы увода ключей вот прям уже расшифрованных , Аноним, 20-Дек-23, 18:19 (96)
        
        Так же как и введенный пароль из etc shadow можно увести Так что запароленый к, Аноним, 20-Дек-23, 19:06 (101)
        
        Нафиг никому не сдались ваши ключи Эксплоиты на повышение прав гораздо надёжн, Аноним, 20-Дек-23, 22:23 (115)
        Так там не пароли и хеши от них А если атакующий перехватывает ваш ввод - окей,, Аноним, 22-Дек-23, 21:10 (139)
    - Не знаю как здесь, но в KepassXC Yubikey служит вторым фактором защиты, т е над, Аноним, 20-Дек-23, 12:34 (35)
      - И теперь sudo станет в 5 раз гиморнее - для легитимного админа Который будет ис, Аноним, 20-Дек-23, 17:47 (89)
      - И теперь sudo станет в 5 раз гиморнее - для легитимного админа Который будет ис, Аноним, 20-Дек-23, 17:49 (90)
    - А кто запрещает разнести ключи для sshd, на который заходят из сети, и для sshd,, YetAnotherOnanym, 20-Дек-23, 15:17 (70)
    - Да И это проблема А если бы был, то вместо облаков и кубернетесов просто писал, Аноним, 20-Дек-23, 21:25 (108)
      - Не, эту дичь так просто не изжить plan9 не поможет - модно-молодежные и сфер, Wakizashi, 21-Дек-23, 15:57 (126)
        
        Это не дичь, это результат того, что немодные и немолодёжные продолжают оберегат, Аноним, 22-Дек-23, 20:38 (136)
- Не то чтобы дырища, если все сделать правильно Но вообще отличный способ подвес, Аноним, 20-Дек-23, 17:39 (87)
Как Что-то пропущено Как Private ключ перенести правильно на флешку Кажется да, Аноним, 20-Дек-23, 10:32 (5) //
- Заменю вам статью Подходит любой ключ с поддержкой FIDO2, даже самодельный Вста, BSDSHNIK, 20-Дек-23, 11:01 (12)
- https codeberg org KOLANICH Fuck-GuanTEEnomo, Аноним, 20-Дек-23, 11:28 (17) //
  - TL DR Майкрософт ворует лампочки в подъезде у автора , Аноним, 20-Дек-23, 21:27 (109) //
    - Однако про конфликт интересов member of FIDO заинтересован в впаривании вро, Аноним, 20-Дек-23, 22:04 (114)
      - После этого не значит в результате этого Майкрософт, как один из основных участ, Аноним, 22-Дек-23, 20:42 (137)
        
        Тем не менее лично я с гитхаба ушел, потому что такое навязчивое желания меня ос, Аноним, 22-Дек-23, 21:16 (140)
- Никак не надо переносить Ключ генерится прямо на затычке, и половина закрытой ча, PnD, 20-Дек-23, 11:29 (18) //
  - Ну вообще говоря для рутокена линуксовые дрова вполне себе есть и работают, Павел, 20-Дек-23, 12:36 (36) //
    - Как обычно какой-то blob-only крап, вне ядра, без сорцов, которому надо на честн, Аноним, 20-Дек-23, 21:58 (112)
      - Rutoken ECP поддерживаются в OpenSC, никаких блобов и проприетарщины , Аноним, 20-Дек-23, 23:25 (116)
        
        Ну ок, это уже не позор-позор А сорц фирмвари там как, тоже дают Почему-то сам, Аноним, 22-Дек-23, 21:21 (141)
        
        Сорц полустандартного OpenGPGCard тоже не доступен, лишь обрезок старого кода по, morphe, 23-Дек-23, 20:06 (149)
Выглядит как забор из костылей, при том непонятно ради чего Я так и не понял, ч, Аноним, 20-Дек-23, 10:49 (8) //
- Это тайный план заставить всех использовать флэшки А USB настолько дыряв, что т, Аноним, 20-Дек-23, 12:00 (25)
- теперь есть андройд, где понятие пользователя сильно изменено в нём каждая прог, Аноним, 20-Дек-23, 14:21 (54) //
  - Можно dev режим врубить и анлокнуть систему бут Но вообще индеец правильно поня, Аноним, 20-Дек-23, 18:43 (100)
Нет Лучше черес TCP который надо выставить в облако гугл или мигрософт это буде, Аноним, 20-Дек-23, 10:50 (9) //
- А давайте пусть systemd живёт в облаках , Аноним, 20-Дек-23, 12:48 (40)
10 лет держу открытую вкладку терминала с su и в проде и на домашнем ПК без в, Аноним, 20-Дек-23, 10:52 (10) //
- Мда то что вы конкретно нафиг никому не сдались, это ничего не значит так чт, Аноним, 20-Дек-23, 12:18 (31) //
  - А зачем нужен антивирус ну кроме тех, кто их продаёт Антивирус, он как вояка,, 1, 20-Дек-23, 15:04 (66)
  - а на что ещё делать ставку мелкомягкий доверия не внушает солярисы тоже буржуйск, Аноним, 20-Дек-23, 15:21 (72) //
    - Переезжайте в финку и будет всё разрабатыватся у вас Если что дойдёте ножками , Ivan_83, 20-Дек-23, 15:37 (79)
  - А откуда ты знаешь, какой у него прод , YetAnotherOnanym, 20-Дек-23, 15:21 (73)
- С самого начала просто по ссш сам к себе и где нужно логинюсь под рутом su юза, Ivan_83, 20-Дек-23, 14:59 (64)
Если я правильно понял, вместо отдельных суидных программ типа судо предлагается, Аноним, 20-Дек-23, 11:00 (11) //
- Да ВСё это решение выглядит как знатный геморрой с несуществующей выгодой , _oleg_, 20-Дек-23, 13:29 (46)
- Можно интегрировать функциональность suid в модифицированный sshd, попутно выкин, YetAnotherOnanym, 20-Дек-23, 16:34 (80)
- То есть документацию на ты SSH ни разу не читал, что там можно и что нельзя не з, Аноним, 20-Дек-23, 18:17 (95) //
  - Смелое заявление, требует подробностей В sudo можно ограничивать хост, группу, п, Аноним, 21-Дек-23, 19:11 (128) //
    - А вот и подтверждение моего тезиса о том, что админы локалхоста документацию не , Аноним, 22-Дек-23, 20:50 (138)
      - Это нужно шел пользователя чем то заменить Иначе, команды не ограничить , Sem, 23-Дек-23, 07:31 (145)
самое главное то и не раскрыто чем ssh-коннект под root безопаснее sudo ес, pfg21, 20-Дек-23, 11:03 (13) //
- Запускайте прогу тоже под рутом бгг Гори оно огнём, какая срамота , Alexey, 20-Дек-23, 11:08 (14) //
  - т е я запускаю скрипт по очистке какойлибо диры в глубине var www не под огран, pfg21, 20-Дек-23, 11:20 (16) //
    - что вы как маленький - от рута делаете sudo -u username ваш_скрипт, фф, 20-Дек-23, 11:30 (19)
      - тогда зачем мне прокладка в виде работающего sshd с socat под рутом с судо они , pfg21, 20-Дек-23, 13:43 (50)
        
        чтоб было люди старались, делали, а вы ненужно не надо быть такой букой, фф, 25-Дек-23, 14:57 (150)
ждем запихвание этих костылей в systemd , Аноним, 20-Дек-23, 11:35 (20) //
- Не шути так, а то тебя услышат и реализуют , Аноним, 20-Дек-23, 11:37 (21) //
  - На Фре вообще не интересно , Аноним, 20-Дек-23, 14:32 (59)
- Каждая программа должна быть слинкована с libsystemd, так победим , Аноним, 20-Дек-23, 12:11 (29) //
  - В 1990-х и 2000-х M , своим гетзефаком, победить не смогла, но теперь смогла воз, Аноним, 20-Дек-23, 12:45 (39)
А QR код QR код будет встроенный А веб сервер , name, 20-Дек-23, 11:45 (22) //
- А ещё надо метрики экспортировать в промку и логи в ёлку , Аноним, 20-Дек-23, 13:00 (41) //
  - Но все же нескучный rest апи должен быть сначала , нах., 20-Дек-23, 15:16 (69)
выглядит как фигня sudo пароль забывает через некоторое время, и даже получив д, хрю, 20-Дек-23, 11:52 (24) //
- В судо каждому пользователю можно прописать что он может запустить Можно разгра, Аноним, 20-Дек-23, 12:02 (26) //
  - Можно, но я не видел чтобы так кто-то делал для реального чела, а вот для запуск, хрю, 20-Дек-23, 12:10 (27) //
    - Конечно удобно - запускать все исходно из под рута Для очистки совести можно сб, Аноним, 20-Дек-23, 13:19 (45)
    - Ну для скриптов да Которые люди запускают Это для людей или нет , _oleg_, 20-Дек-23, 13:29 (47)
    - man 5 sudoers В примерах , Аноним, 21-Дек-23, 19:15 (130)
- а мы гланды удалять научились через оппу автогеном Новое поколение пришло , нах., 20-Дек-23, 12:20 (32)
Ээээ sudo su - не, не слышал , Аноним, 20-Дек-23, 12:31 (33) //
- Почему не sudo su su или не sudo su su su su su Чем простое sudo -i не ус, Аноним, 20-Дек-23, 13:13 (43) //
  - Да можно и так А можно и просто su написать И sudo не нужен Я про степень нар, Аноним, 20-Дек-23, 15:01 (65)
  - Без этого сакрального заклинания на FreeBSD какой-то древней версии шелл неправи, Аноним, 20-Дек-23, 21:39 (110)
  - ok, googleбудет ли работать sudo -i если у пользователя shell nologin , dasd, 23-Дек-23, 11:29 (146)
Годнота При сборке софта из исходников может пригодится , Аноним, 20-Дек-23, 12:31 (34)
Не сочтите за офтопик Но определенно дежавю Знавал одного профессора В статью, nox., 20-Дек-23, 12:38 (37) //
- Лет 10 назад из одной монопомии баги присылали - скриншот текстовой инфы с экран, хрю, 20-Дек-23, 13:40 (49) //
  - Люди из абстрактного для них буфера обмена вставили jpg-фрагмент в программе, ко, ишь, 20-Дек-23, 14:28 (57)
  - Опытный пользователь MS Office, Word, Excel А чем можете похвастаться вы , Электрон, 23-Дек-23, 03:45 (144)
Тимоти Равье Timothee Ravier из компании Red Hat, мэйнтейнер проектов Fedora S, Аноним, 20-Дек-23, 13:12 (42) //
- В документации к SSH, которую ты никогда не читал Впрочем, тебе на локалхосте и, Аноним, 20-Дек-23, 18:20 (97) //
  - Невозможно эффективно ограничить шелл Самообман , Аноним, 21-Дек-23, 19:20 (131)
Автор и правда упорот и считает что suid надо менять на ssh facepalm , keydon, 20-Дек-23, 13:45 (51) //
- Он работу работает Что полезного сделали вы , Аноним, 20-Дек-23, 14:30 (58) //
  - Тоже работу работаю Но стараюсь работать хорошо, а не лишь бы работало как по, keydon, 20-Дек-23, 15:09 (67) //
    - На риторический вопрос можно было и не отвечать , Аноним, 20-Дек-23, 15:26 (76)
    - Пока ты стараешься, кто-то делает , Аноним, 20-Дек-23, 21:41 (111)
uzer hvost home uzer ssh uzer_doasnyi localhost doas echo kokoko Проще для , Аноним, 20-Дек-23, 14:05 (52) //
- alias chpok ssh uzer_doasnyi localhost doas chpok ps ax, Аноним, 20-Дек-23, 14:08 (53)
Доизолировались Кругом рута им подавай , Аноним, 20-Дек-23, 14:25 (56)
И как ограничивать команды, например, разрешить без пароля только определённые к, Ilya Indigo, 20-Дек-23, 14:33 (60)
Давно известный метод Из минусов -- нельзя ограничить повышение привилегий конк, freehck, 20-Дек-23, 14:37 (61) //
- Ну,вот,что вы тут за легаси топите Совсем непрогрессивный админ Закопать все с, Аноним, 20-Дек-23, 14:55 (63)
- sudo использует ровно тот же pam стек уже тысячу лет , нах., 20-Дек-23, 15:22 (74) //
  - Проверил Однако да, был не в курсе считал, что sudo устроен гораздо проще Тогд, freehck, 20-Дек-23, 15:24 (75) //
    - так сразу ж написали - это очередной победитель суид бита пожаловал Вот огромны, нах., 20-Дек-23, 16:47 (82)
  - Еще он sudoedit использует Мы же жить не можем без постоянного редактирования ч, Аноним, 22-Дек-23, 21:32 (142) //
    - Ты же в курсе, что sudoedit запускает редактор от пользователя, а поднимает прив, Аноним, 26-Дек-23, 23:40 (151)
Почему нкльзя тогда просто использовать ssh , xxxxxxxxxxxxxxxxxxxxxx, 20-Дек-23, 15:16 (68)
Пора бы добавить ListenStream в сам sshd а не костылить прослойки inetd style , Ivan_83, 20-Дек-23, 15:29 (77)
В принципе, идея неплохая, только на сокете должен висеть не sshd, а новая софти, YetAnotherOnanym, 20-Дек-23, 16:39 (81)
Я зашёл в эту статью и с первых строк начал искать слово docker Не нашёл Поэ, Аноним, 20-Дек-23, 17:02 (84)
Предлагаю универсальный классический способ ухода от suid-бит в GNU Linux http, Аноним, 20-Дек-23, 17:29 (85) //
- ЗЫ sudo не нужен Если пользователю надо сменить пользователя на root то есть ути, Аноним, 20-Дек-23, 17:59 (92) //
  - dbus, policykit для выключения и прочего , Ivan_83, 20-Дек-23, 20:10 (106) //
    - Это противоречит классической системе безопасности UNIX DAC, MAC, CAP INTEGRI, Аноним, 21-Дек-23, 19:09 (127)
    - У меня правельно собранный GNU Linux, без dbus, policykit, systemd, JIT, PBF, , Аноним, 21-Дек-23, 19:13 (129)
  - И страдать, как Тимоти Равье Никогда не надо, кроме ремонта Постоянно надо Для , Аноним, 21-Дек-23, 19:47 (132) //
    - Это явно задачи суперпользователя Пишу с системы где даже у root нету таких пол, Аноним, 22-Дек-23, 18:10 (135)
- Там порылся мааааааленький фэйл code 1 Мнение разрабов дистрибутива groupadd w, Аноним, 23-Дек-23, 19:50 (148)
я пришел к похожему сценарию только с sudo и без systemd 1 есть простой user , glad_valakas, 20-Дек-23, 17:59 (91) //
- Почему просто не использовать два входа в систему под двумя разными пользователя, Аноним, 20-Дек-23, 18:10 (94) //
  - не надо бояться человека с ружьем W W W suid бита это раньше хаксоры таким прогр, glad_valakas, 20-Дек-23, 18:25 (99)
  - И механизм контроля кто, как и когда им пользуется , Аноним, 21-Дек-23, 19:51 (133)
Приплыли Одна половина комментирующих не понимает, что предлагается, вторая 8, Аноним, 20-Дек-23, 18:25 (98) //
- Мне казалось что суид программа - позволяет как раз обойти ограничения технологи, ыы, 20-Дек-23, 19:22 (102)
- Скорее занимается таким замечательным делом, как имитирование работы Переливани, Аноним, 21-Дек-23, 12:34 (125)
- Чудики тыр-тыр-прайзные держат по серверу с докером и вебмордой на каждую юникс-, Аноним, 21-Дек-23, 19:54 (134)
Рут без пароля из любой точки системы Видимо из соображений инклюзичности, чтоб, Аноним, 20-Дек-23, 20:56 (107)
Я написал программу, выставил ей suid, и нахрена мне все это,описанное выше , adolfus, 21-Дек-23, 01:00 (117)
Сдаюсь - Не знаю - почему это удаляет какой-то АВТОБОТ Да, и вот Михаил Шигор, Аноним, 21-Дек-23, 01:29 (123) //
- Потому что у мудобота бывают заскоки и последние несколько дней его плющило Ска, Аноним, 22-Дек-23, 21:35 (143)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру