Sudo parolasını devre dışı bırakarak hangi güvenlik açıklarını oluşturuyorum?

16

İşte şifrenizi nasıl devre dışı bırakacağınıza ilişkin bazı talimatlarsudo . Bunlar aşağıdaki uyarıyı taşır

sudoHesabınızın şifresini devre dışı bırakırsanız , bilgisayarınızın güvenliğini ciddi şekilde tehlikeye atarsınız. Katılımsız, giriş yapmış hesabınızda oturan herkes tam rooterişime sahip olacak ve uzaktan istismarlar kötü niyetli krakerler için çok daha kolay hale gelecek.

İnsanların makineme fiziksel erişim elde etmesinden endişe etmiyorum. Bu uyarıyı göz ardı edip şifreyi devre dışı bırakırsam hangi uzaktan istismarlar mümkün veya daha kolay olur?

ubuntu  security  sudo  password 
Rupert Madden-Abbott
kaynak

Yanıtlar:

23

Şifresiz sudo'ya izin verirseniz, kullanıcı olarak makinenizde kod çalıştırmayı başaran herkes, kodu kök olarak önemsiz bir şekilde çalıştırabilir. Bu, oturumunuz açıkken konsolunuzu kullanan ancak bilgisayarınızın önünde olmayan, endişelenmediğiniz bir kişi olabilir (her neyse, fiziksel erişimi olan biri istediklerini hemen hemen yapabilir). Bu, hesabınıza kendi makinenize ait olduğunuz başka bir makinede erişen biri de olabilir. Ancak, uzak bir güvenlik açığından yararlanan biri de olabilir - örneğin, tarayıcı örneğinize kod enjekte etmek için bir tarayıcı hatasını kullanan bir web sitesi.

Ne kadar büyük bir anlaşma? O kadar değil, birkaç nedenden dolayı:

  • Uzak bir delik bulan bir saldırgan muhtemelen yerel bir kök deliği de bulabilir.
  • Bazı saldırganlar kök ayrıcalıklarına aldırmaz. Tek istedikleri spam göndermek ve diğer makinelere bulaşmak ve bunu kullanıcı olarak yapabilirler.
  • Hesabınıza erişimi olan bir saldırgan, tuş vuruşlarınızı (şifreniz dahil) yakalayan veya kendi komutunu yürütmek için root kazanmak için bir sonraki kullanımınız ne olursa olsun omzunda bulunan bir truva atı bırakabilir.
  • Makinenizdeki tek kullanıcı sizseniz, kullanıcı olarak erişilemeyecek kadar korunacak çok fazla bir şey yoktur.

Diğer yandan:

  • Güvenlik güncelleştirmeleri konusunda güncelseniz, saldırgan yararlanacak yerel bir delik bulamayabilir.
  • Kök olmayan bir saldırgan izlerini çok iyi silemez.
  • Şimdi bir parola yazmak zorunda kalmanız fazla bir yük değildir.
  • Parola girmeniz size tehlikeli bir şey yaptığınızı hatırlatır (olduğu gibi: veri kaybedebilir veya bilgisayarınızı kullanılamaz hale getirebilir). (Kök olmayan bir kullanıcı olarak, tek gerçek tehlike verileri yanlışlıkla silmektir ve genellikle bir şeyi sildiğinizde ve çok dikkatli olmanız gerektiği açıktır.)
Gilles 'SO- şeytan olmayı bırak'
kaynak
9

Sudo şifresinin sizi sadece iki şeyden koruyabileceğini düşünüyorum:

  1. kendi sisteminizde kazara hasar (örneğin rm -rf, daha önce olduğundan farklı dizinde kabuk geçmişinden göreceli yolu olan bazılarını çalıştırmak veya bunun gibi bir şey)
  2. sudosisteminizi çağıran ve incitmeye çalışan (kötü amaçlı) bir komut dosyası çalıştırıyor ( ancak bu tür kötü amaçlı yazılımların çok popüler olduğunu düşünmüyorum)

İsterseniz NOPASSWDseçeneği yalnızca sisteminize zarar vermeyen seçili komutlar için kullanabilirsiniz (editörler için veya hizmetleri yeniden başlatmak için) ve diğer komutlar için parolayı saklayabilirsiniz.

PBM
kaynak
Bir editörün kök olarak çalışmasına izin vermenin sisteme zarar veremeyeceği tehlikeli öneri için -1. Bu noktada, herhangi bir şeyin root olarak çalışmasına izin verebilirsiniz, çünkü bir editör oturumu yine de rastgele kod yürütülmesine izin verir .
Caleb
2

Bazı yetkili kuruluşların , özellikle farklı güvenlik düzeylerine sahip ana bilgisayarlar içeriyorsa, çok sayıda farklı uzak ana bilgisayarda oturum açması gereken kullanıcıları olduğunda aslında şifresiz sudo'yu tercih ettiğini belirtmek gerekir.

Parolanızı girmeyle ilgili sorun, parolanızı uzaktaki sistemlere düzenli olarak vermenizdir. SSH kullanmamızın nedenlerinden biri de tam olarak bu tür bir güvenlik açığından kaçınmaktır. Bu bir ödünleşim meselesidir: bir oturumdan veya anahtardan ödün veren bir saldırganın root erişimine erişme olasılığını azaltmak için bir kullanıcının şifresinin ele geçirilme olasılığını artırıyorsunuz. Özellikle, aşağıdaki senaryoyu düşünün:

  • büyük organizasyon
  • birçok ev sahibi
  • ana bilgisayarlar değişen güvenlik düzeylerine sahiptir
  • root olmayan erişim zaten zararlı
  • kullanıcı şifreleri birçok şeyin kilidini açar

Açıkladığım senaryoda, şifresiz sudo , kullanıcının şifresini koruyarak güvenliğinizi artırabilir . Bu, güvenlik açığı, parolaların gerçek olarak yeniden kullanılması yerine birleşik bir kimlik doğrulama sisteminden kaynaklanması dışında, İnternet'te yaygın hale gelen parola yeniden kullanım saldırılarına benzer.

Dev bir şirkette değilseniz, şifreli sudo muhtemelen güvenliğinizi artıracaktır - ancak mutlaka büyük miktarda değil. Sistem güvenliği konusunda gerçekten profesyonel değilseniz veya üzerinde özellikle değerli hiçbir şey olmayan bir ana bilgisayar değilse, açık bırakmanızı tavsiye ederim.

Sarah G
kaynak
-1

Eğer var yoksa sshdsenin bir işi kendiniz kırmak sürece, ardından da oldukça kasa yüklü.

arlock
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.