suid ફાઇલોથી છુટકારો મેળવવા માટે sudo ને બદલે UNIX સોકેટ પર SSH નો ઉપયોગ કરવો

Red Hat ના ટિમોથી રેવિઅર, Fedora Silverblue અને Fedora Kinoite પ્રોજેક્ટ્સના જાળવણીકારે, sudo ઉપયોગિતાનો ઉપયોગ ટાળવાનો માર્ગ પ્રસ્તાવિત કર્યો, જે વિશેષાધિકારો વધારવા માટે suid બીટનો ઉપયોગ કરે છે. sudo ને બદલે, સામાન્ય વપરાશકર્તા રૂટ અધિકારો સાથે આદેશો ચલાવવા માટે, UNIX સોકેટ દ્વારા સમાન સિસ્ટમ સાથે સ્થાનિક કનેક્શન સાથે ssh ઉપયોગિતાનો ઉપયોગ કરવાનો પ્રસ્તાવ છે અને SSH કી પર આધારિત પરવાનગીઓની ચકાસણી.

sudo ને બદલે ssh નો ઉપયોગ કરવાથી તમે સિસ્ટમ પરના suid પ્રોગ્રામોથી છુટકારો મેળવી શકો છો અને વિતરણોના યજમાન વાતાવરણમાં વિશેષાધિકૃત આદેશોના અમલને સક્ષમ કરો કે જે કન્ટેનર આઇસોલેશન ઘટકોનો ઉપયોગ કરે છે, જેમ કે Fedora Silverblue, Fedora Kinoite, Fedora Sericea અને Fedora Onyx. ઍક્સેસને પ્રતિબંધિત કરવા માટે, યુએસબી ટોકન (ઉદાહરણ તરીકે, યુબીકી) નો ઉપયોગ કરીને સત્તાની પુષ્ટિ વધારાનો ઉપયોગ કરી શકાય છે.

સ્થાનિક યુનિક્સ સોકેટ દ્વારા ઍક્સેસ માટે OpenSSH સર્વર ઘટકોને ગોઠવવાનું ઉદાહરણ (એક અલગ sshd ઉદાહરણ તેની પોતાની રૂપરેખાંકન ફાઇલ સાથે શરૂ કરવામાં આવશે):

/etc/systemd/system/sshd-unix.socket: [Unit] વર્ણન=OpenSSH સર્વર યુનિક્સ સોકેટ દસ્તાવેજીકરણ=man:sshd(8) man:sshd_config(5) [સોકેટ] ListenStream=/run/sshd.sock Accept=yes [ઇન્સ્ટોલ કરો] WantedBy=sockets.target

/ etc / systemd / system /[ઇમેઇલ સુરક્ષિત]: [યુનિટ] વર્ણન=ઓપનSSH પ્રતિ-કનેક્શન સર્વર ડિમન (યુનિક્સ સોકેટ) દસ્તાવેજીકરણ=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [Service] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket

/etc/ssh/sshd_config_unix: # ફક્ત કી પ્રમાણીકરણ છોડે છે પરમિટરૂટલોગિન પ્રતિબંધિત-પાસવર્ડ પાસવર્ડ પ્રમાણીકરણ કોઈ પરમિટEmptyપાસવર્ડ નથી કોઈ GSSAPIA પ્રમાણીકરણ કોઈ # પસંદ કરેલ વપરાશકર્તાઓની ઍક્સેસને પ્રતિબંધિત કરે છે વપરાશકર્તાઓને રુટ એડમિન વપરાશકર્તાનામને મંજૂરી આપે છે # ફક્ત ઉપયોગ છોડે છે. 2 અધિકૃત કીઝફાઇલ .ssh /અધિકૃત_ કી # sftp સબસિસ્ટમ sftp /usr/libexec/openssh/sftp-સર્વરને સક્ષમ કરો

systemd યુનિટને સક્રિય અને લોન્ચ કરો: sudo systemctl deemon-reload sudo systemctl enable — now sshd-unix.socket

તમારી SSH કીને /root/.ssh/authorized_keys માં ઉમેરો

SSH ક્લાયંટ સુયોજિત કરી રહ્યા છીએ.

સોકેટ યુટિલિટી ઇન્સ્ટોલ કરો: sudo dnf install socat

અમે યુનિક્સ સોકેટ દ્વારા એક્સેસ માટે પ્રોક્સી તરીકે સોકેટનો ઉલ્લેખ કરીને /.ssh/config ને પૂરક બનાવીએ છીએ: હોસ્ટ host.local યુઝર રૂટ # કન્ટેનરમાંથી કામ કરવા માટે /run/host/run ને બદલે /run/host/run નો ઉપયોગ કરો ProxyCommand socat - UNIX-CLIENT: / run/ host/run/sshd.sock # SSH કી IdentityFile નો પાથ ~/.ssh/keys/localroot # ઇન્ટરેક્ટિવ શેલ માટે TTY સપોર્ટ સક્ષમ કરો RequestTTY હા # બિનજરૂરી આઉટપુટ દૂર કરો લોગલેવલ શાંત

તેના વર્તમાન સ્વરૂપમાં, વપરાશકર્તા સંચાલક નામ હવે પાસવર્ડ દાખલ કર્યા વિના રૂટ તરીકે આદેશો ચલાવવા માટે સક્ષમ હશે. ઓપરેશન તપાસી રહ્યું છે: $ssh host.local [રુટ ~]#

અમે "ssh host.local" ચલાવવા માટે bash માં sudohost ઉપનામ બનાવીએ છીએ, જે sudo: sudohost() { if [[ ${#} -eq 0 ]]; પછી ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \»${@}\»» fi }

તપાસો: $ sudohost id uid=0(root) gid=0(root) group=0(root)

અમે ઓળખપત્રો ઉમેરીએ છીએ અને દ્વિ-પરિબળ પ્રમાણીકરણને સક્ષમ કરીએ છીએ, જ્યારે યુબીકી યુએસબી ટોકન દાખલ કરવામાં આવે ત્યારે જ રૂટ ઍક્સેસની મંજૂરી આપે છે.

અમે તપાસીએ છીએ કે હાલની Yubikey દ્વારા કયા અલ્ગોરિધમ્સ સપોર્ટેડ છે: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{print $2}'

જો આઉટપુટ 5.2.3 અથવા તેથી વધુ હોય, તો કી જનરેટ કરતી વખતે ed25519-sk નો ઉપયોગ કરો, અન્યથા ecdsa-sk નો ઉપયોગ કરો: ssh-keygen -t ed25519-sk અથવા ssh-keygen -t ecdsa-sk

જાહેર કીને /root/.ssh/authorized_keys માં ઉમેરે છે

sshd રૂપરેખાંકનમાં કી પ્રકાર બંધનકર્તા ઉમેરો: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [ઇમેઇલ સુરક્ષિત],[ઇમેઇલ સુરક્ષિત]

અમે યુનિક્સ સૉકેટની ઍક્સેસને ફક્ત એવા વપરાશકર્તા માટે પ્રતિબંધિત કરીએ છીએ કે જેમની પાસે વિશેષાધિકારો એલિવેટેડ હોઈ શકે (અમારા ઉદાહરણમાં, એડમિન વપરાશકર્તા નામ). /etc/systemd/system/sshd-unix.socket ઉમેરો: [સોકેટ] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

સોર્સ: opennet.ru