Sshd neden mutlak bir yol gerektiriyor?

23

Neden gelmez sshdyeniden başlatılırken örneğin, mutlak bir yol gerektirir /usr/sbin/sshdyerinesshd

Herhangi bir güvenlik çıkarımı var mı?

PS hata mesajını:

# sshd
sshd re-exec requires execution with an absolute path
security  path  executable  sshd 
papatya
kaynak

Yanıtlar:

20

Bu, 3.9 sürümünden itibaren OpenSSH'e özgüdür.

Her yeni bağlantı için, sshd her yürütme zamanı rastgele işleminin her yeni bağlantı için yeniden oluşturulmasını sağlamak için kendini yeniden yürütecektir. Sshd'nin kendisini yeniden yürütmesi için, kendisine giden tam yolu bilmesi gerekir.

İşte 3.9 sürüm notlarından bir alıntı:

  • Sshd'nin (8) yeni bir bağlantıyı kabul etmesi üzerine kendini tekrar çalıştırmasını sağlayın. Bu güvenlik önlemi, ana işlemin ömrü boyunca, tüm yürütme zamanı randomizasyonlarının her bir bağlantı için bir kez yerine tekrar uygulanmasını sağlar. Bu, mmap ve malloc eşlemelerini, paylaşılan kütüphane adreslemesini, paylaşılan kütüphane eşleme sırasını, ProPolice ve böyle şeyleri destekleyen sistemlerdeki StackGhost çerezlerini içerir.

Her durumda, bir hizmeti kendi init betiğini /etc/init.d/sshd restartkullanarak (ör. ) Veya kullanarak yeniden başlatmak daha iyidir service sshd restart. Başka bir şey yoksa, hizmetin bir sonraki yeniden başlatılmasından sonra düzgün şekilde başlayacağını doğrulamanıza yardımcı olur ...

( Orijinal cevap, şimdi alakasız: Benim ilk tahminim bu /usr/sbinsizin $ PATH'nizde olmayacaktı. )

Jenny D
kaynak
Tabii ki $ PATH cinsinden, aksi takdirde sshd ;-P
daisy
6
Mesajınızda bahsetmediğiniz hata mesajını mı kastediyorsunuz?
Jenny D
2
Benim kötü, yazıyı düzenledi
papatya
6

Bu, birisinin sshdsizin dizinlerinizden birinde bir yere bir program enjekte etmesini PATH ve sizin istemeyerek onu yürütmesini engellemektir . 2004'ten itibaren bu yazı zaten sorunu açıklar.

Timo
kaynak
Bu gönderi sorunu doğru tanımlasa da, iş parçacığında çizilen sonuçlar hatalı. Hata değil, bu bir özellik :-)
Jenny D
@JennyD Neden bir hata olduğunu düşünüyorsun? Bunu asla ima etmedim.
Timo
Bağlandığınız yayında, bir yanıt "Yükseltme sırasında en son openssh'a sızan böcek" oldu. Bu konudaki cevapların hiçbiri tam bir yol istemek için gerçek nedenden bahsetmedi - bazıları sizin yaptığınız aynı nedenden bahsetti, bu da çok mantıklı ve neden tüm yolu herhangi bir program açma oturum açma olanağı için kullanmanın iyi bir fikir olduğunu gösteriyor. Ancak bu, bu özel programın bu gereksinime sahip olmasının asıl nedeni değildir.
Jenny D,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.