suid ফাইলগুলি থেকে পরিত্রাণ পেতে sudo এর পরিবর্তে একটি UNIX সকেটের উপর SSH ব্যবহার করা

Red Hat থেকে Timothee Ravier, ফেডোরা সিলভারব্লু এবং ফেডোরা কিনোইট প্রজেক্টের একজন রক্ষণাবেক্ষণকারী, sudo ইউটিলিটি ব্যবহার এড়াতে একটি উপায় প্রস্তাব করেছেন, যা সুইড বিট ব্যবহার করে বিশেষ সুবিধা বৃদ্ধি করতে। sudo-এর পরিবর্তে, একজন সাধারণ ব্যবহারকারীর রুট অধিকার সহ কমান্ডগুলি চালানোর জন্য, UNIX সকেটের মাধ্যমে একই সিস্টেমে স্থানীয় সংযোগ সহ ssh ইউটিলিটি ব্যবহার করার এবং SSH কীগুলির উপর ভিত্তি করে অনুমতি যাচাই করার প্রস্তাব করা হয়েছে।

sudo-এর পরিবর্তে ssh ব্যবহার করার ফলে আপনি সিস্টেমে suid প্রোগ্রামগুলি থেকে মুক্তি পেতে পারেন এবং ফেডোরা সিলভারব্লু, ফেডোরা কিনোইট, ফেডোরা সেরিসিয়া এবং ফেডোরা অনিক্সের মতো কনটেইনার আইসোলেশন উপাদানগুলি ব্যবহার করে এমন বিতরণের হোস্ট পরিবেশে বিশেষাধিকারপ্রাপ্ত কমান্ডগুলি কার্যকর করতে পারবেন। অ্যাক্সেস সীমাবদ্ধ করতে, একটি USB টোকেন ব্যবহার করে কর্তৃপক্ষের নিশ্চিতকরণ (উদাহরণস্বরূপ, Yubikey) অতিরিক্ত ব্যবহার করা যেতে পারে।

একটি স্থানীয় ইউনিক্স সকেটের মাধ্যমে অ্যাক্সেসের জন্য OpenSSH সার্ভার উপাদানগুলি কনফিগার করার একটি উদাহরণ (একটি পৃথক sshd উদাহরণ তার নিজস্ব কনফিগারেশন ফাইলের সাথে চালু করা হবে):

/etc/systemd/system/sshd-unix.socket: [Unit] বর্ণনা=OpenSSH সার্ভার ইউনিক্স সকেট ডকুমেন্টেশন=man:sshd(8) man:sshd_config(5) [সকেট] ListenStream=/run/sshd.sock Accept=yes [ইনস্টল] WantedBy=sockets.target

জন্য / etc / systemd হল / সিস্টেম /[ইমেল সুরক্ষিত]: [ইউনিট] বর্ণনা=OpenSSH প্রতি-সংযোগ সার্ভার ডেমন (ইউনিক্স সকেট) ডকুমেন্টেশন=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [Service] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=সকেট

/etc/ssh/sshd_config_unix: # শুধুমাত্র কী প্রমাণীকরণ ছাড়ে পারমিটরুটলগইন নিষেধ-পাসওয়ার্ড পাসওয়ার্ড প্রমাণীকরণ কোন পারমিট ইম্পটিপাসওয়ার্ড নেই GSSAPIA প্রমাণীকরণ নেই # নির্বাচিত ব্যবহারকারীদের অ্যাক্সেস সীমাবদ্ধ করে ব্যবহারকারীদের রুট প্রশাসক নাম # শুধুমাত্র ত্যাগ করে। 2 অনুমোদিত কী ফাইল .ssh /অনুমোদিত_কী # sftp সাবসিস্টেম sftp /usr/libexec/openssh/sftp-সার্ভার সক্ষম করুন

সিস্টেমড ইউনিট সক্রিয় এবং চালু করুন: sudo systemctl deemon-reload sudo systemctl enable — now sshd-unix.socket

/root/.ssh/authorized_keys-এ আপনার SSH কী যোগ করুন

SSH ক্লায়েন্ট সেট আপ করা হচ্ছে।

socat ইউটিলিটি ইনস্টল করুন: sudo dnf socat ইনস্টল করুন

আমরা একটি UNIX সকেটের মাধ্যমে অ্যাক্সেসের জন্য একটি প্রক্সি হিসাবে socat নির্দিষ্ট করে /.ssh/config পরিপূরক করি: হোস্ট host.local ব্যবহারকারী রুট # কন্টেইনারগুলি থেকে কাজ করতে /run এর পরিবর্তে /run/host/run ব্যবহার করুন ProxyCommand socat - UNIX-CLIENT: / run/ host/run/sshd.sock # SSH কী আইডেন্টিটিফাইলের পথ ~/.ssh/keys/localroot # ইন্টারেক্টিভ শেলের জন্য TTY সমর্থন সক্ষম করুন অনুরোধটিটিওয়াই হ্যাঁ # অপ্রয়োজনীয় আউটপুট সরান লগলেভেল শান্ত

বর্তমান ফর্মে, ব্যবহারকারীর প্রশাসক নাম এখন পাসওয়ার্ড না দিয়েই রুট হিসেবে কমান্ড চালাতে সক্ষম হবে। অপারেশন চেক করা হচ্ছে: $ssh host.local [root ~]#

আমরা "ssh host.local" চালানোর জন্য bash-এ একটি sudohost alias তৈরি করি, sudo এর মতো: sudohost() { if [[ ${#} -eq 0 ]]; তারপর ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \»${@}\»» fi }

চেক করুন: $ sudohost id uid=0(root) gid=0(root) group=0(root)

আমরা শংসাপত্র যোগ করি এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করি, যখন একটি Yubikey USB টোকেন ঢোকানো হয় তখনই রুট অ্যাক্সেসের অনুমতি দেয়।

বিদ্যমান Yubikey দ্বারা কোন অ্যালগরিদমগুলি সমর্থিত তা আমরা পরীক্ষা করি: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{প্রিন্ট $2}'

আউটপুট 5.2.3 বা তার বেশি হলে, কী তৈরি করার সময় ed25519-sk ব্যবহার করুন, অন্যথায় ecdsa-sk ব্যবহার করুন: ssh-keygen -t ed25519-sk বা ssh-keygen -t ecdsa-sk

/root/.ssh/authorized_keys-এ সর্বজনীন কী যোগ করে

sshd কনফিগারেশনে একটি কী টাইপ বাইন্ডিং যোগ করুন: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [ইমেল সুরক্ষিত],[ইমেল সুরক্ষিত]

আমরা ইউনিক্স সকেটের অ্যাক্সেসকে শুধুমাত্র সেই ব্যবহারকারীদের জন্য সীমাবদ্ধ করি যারা বিশেষাধিকার উন্নত করতে পারে (আমাদের উদাহরণে, প্রশাসক নাম)। /etc/systemd/system/sshd-unix.socket এ যোগ করুন: [সকেট] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

উত্স: opennet.ru