アカウント名:
パスワード:
root自体とかrootのパスワードをなくすとか…他はやってるんだし。
sudoは操作ミスで致命的な事態になるのを防ぐにはいいんだけどセキュリティ的には問題ありすぎるsudoできるアカウント(非root)が乗っ取られたらsudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できるあとはクラッカーがその乗っ取ったアカウントにログインして入手したパスワードでsudoすればroot権限で任意のコマンドが実行可能
sudoできるアカウントを乗っ取ったら事実上rootを奪えるので、rootになれるアカウント(sudoできるアカウント)が増える分だけリスクが高まるといえる
ほんとそれ、そのへんの権限周りで他の良い方法が出来ないかなぁ
sudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できる
ただこの表現だとわかってない人は「どうやってrootの所有のファイル/usr/bin/sudoを書き換えるんだよw」みたいな勘違いした反応がありそう
要は本物のsudoの実行ファイル自体はそのまんまでも各ユーザーが陥落した時点でそのユーザーのホームに偽sudoバイナリ置いてPATHいじるなりシェルのaliasなりで偽のsudo使うようにできちゃうのよねんでそれに気づかずに偽のsudoにパスワード入力しちゃってrootの権限がウンタラカンタラって
sudo できるアカウントって、 Windows で言うところの Administrators グループのユーザみたいなものだから、乗っ取られるような運用している時点でだめなんじゃないですかね?
Administrators グループの権限で cmd.exe 置き換えられる!って騒いでるような感じ?
そんな感じだけど、Windowsの場合UACが有るからねぇ……UACの確認画面はすり替える意味すら無いのだけど、それと同等の安全確保がsudoには無いってのがキモかな。# あとコマンドすり替えはsuでも怖い。ログイン等にCTRL+ALT+DEL使うようなプロテクトがCUIでは困難、てのがな……
まぁUACにしても予め特権を得た際に実行する処理を決めておいて、確認画面が出るような操作の際に正規の操作の代わりにそっちの処理でUAC承認取れば攻撃は出来るんだが。
UACはさまざまな手段でバイパス可能で、MSはそもそもセキュリティ機能ではないから仕様って言ってるじゃん。すり替えだったらカレントディレクトリが勝手に検索されて無効にできないし実行可能パーミッションに存在するものがあるにはあるけどまったく運用されていないも同然のWindowsのほうが圧倒的に簡単だ。
特権の利用可否を問うダイアログを表示するに当たり通常外のコンソールに切り替える機能があるか否かってだけの話なんで。最終的な安全の話に持っていってまで反論してもそこに意味はないですよ。単方向でテキストのストリームでコンソール出せる以上、致し方の無い仕様なんだから素直に諦めときなさい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
もうこれを機に (スコア:0)
root自体とかrootのパスワードをなくすとか…他はやってるんだし。
それ逆に危険だよね (スコア:1)
sudoは操作ミスで致命的な事態になるのを防ぐにはいいんだけどセキュリティ的には問題ありすぎる
sudoできるアカウント(非root)が乗っ取られたらsudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できる
あとはクラッカーがその乗っ取ったアカウントにログインして入手したパスワードでsudoすればroot権限で任意のコマンドが実行可能
sudoできるアカウントを乗っ取ったら事実上rootを奪えるので、rootになれるアカウント(sudoできるアカウント)が増える分だけリスクが高まるといえる
Re: (スコア:2, 参考になる)
ほんとそれ、そのへんの権限周りで他の良い方法が出来ないかなぁ
sudoコマンド自体が不正なものに書き換えて、入力されたパスワードをクラッカーに送信するように改変できる
ただこの表現だとわかってない人は「どうやってrootの所有のファイル/usr/bin/sudoを書き換えるんだよw」みたいな勘違いした反応がありそう
要は本物のsudoの実行ファイル自体はそのまんまでも各ユーザーが陥落した時点でそのユーザーのホームに偽sudoバイナリ置いてPATHいじるなりシェルのaliasなりで偽のsudo使うようにできちゃうのよね
んでそれに気づかずに偽のsudoにパスワード入力しちゃってrootの権限がウンタラカンタラって
Re: (スコア:0)
sudo できるアカウントって、 Windows で言うところの Administrators グループのユーザみたいなものだから、
乗っ取られるような運用している時点でだめなんじゃないですかね?
Administrators グループの権限で cmd.exe 置き換えられる!って騒いでるような感じ?
Re: (スコア:0)
そんな感じだけど、Windowsの場合UACが有るからねぇ……
UACの確認画面はすり替える意味すら無いのだけど、
それと同等の安全確保がsudoには無いってのがキモかな。
# あとコマンドすり替えはsuでも怖い。
ログイン等にCTRL+ALT+DEL使うようなプロテクトがCUIでは困難、てのがな……
まぁUACにしても予め特権を得た際に実行する処理を決めておいて、
確認画面が出るような操作の際に正規の操作の代わりにそっちの処理でUAC承認取れば攻撃は出来るんだが。
Re: (スコア:0)
UACはさまざまな手段でバイパス可能で、MSはそもそもセキュリティ機能ではないから仕様って言ってるじゃん。すり替えだったらカレントディレクトリが勝手に検索されて無効にできないし実行可能パーミッションに存在するものがあるにはあるけどまったく運用されていないも同然のWindowsのほうが圧倒的に簡単だ。
Re:それ逆に危険だよね (スコア:0)
特権の利用可否を問うダイアログを表示するに当たり通常外のコンソールに切り替える機能があるか否かってだけの話なんで。
最終的な安全の話に持っていってまで反論してもそこに意味はないですよ。
単方向でテキストのストリームでコンソール出せる以上、致し方の無い仕様なんだから素直に諦めときなさい。