Bazı kullanıcıların örneğin yapabilmelerini sudo
ve kökleşmelerini istiyoruz.
Şey, sudo çözmek için tasarlanan problem bu, bu kısım yeterince kolay.
ancak kullanıcı kısıtlama ile root şifresini değiştiremez.
SHW'nin bir açıklamada işaret ettiği gibi , sudo'yu yalnızca belirli kullanıcıların belirli kullanıcılar tarafından root olarak alınmasına izin verecek şekilde yapılandırabilirsiniz. Yani, kullanıcı1 yapmasına sudo services apache2 restart
izin verebilir, kullanıcı2'nin sudo reboot
sistem yöneticisi olarak işe alınmasına izin verirken başka hiçbir şey yapmasına izin user3
vermez sudo -i
. Sudo'yu nasıl ayarlayacağınız konusunda bir sürü soru var ya da burada arama yapabilir (veya sorabilirsiniz). Bu çözülebilir bir problem.
Bununla birlikte, bir kabuğa sudo -i
veya sudo
kabuğa yeteneği ( sudo bash
örneğin) verilen bir kullanıcı her şeyi yapabilir. Bunun nedeni, sudo'nun kabuğu başlattığı zaman, sudo'nun kendisi resmin dışında kalmasıdır. Farklı bir kullanıcının güvenlik bağlamını sağlar (çoğunlukla kök), ancak yürütülen uygulamanın ne yaptığını söylemez. Eğer sırayla bu uygulama başlarsa, passwd root
sudo'nun yapabileceği bir şey yoktur. Bunun diğer uygulamalar üzerinden de yapılabileceğini unutmayın; örneğin, daha gelişmiş editörlerin çoğu, bu düzenleyici işlemin (yani, kök) etkin kullanıcı kimliği ile çalıştırılacak olan bir kabuk olan kabuk üzerinden bir komut çalıştırma olanakları sağlar .
Diğer bir deyişle, diğer kullanıcıların ne yapacaklarından bağımsız olarak bu sunucuya giriş yapabileceğimiz ve kök olacağımızın garantisi.
Üzgünüm; Eğer gerçekten "Kök erişimi olan biri ne yaparsa yapsın sisteme giriş yapıp sistemi kullanabileceğimize emin ol" demek istiyorsan, (tüm niyet ve amaçlar için) yapılamaz. Çabuk bir "sudo rm / etc / passwd" veya "sudo chmod -x / bin / bash" (ya da hangi kabuk kökü kullanırsa) ve yine de çok fazla hortumlanacaksınız. "Oldukça fazla hortumlanmış" anlamı "yedekten geri yüklemeniz gerekecek ve bir parmak parmağından daha kötü bir şey yapmadıklarını ummak zorunda kalacaksınız". Kullanılmaz bir sisteme yol açan kazayla yanlış bir taarruz riskini azaltmak için bazı adımlar atabilirsiniz , ancak kötüye kullanımın sistemi sıfırdan veya en azından bilinen bir şekilde yeniden inşa etme ihtiyacı dahil olmak üzere çok ciddi sorunlara neden olmasını önleyemezsiniz. iyi yedeklemeler.
Bir kullanıcıya, sistemde sınırsız bir kök erişimi vererek, o kullanıcıya (kötü niyetli bir niyete sahip olmadığından ve kazayla karışmadığından, bu kullanıcıya (yürütmeyi seçebilecekleri herhangi bir yazılım dahil, ls gibi sıradan bir şey dahil) güvendiğinizden emin olabilirsiniz. Kök erişiminin doğası budur.
Örneğin sudo üzerinden sınırlı kök erişimi biraz daha iyidir, ancak herhangi bir saldırı vektörünü açmamaya dikkat etmeniz gerekir. Kök erişiminde, ayrıcalık yükselme saldırıları için birçok olası saldırı vektörü vardır.
Onlara kök olmanın gerektirdiği erişim düzeyine güvenemiyorsanız, çok sıkılmış bir sudo yapılandırmasına veya yalnızca söz konusu kullanıcıya kök erişimini sudo veya başka bir yöntemle yapmamanız gerekir .
sudo
belirli kök ayrıcalıklı uygulamalara izin vermek için kullanabilirsiniz . Bu şekilde, kullanıcının root şifresini değiştirmesine izin verilmeyecek