suid फाइल्सपासून मुक्त होण्यासाठी sudo ऐवजी UNIX सॉकेटवर SSH वापरणे

Red Hat मधील Timothee Ravier, Fedora Silverblue आणि Fedora Kinoite प्रकल्पांचे देखभाल करणारे, sudo युटिलिटीचा वापर टाळण्याचा एक मार्ग प्रस्तावित केला आहे, जे विशेषाधिकार वाढवण्यासाठी suid बिट वापरते. sudo च्या ऐवजी, सामान्य वापरकर्त्याने रूट अधिकारांसह कमांड कार्यान्वित करण्यासाठी, UNIX सॉकेटद्वारे समान प्रणालीशी स्थानिक कनेक्शनसह ssh उपयुक्तता वापरणे आणि SSH कीच्या आधारे परवानग्यांचे सत्यापन करणे प्रस्तावित आहे.

sudo ऐवजी ssh चा वापर केल्याने तुम्हाला सिस्टीमवरील suid प्रोग्राम्सपासून मुक्ती मिळते आणि Fedora Silverblue, Fedora Kinoite, Fedora Sericea आणि Fedora Onyx सारखे कंटेनर आयसोलेशन घटक वापरणार्‍या वितरणाच्या होस्ट वातावरणात विशेषाधिकार प्राप्त आदेशांची अंमलबजावणी सक्षम करते. प्रवेश प्रतिबंधित करण्यासाठी, यूएसबी टोकन (उदाहरणार्थ, युबिकी) वापरून प्राधिकरणाची पुष्टी अतिरिक्तपणे वापरली जाऊ शकते.

स्थानिक युनिक्स सॉकेटद्वारे प्रवेशासाठी OpenSSH सर्व्हर घटक कॉन्फिगर करण्याचे उदाहरण (स्वत:च्या कॉन्फिगरेशन फाइलसह स्वतंत्र sshd उदाहरण लाँच केले जाईल):

/etc/systemd/system/sshd-unix.socket: [Unit] वर्णन=OpenSSH सर्व्हर युनिक्स सॉकेट डॉक्युमेंटेशन=man:sshd(8) man:sshd_config(5) [सॉकेट] ListenStream=/run/sshd.sock Accept=yes [इंस्टॉल करा] WantedBy=sockets.target

/ इत्यादी / प्रणाली / प्रणाली /[ईमेल संरक्षित]: [युनिट] वर्णन=ओपनएसएसएच प्रति-कनेक्शन सर्व्हर डिमन (युनिक्स सॉकेट) डॉक्युमेंटेशन=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [सेवा] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket

/etc/ssh/sshd_config_unix: # फक्त की प्रमाणीकरण सोडते परमिटरूटलॉगिन प्रतिबंधित-पासवर्ड पासवर्ड प्रमाणीकरण नाही परमिटEmptyPasswords नाही GSSAPIA प्रमाणीकरण नाही # निवडलेल्या वापरकर्त्यांना प्रवेश प्रतिबंधित करते वापरकर्त्यांना अनुमती देते रूट प्रशासकनाव # फक्त वापरण्यासाठी सोडते. 2 अधिकृत कीज फाइल .ssh /अधिकृत_की # sftp सबसिस्टम sftp /usr/libexec/openssh/sftp-सर्व्हर सक्षम करा

systemd युनिट सक्रिय आणि लाँच करा: sudo systemctl deemon-reload sudo systemctl enable —आता sshd-unix.socket

तुमची SSH की /root/.ssh/authorized_keys वर जोडा

SSH क्लायंट सेट करत आहे.

socat युटिलिटी स्थापित करा: sudo dnf socat स्थापित करा

आम्ही /.ssh/config ला UNIX सॉकेटद्वारे प्रवेशासाठी प्रॉक्सी म्हणून निर्दिष्ट करून /.ssh/config पुरवतो: होस्ट host.local वापरकर्ता रूट # कंटेनरमधून काम करण्यासाठी /रन ऐवजी /run/host/run वापरा ProxyCommand socat - UNIX-CLIENT: / run/ host/run/sshd.sock # SSH की IdentityFile चा मार्ग ~/.ssh/keys/localroot # इंटरएक्टिव्ह शेलसाठी TTY समर्थन सक्षम करा RequestTTY होय # अनावश्यक आउटपुट काढा LogLevel QUIET

सध्याच्या फॉर्ममध्ये, वापरकर्ता प्रशासक नाव आता पासवर्ड एंटर न करता रूट म्हणून कमांड कार्यान्वित करण्यास सक्षम असेल. ऑपरेशन तपासत आहे: $ssh host.local [रूट ~]#

आम्ही "ssh host.local" चालविण्यासाठी bash मध्ये sudohost उपनाव तयार करतो, sudo प्रमाणेच: sudohost() { if [[ ${#} -eq 0 ]]; नंतर ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \»${@}\»» fi }

तपासा: $ sudohost id uid=0(रूट) gid=0(रूट) गट=0(रूट)

आम्ही क्रेडेन्शियल्स जोडतो आणि टू-फॅक्टर ऑथेंटिकेशन सक्षम करतो, जेव्हा Yubikey USB टोकन घातला जातो तेव्हाच रूट ऍक्सेसची परवानगी देतो.

विद्यमान Yubikey द्वारे कोणते अल्गोरिदम समर्थित आहेत ते आम्ही तपासतो: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{print $2}'

आउटपुट 5.2.3 किंवा त्याहून अधिक असल्यास, की व्युत्पन्न करताना ed25519-sk वापरा, अन्यथा ecdsa-sk वापरा: ssh-keygen -t ed25519-sk किंवा ssh-keygen -t ecdsa-sk

सार्वजनिक की /root/.ssh/authorized_keys मध्ये जोडते

sshd कॉन्फिगरेशनमध्ये मुख्य प्रकार बंधनकारक जोडा: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [ईमेल संरक्षित],[ईमेल संरक्षित]

आम्ही युनिक्स सॉकेटचा प्रवेश केवळ अशा वापरकर्त्यासाठी प्रतिबंधित करतो ज्यांना विशेषाधिकार वाढवले ​​​​जाऊ शकतात (आमच्या उदाहरणात, प्रशासकाचे नाव). /etc/systemd/system/sshd-unix.socket मध्ये जोडा: [सॉकेट] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

स्त्रोत: opennet.ru