sudo 대신 UNIX 소켓을 통해 SSH를 사용하여 suid 파일 제거

Fedora Silverblue 및 Fedora Kinoite 프로젝트의 관리자인 Red Hat의 Timothee Ravier는 suid 비트를 사용하여 권한을 상승시키는 sudo 유틸리티 사용을 방지하는 방법을 제안했습니다. sudo 대신 일반 사용자가 루트 권한으로 명령을 실행하려면 UNIX 소켓을 통해 동일한 시스템에 로컬로 연결하고 SSH 키를 기반으로 권한을 확인하는 ssh 유틸리티를 사용하는 것이 좋습니다.

sudo 대신 ssh를 사용하면 시스템에서 suid 프로그램을 제거하고 Fedora Silverblue, Fedora Kinoite, Fedora Sericea 및 Fedora Onyx와 같은 컨테이너 격리 구성 요소를 사용하는 배포판의 호스트 환경에서 권한 있는 명령을 실행할 수 있습니다. 접근을 제한하기 위해 USB 토큰(예: Yubikey)을 이용한 권한 확인을 추가로 사용할 수 있습니다.

로컬 Unix 소켓을 통해 액세스하기 위해 OpenSSH 서버 구성 요소를 구성하는 예(별도의 sshd 인스턴스가 자체 구성 파일로 시작됨):

/etc/systemd/system/sshd-unix.socket: [Unit] Description=OpenSSH 서버 Unix Socket Documentation=man:sshd(8) man:sshd_config(5) [Socket] ListenStream=/run/sshd.sock Accept=yes [설치] WantedBy=sockets.target

/ etc / systemd / system /[이메일 보호]: [단위] 설명=OpenSSH 연결별 서버 데몬(Unix 소켓) Documentation=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [Service] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket

/etc/ssh/sshd_config_unix: # 키 인증만 남깁니다. PermitRootLoginhibit-password PasswordAuthentication no PermitEmptyPasswords no GSSAPIAuthentication no # 선택한 사용자에 대한 액세스를 제한합니다. AllowUsers root adminusername # .ssh/authorized_keys 사용만 남깁니다(.ssh/authorized_keys2 AuthorizedKeysFile .ssh 제외). /authorized_ 키 # sftp 하위 시스템 활성화 sftp /usr/libexec/openssh/sftp-server

systemd 장치를 활성화하고 시작합니다. sudo systemctl daemon-reload sudo systemctl 활성화 - 이제 sshd-unix.socket

/root/.ssh/authorized_keys에 SSH 키를 추가하세요.

SSH 클라이언트를 설정합니다.

socat 유틸리티 설치: sudo dnf install socat

UNIX 소켓을 통한 액세스를 위한 프록시로 socat를 지정하여 /.ssh/config를 보완합니다. 호스트 호스트 호스트.local 사용자 루트 # 컨테이너에서 작업하려면 /run 대신 /run/host/run을 사용합니다. ProxyCommand socat - UNIX-CLIENT: / run/host/run/sshd.sock # SSH 키 경로 IdentityFile ~/.ssh/keys/localroot # 대화형 셸에 대한 TTY 지원 활성화 RequestTTY yes # 불필요한 출력 제거 LogLevel QUIET

현재 형식에서는 이제 adminusername 사용자가 비밀번호를 입력하지 않고도 루트로 명령을 실행할 수 있습니다. 동작 확인: $ ssh host.local [root ~]#

sudo: sudohost() { if [[ ${#} -eq 0 ]]; 그런 다음 ssh 호스트.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh 호스트.local "cd \"${PWD}\"; exec \»${@}\»» fi }

확인: $ sudohost id uid=0(root) gid=0(root) groups=0(root)

자격 증명을 추가하고 XNUMX단계 인증을 활성화하여 Yubikey USB 토큰이 삽입된 경우에만 루트 액세스를 허용합니다.

기존 Yubikey에서 어떤 알고리즘이 지원되는지 확인합니다. lsusb -v 2>/dev/null | grep -A2 유비코 | grep "bcdDevice" | awk '{인쇄 $2}'

출력이 5.2.3 이상인 경우 키를 생성할 때 ed25519-sk를 사용하고, 그렇지 않으면 ecdsa-sk를 사용합니다. ssh-keygen -t ed25519-sk 또는 ssh-keygen -t ecdsa-sk

/root/.ssh/authorized_keys에 공개 키를 추가합니다.

sshd 구성에 키 유형 바인딩을 추가합니다: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [이메일 보호],[이메일 보호]

Unix 소켓에 대한 액세스를 상승된 권한을 가질 수 있는 사용자(예: adminusername)로 제한합니다. /etc/systemd/system/sshd-unix.socket에 다음을 추가합니다: [Socket] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

출처 : opennet.ru