SSH-ის გამოყენება UNIX სოკეტზე sudo-ს ნაცვლად suid ფაილების მოსაშორებლად

ტიმოტი რავიერმა Red Hat-დან, Fedora Silverblue და Fedora Kinoite პროექტების შემსრულებელმა, შესთავაზა გზა, რათა თავიდან აიცილოთ sudo უტილიტა, რომელიც იყენებს suid bit-ს პრივილეგიების გასაძლიერებლად. სუდოს ნაცვლად, ნორმალური მომხმარებლისთვის, რომ შეასრულოს ბრძანებები root უფლებებით, შემოთავაზებულია გამოიყენოს ssh უტილიტა იმავე სისტემასთან ლოკალური კავშირით UNIX სოკეტის მეშვეობით და SSH კლავიშებზე დაფუძნებული ნებართვების გადამოწმება.

sudo-ს ნაცვლად ssh-ის გამოყენება საშუალებას გაძლევთ თავიდან აიცილოთ suid პროგრამები სისტემაში და ჩართოთ პრივილეგირებული ბრძანებების შესრულება დისტრიბუციის მასპინძელ გარემოში, რომელიც იყენებს კონტეინერის იზოლაციის კომპონენტებს, როგორიცაა Fedora Silverblue, Fedora Kinoite, Fedora Sericea და Fedora Onyx. წვდომის შეზღუდვის მიზნით, უფლებამოსილების დადასტურება USB ნიშნის გამოყენებით (მაგალითად, Yubikey) შეიძლება დამატებით იქნას გამოყენებული.

OpenSSH სერვერის კომპონენტების კონფიგურაციის მაგალითი ადგილობრივი Unix სოკეტის საშუალებით წვდომისთვის (ცალკე sshd ინსტანცია გაეშვება საკუთარი კონფიგურაციის ფაილით):

/etc/systemd/system/sshd-unix.socket: [ერთეული] აღწერა=OpenSSH სერვერის Unix სოკეტი Documentation=man:sshd(8) man:sshd_config(5) [Socket] ListenStream=/run/sshd.sock Accept=yes [Install] WantedBy=sockets.target

/ etc / systemd / system /[ელ.ფოსტით დაცულია]: [ერთეული] აღწერა=OpenSSH თითო კავშირი სერვერის დემონი (Unix სოკეტი) Documentation=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [სერვისი] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=სოკეტი

/etc/ssh/sshd_config_unix: # ტოვებს მხოლოდ გასაღების ავთენტიფიკაციას PermitRootLogin აკრძალავს-პაროლს PasswordAuthentication არა PermitEmptyPasswords არა GSSAPIAავთენტიფიკაცია არა # ზღუდავს წვდომას შერჩეულ მომხმარებლებს AllowUsers root adminusername. 2 AuthorizedKeysFile .ssh /authorized_ keys # ჩართეთ sftp ქვესისტემა sftp /usr/libexec/openssh/sftp-server

გაააქტიურეთ და გაუშვით systemd ერთეული: sudo systemctl daemon-reload sudo systemctl ჩართეთ — ახლა sshd-unix.socket

დაამატეთ თქვენი SSH გასაღები /root/.ssh/authorized_keys

SSH კლიენტის დაყენება.

დააინსტალირეთ socat უტილიტა: sudo dnf install socat

ჩვენ ვავსებთ /.ssh/config socat-ის, როგორც პროქსის მითითებით UNIX სოკეტის მეშვეობით წვდომისთვის: Host host.local User root # გამოიყენეთ /run/host/run ნაცვლად /run კონტეინერებიდან სამუშაოდ ProxyCommand socat - UNIX-CLIENT: / run/ host/run/sshd.sock # გზა SSH გასაღებისკენ IdentityFile ~/.ssh/keys/localroot # ჩართეთ TTY მხარდაჭერა ინტერაქტიული გარსისთვის RequestTTY დიახ # წაშალეთ არასაჭირო გამომავალი LogLevel QUIET

მისი ამჟამინდელი ფორმით, მომხმარებლის ადმინისტრატორის სახელი ახლა შეძლებს შეასრულოს ბრძანებები როგორც root, პაროლის შეყვანის გარეშე. ოპერაციის შემოწმება: $ ssh host.local [root ~]#

ჩვენ ვქმნით sudohost მეტსახელს bash-ში, რათა გაუშვას “ssh host.local”, მსგავსი sudo: sudohost() { if [[ ${#} -eq 0 ]]; შემდეგ ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \»${@}\»» fi }

შეამოწმეთ: $ sudohost id uid=0(root) gid=0(root) ჯგუფები=0(root)

ჩვენ ვამატებთ რწმუნებათა სიგელებს და ვააქტიურებთ ორფაქტორიან ავთენტიფიკაციას, რაც საშუალებას იძლევა root წვდომა მხოლოდ Yubikey USB ჟეტონის ჩასმისას.

ჩვენ ვამოწმებთ, რომელ ალგორითმებს უჭერს მხარს არსებული Yubikey: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk "{print $2}"

თუ გამომავალი არის 5.2.3 ან მეტი, გამოიყენეთ ed25519-sk გასაღებების გენერირებისას, წინააღმდეგ შემთხვევაში გამოიყენეთ ecdsa-sk: ssh-keygen -t ed25519-sk ან ssh-keygen -t ecdsa-sk

ამატებს საჯარო გასაღებს /root/.ssh/authorized_keys-ს

sshd-ის კონფიგურაციაში კლავიშის დამაკავშირებელი ტიპის დამატება: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [ელ.ფოსტით დაცულია],[ელ.ფოსტით დაცულია]

ჩვენ ვუზღუდავთ წვდომას Unix სოკეტზე მხოლოდ იმ მომხმარებლისთვის, რომელსაც შეუძლია ამაღლებული პრივილეგიები (ჩვენს მაგალითში, ადმინისტრატორის სახელი). /etc/systemd/system/sshd-unix.socket-ში დაამატეთ: [Socket] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

წყარო: opennet.ru