Користење на SSH преку приклучок UNIX наместо sudo за да се ослободите од suid датотеките

Тимоти Равиер од Red Hat, одржувач на проектите Fedora Silverblue и Fedora Kinoite, предложи начин да се избегне користењето на sudo алатката, која го користи битот suid за да ги зголеми привилегиите. Наместо sudo, за нормален корисник да извршува команди со root права, се предлага да се користи алатката ssh со локално поврзување со истиот систем преку приклучок UNIX и проверка на дозволите врз основа на SSH клучеви.

Користењето ssh наместо sudo ви овозможува да се ослободите од програмите suid на системот и да овозможите извршување на привилегирани команди во околината домаќин на дистрибуции кои користат компоненти за изолација на контејнери, како што се Fedora Silverblue, Fedora Kinoite, Fedora Sericea и Fedora Onyx. За да се ограничи пристапот, може дополнително да се користи потврда за овластување со помош на USB токен (на пример, Yubikey).

Пример за конфигурирање на компоненти на серверот OpenSSH за пристап преку локален Unix приклучок (посебен sshd пример ќе биде лансиран со сопствена конфигурациска датотека):

/etc/systemd/system/sshd-unix.socket: [Unit] Description=OpenSSH Server Unix Socket Documentation=man:sshd(8) man:sshd_config(5) [Socket] ListenStream=/run/sshd.sock Accept=yes [Инсталирај] WantedBy=sockets.target

/ итн / systemd / систем /[заштитена по е-пошта]: [Единица] Опис=OpenSSH за серверски демон за поврзување (приклучок за Unix) Documentation=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [Услуга] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket

/etc/ssh/sshd_config_unix: # Остава само автентикација на клучот PermitRootLogin забрани-лозинка PasswordAuthentication без PermitEmptyPasswords без GSSAPIAавтентикација нема # го ограничува пристапот до избраните корисници AllowUsers root adminusername # Ја остава само употребата на root. 2 AuthorizedKeysFile .ssh /authorized_ keys # enable sftp Подсистем sftp /usr/libexec/openssh/sftp-сервер

Активирајте ја и стартувајте ја системската единица: sudo systemctl daemon-reload sudo systemctl enable — now sshd-unix.socket

Додајте го вашиот SSH клуч во /root/.ssh/authorized_keys

Поставување на клиентот SSH.

Инсталирајте ја алатката socat: sudo dnf install socat

Ние го дополнуваме /.ssh/config со наведување на socat како прокси за пристап преку приклучок за UNIX: Host host.local Кориснички корен # Користете /run/host/run наместо /run за работа од контејнери ProxyCommand socat - UNIX-CLIENT: / run/ host/run/sshd.sock # Патека до копчето SSH IdentityFile ~/.ssh/keys/localroot # Овозможи поддршка за TTY за интерактивната школка RequestTTY да # Отстрани непотребен излез LogLevel QUIET

Во сегашната форма, корисничкото администраторско име сега ќе може да извршува команди како root без да внесува лозинка. Проверка на операцијата: $ ssh host.local [root ~]#

Ние создаваме алијас sudohost во bash за да се изврши „ssh host.local“, слично на sudo: sudohost() { if [[ ${#} -eq 0 ]]; потоа ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \»${@}\»» fi }

Проверете: $ sudohost id uid=0(root) gid=0(root) групи=0(root)

Додаваме акредитиви и овозможуваме автентикација со два фактори, дозволувајќи пристап до root само кога е вметнат Yubikey USB токен.

Проверуваме кои алгоритми се поддржани од постоечкиот Yubikey: lsusb -v 2>/dev/null | grep -A2 Yubico | grep „bcdDevice“ | awk „{print $2}“

Ако излезот е 5.2.3 или поголем, користете ed25519-sk кога генерирате клучеви, инаку користете ecdsa-sk: ssh-keygen -t ed25519-sk или ssh-keygen -t ecdsa-sk

Го додава јавниот клуч на /root/.ssh/authorized_keys

Додајте обврзувачки тип на клуч за конфигурацијата sshd: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [заштитена по е-пошта],[заштитена по е-пошта]

Го ограничуваме пристапот до приклучокот Unix само на корисникот кој може да има зголемени привилегии (во нашиот пример, име на администратор). Во /etc/systemd/system/sshd-unix.socket додадете: [Socket] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

Извор: opennet.ru