ការប្រើ SSH លើរន្ធ UNIX ជំនួសឱ្យ sudo ដើម្បីកម្ចាត់ឯកសារ suid

Timothee Ravier មកពី Red Hat ដែលជាអ្នកថែរក្សាគម្រោង Fedora Silverblue និង Fedora Kinoite បានស្នើវិធីដើម្បីជៀសវាងការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ sudo ដែលប្រើ suid bit ដើម្បីបង្កើនសិទ្ធិ។ ជំនួសឱ្យ sudo សម្រាប់អ្នកប្រើប្រាស់ធម្មតាដើម្បីប្រតិបត្តិពាក្យបញ្ជាដែលមានសិទ្ធិជា root វាត្រូវបានស្នើឱ្យប្រើឧបករណ៍ប្រើប្រាស់ ssh ជាមួយនឹងការតភ្ជាប់មូលដ្ឋានទៅប្រព័ន្ធដូចគ្នាតាមរយៈរន្ធ UNIX និងការផ្ទៀងផ្ទាត់ការអនុញ្ញាតដោយផ្អែកលើគ្រាប់ចុច SSH ។

ការប្រើ ssh ជំនួសឱ្យ sudo អនុញ្ញាតឱ្យអ្នកកម្ចាត់កម្មវិធី suid នៅលើប្រព័ន្ធ និងបើកដំណើរការការប្រតិបត្តិនៃពាក្យបញ្ជាដែលមានសិទ្ធិនៅក្នុងបរិយាកាសម៉ាស៊ីននៃការចែកចាយដែលប្រើសមាសធាតុដាច់ដោយឡែកកុងតឺន័រដូចជា Fedora Silverblue, Fedora Kinoite, Fedora Sericea និង Fedora Onyx ។ ដើម្បីរឹតបន្តឹងការចូលប្រើ ការបញ្ជាក់ពីសិទ្ធិអំណាចដោយប្រើសញ្ញាសម្ងាត់ USB (ឧទាហរណ៍ Yubikey) អាចត្រូវបានប្រើបន្ថែម។

ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធសមាសភាគម៉ាស៊ីនមេ OpenSSH សម្រាប់ការចូលប្រើតាមរយៈរន្ធ Unix មូលដ្ឋាន (ឧទាហរណ៍ sshd ដាច់ដោយឡែកនឹងត្រូវបានបើកដំណើរការជាមួយឯកសារកំណត់រចនាសម្ព័ន្ធរបស់វាផ្ទាល់)៖

/etc/systemd/system/sshd-unix.socket: [Unit] Description=OpenSSH Server Unix Socket Documentation=man:sshd(8) man:sshd_config(5) [Socket] ListenStream=/run/sshd.sock Accept=yes [ដំឡើង] WantedBy=sockets.target

/ etc / systemd / system /[អ៊ីមែលការពារ]: [Unit] Description=OpenSSH per-connection server daemon (Unix socket) Documentation=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [សេវាកម្ម] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket

/etc/ssh/sshd_config_unix: # ទុកតែការផ្ទៀងផ្ទាត់កូនសោ PermitRootLogin ហាមឃាត់-password PasswordAuthentication no PermitEmptyPasswords no GSSAPIAuthentication no # ដាក់កម្រិតការចូលប្រើអ្នកប្រើប្រាស់ដែលបានជ្រើសរើស AllowUsers root adminusername # ទុកតែការប្រើប្រាស់ .skey/Authentication/authorized ។ .ssh /authorized_ keys # បើក sftp ប្រព័ន្ធរង sftp /usr/libexec/openssh/sftp-server

ធ្វើឱ្យសកម្ម និងបើកដំណើរការឯកតាប្រព័ន្ធ៖ sudo systemctl daemon-reload sudo systemctl បើកដំណើរការ —ឥឡូវនេះ sshd-unix.socket

បន្ថែមសោ SSH របស់អ្នកទៅ /root/.ssh/authorized_keys

ការដំឡើងម៉ាស៊ីនភ្ញៀវ SSH ។

ដំឡើងឧបករណ៍ប្រើប្រាស់ socat៖ sudo dnf ដំឡើង socat

យើងបំពេញបន្ថែម /.ssh/config ដោយបញ្ជាក់ socat ជាប្រូកស៊ីសម្រាប់ការចូលប្រើតាមរយៈរន្ធយូនីក៖ ម៉ាស៊ីន host.local User root # ប្រើ /run/host/run ជំនួសឱ្យ /run to work from containers ProxyCommand socat - UNIX-CLIENT: / run/host/run/sshd.sock # ផ្លូវទៅកាន់កូនសោ SSH IdentityFile ~/.ssh/keys/localroot # បើកដំណើរការជំនួយ TTY សម្រាប់សែលអន្តរកម្ម RequestTTY yes # យកចេញនូវលទ្ធផលដែលមិនចាំបាច់ LogLevel QUIET

នៅក្នុងទម្រង់បច្ចុប្បន្នរបស់វា ឈ្មោះអ្នកគ្រប់គ្រងអ្នកប្រើប្រាស់នឹងអាចប្រតិបត្តិពាក្យបញ្ជាជា root ដោយមិនចាំបាច់បញ្ចូលពាក្យសម្ងាត់។ កំពុងពិនិត្យមើលប្រតិបត្តិការ៖ $ssh host.local [root ~]#

យើងបង្កើតឈ្មោះក្លែងក្លាយ sudohost ជា bash ដើម្បីដំណើរការ “ssh host.local” ដែលស្រដៀងទៅនឹង sudo: sudohost() { if [[${#} -eq 0 ]]; បន្ទាប់មក ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \»${@}\»» fi }

ពិនិត្យ៖ $ sudohost id uid=0(root) gid=0(root) groups=0(root)

យើងបន្ថែមព័ត៌មានសម្ងាត់ និងបើកដំណើរការការផ្ទៀងផ្ទាត់ពីរកត្តា ដែលអនុញ្ញាតឱ្យចូលប្រើជា root តែនៅពេលបញ្ចូលនិមិត្តសញ្ញា Yubikey USB ប៉ុណ្ណោះ។

យើងពិនិត្យមើលថាតើក្បួនដោះស្រាយមួយណាត្រូវបានគាំទ្រដោយ Yubikey ដែលមានស្រាប់៖ lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{បោះពុម្ព $2}'

ប្រសិនបើលទ្ធផលគឺ 5.2.3 ឬធំជាងនេះ សូមប្រើ ed25519-sk នៅពេលបង្កើតសោ បើមិនដូច្នោះទេ ប្រើ ecdsa-sk: ssh-keygen -t ed25519-sk ឬ ssh-keygen -t ecdsa-sk

បន្ថែមសោសាធារណៈទៅ /root/.ssh/authorized_keys

បន្ថែមប្រភេទសោដែលចងទៅការកំណត់រចនាសម្ព័ន្ធ sshd៖ /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [អ៊ីមែលការពារ],[អ៊ីមែលការពារ]

យើងដាក់កម្រិតការចូលប្រើរន្ធ Unix សម្រាប់តែអ្នកប្រើប្រាស់ដែលអាចមានសិទ្ធិកើនឡើង (ក្នុងឧទាហរណ៍របស់យើង ឈ្មោះអ្នកគ្រប់គ្រង)។ នៅក្នុង /etc/systemd/system/sshd-unix.socket បន្ថែម៖ [Socket] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

ប្រភព: opennet.ru