アカウント名:
パスワード:
root自体とかrootのパスワードをなくすとか…他はやってるんだし。
sudoは操作ミスで致命的な事態になるのを防ぐにはいいんだけどセキュリティ的には問題ありすぎるsudoできるアカウント(非root)が乗っ取られたらsudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できるあとはクラッカーがその乗っ取ったアカウントにログインして入手したパスワードでsudoすればroot権限で任意のコマンドが実行可能
sudoできるアカウントを乗っ取ったら事実上rootを奪えるので、rootになれるアカウント(sudoできるアカウント)が増える分だけリスクが高まるといえる
ほんとそれ、そのへんの権限周りで他の良い方法が出来ないかなぁ
sudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できる
ただこの表現だとわかってない人は「どうやってrootの所有のファイル/usr/bin/sudoを書き換えるんだよw」みたいな勘違いした反応がありそう
要は本物のsudoの実行ファイル自体はそのまんまでも各ユーザーが陥落した時点でそのユーザーのホームに偽sudoバイナリ置いてPATHいじるなりシェルのaliasなりで偽のsudo使うようにできちゃうのよねんでそれに気づかずに偽のsudoにパスワード入力しちゃってrootの権限がウンタラカンタラって
sudo できるアカウントって、 Windows で言うところの Administrators グループのユーザみたいなものだから、乗っ取られるような運用している時点でだめなんじゃないですかね?
Administrators グループの権限で cmd.exe 置き換えられる!って騒いでるような感じ?
そんな感じだけど、Windowsの場合UACが有るからねぇ……UACの確認画面はすり替える意味すら無いのだけど、それと同等の安全確保がsudoには無いってのがキモかな。# あとコマンドすり替えはsuでも怖い。ログイン等にCTRL+ALT+DEL使うようなプロテクトがCUIでは困難、てのがな……
まぁUACにしても予め特権を得た際に実行する処理を決めておいて、確認画面が出るような操作の際に正規の操作の代わりにそっちの処理でUAC承認取れば攻撃は出来るんだが。
UACはさまざまな手段でバイパス可能で、MSはそもそもセキュリティ機能ではないから仕様って言ってるじゃん。すり替えだったらカレントディレクトリが勝手に検索されて無効にできないし実行可能パーミッションに存在するものがあるにはあるけどまったく運用されていないも同然のWindowsのほうが圧倒的に簡単だ。
特権の利用可否を問うダイアログを表示するに当たり通常外のコンソールに切り替える機能があるか否かってだけの話なんで。最終的な安全の話に持っていってまで反論してもそこに意味はないですよ。単方向でテキストのストリームでコンソール出せる以上、致し方の無い仕様なんだから素直に諦めときなさい。
例えば、攻撃者が runas.exe 置き換えて外部にパスワード流すようにしていたらsudo 置き換えられたのと何も変わらんわUAC が表示されたってそれが正規の操作中に起きた内容ならなんも気づかないでしょ
sudoers や Administrators グループのユーザ取られた時点でアウトだよ
元コメの最後二行がその手のリスクの話なんだが。特権の利用に専用のコンソールが入る事で攻撃に制限が生じるって話であって完全な防御って話では無い。
2段階認証sudoとか?携帯電話やスマホにセキュリティコードのメールが飛んでくるみたいな。
それLinuxのディストリに実装するの?いやFedoraならやってくれるはず!
PAM の sudo に google authenticator とか設定すれば良いんじゃないの?ubuntu では出来ていたような記憶があるけど、Fedora でも似たような感じじゃないかな・・・
通常使用するアカウントはsudoできないようにして、sudo専用アカウント作ればいいんじゃない。そもそもsudoできるアカウントをばらまくから問題なのでは。
sudo専用アカウントがばらまかれるだけかと。
その必要があるなら、もし sudo 使ってなかったら、 かわりに root のパスワードがばらまかれるだけでは?
sudoじゃないユーザで通常作業sudoできるアカウントで管理作業
・・・って普通じゃないの?rootのパスワードなんて必要ないよね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
もうこれを機に (スコア:0)
root自体とかrootのパスワードをなくすとか…他はやってるんだし。
それ逆に危険だよね (スコア:1)
sudoは操作ミスで致命的な事態になるのを防ぐにはいいんだけどセキュリティ的には問題ありすぎる
sudoできるアカウント(非root)が乗っ取られたらsudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できる
あとはクラッカーがその乗っ取ったアカウントにログインして入手したパスワードでsudoすればroot権限で任意のコマンドが実行可能
sudoできるアカウントを乗っ取ったら事実上rootを奪えるので、rootになれるアカウント(sudoできるアカウント)が増える分だけリスクが高まるといえる
Re:それ逆に危険だよね (スコア:2, 参考になる)
ほんとそれ、そのへんの権限周りで他の良い方法が出来ないかなぁ
sudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できる
ただこの表現だとわかってない人は「どうやってrootの所有のファイル/usr/bin/sudoを書き換えるんだよw」みたいな勘違いした反応がありそう
要は本物のsudoの実行ファイル自体はそのまんまでも各ユーザーが陥落した時点でそのユーザーのホームに偽sudoバイナリ置いてPATHいじるなりシェルのaliasなりで偽のsudo使うようにできちゃうのよね
んでそれに気づかずに偽のsudoにパスワード入力しちゃってrootの権限がウンタラカンタラって
Re: (スコア:0)
sudo できるアカウントって、 Windows で言うところの Administrators グループのユーザみたいなものだから、
乗っ取られるような運用している時点でだめなんじゃないですかね?
Administrators グループの権限で cmd.exe 置き換えられる!って騒いでるような感じ?
Re: (スコア:0)
そんな感じだけど、Windowsの場合UACが有るからねぇ……
UACの確認画面はすり替える意味すら無いのだけど、
それと同等の安全確保がsudoには無いってのがキモかな。
# あとコマンドすり替えはsuでも怖い。
ログイン等にCTRL+ALT+DEL使うようなプロテクトがCUIでは困難、てのがな……
まぁUACにしても予め特権を得た際に実行する処理を決めておいて、
確認画面が出るような操作の際に正規の操作の代わりにそっちの処理でUAC承認取れば攻撃は出来るんだが。
Re: (スコア:0)
UACはさまざまな手段でバイパス可能で、MSはそもそもセキュリティ機能ではないから仕様って言ってるじゃん。すり替えだったらカレントディレクトリが勝手に検索されて無効にできないし実行可能パーミッションに存在するものがあるにはあるけどまったく運用されていないも同然のWindowsのほうが圧倒的に簡単だ。
Re: (スコア:0)
特権の利用可否を問うダイアログを表示するに当たり通常外のコンソールに切り替える機能があるか否かってだけの話なんで。
最終的な安全の話に持っていってまで反論してもそこに意味はないですよ。
単方向でテキストのストリームでコンソール出せる以上、致し方の無い仕様なんだから素直に諦めときなさい。
Re: (スコア:0)
例えば、攻撃者が runas.exe 置き換えて外部にパスワード流すようにしていたら
sudo 置き換えられたのと何も変わらんわ
UAC が表示されたってそれが正規の操作中に起きた内容ならなんも気づかないでしょ
sudoers や Administrators グループのユーザ取られた時点でアウトだよ
Re: (スコア:0)
元コメの最後二行がその手のリスクの話なんだが。
特権の利用に専用のコンソールが入る事で攻撃に制限が生じるって話であって完全な防御って話では無い。
Re: (スコア:0)
2段階認証sudoとか?
携帯電話やスマホにセキュリティコードのメールが飛んでくるみたいな。
Re: (スコア:0)
それLinuxのディストリに実装するの?いやFedoraならやってくれるはず!
Re: (スコア:0)
PAM の sudo に google authenticator とか設定すれば良いんじゃないの?
ubuntu では出来ていたような記憶があるけど、Fedora でも似たような感じじゃないかな・・・
Re: (スコア:0)
通常使用するアカウントはsudoできないようにして、sudo専用アカウント作ればいいんじゃない。
そもそもsudoできるアカウントをばらまくから問題なのでは。
Re: (スコア:0)
sudo専用アカウントがばらまかれるだけかと。
Re:それ逆に危険だよね (スコア:1)
その必要があるなら、もし sudo 使ってなかったら、 かわりに root のパスワードがばらまかれるだけでは?
Re: (スコア:0)
sudoじゃないユーザで通常作業
sudoできるアカウントで管理作業
・・・って普通じゃないの?
rootのパスワードなんて必要ないよね?