suid फाइलहरूबाट छुटकारा पाउन sudo को सट्टा UNIX सकेटमा SSH प्रयोग गर्दै

Red Hat बाट Timothee Ravier, Fedora Silverblue र Fedora Kinoite परियोजनाहरूको मर्मतकर्ता, sudo उपयोगिता प्रयोग गर्नबाट बच्नको लागि एक तरिका प्रस्ताव गरे, जसले विशेषाधिकारहरू बढाउन suid बिट प्रयोग गर्दछ। sudo को सट्टा, एक सामान्य प्रयोगकर्ता को लागि रूट अधिकार संग आदेश कार्यान्वयन गर्न को लागी, यो UNIX सकेट मार्फत स्थानीय जडान संग ssh उपयोगिता को उपयोग गर्न को लागी प्रस्ताव गरिएको छ र SSH कुञ्जीहरु मा आधारित अनुमतिहरु को प्रमाणिकरण।

sudo को सट्टा ssh प्रयोग गर्नाले तपाइँलाई प्रणालीमा suid कार्यक्रमहरूबाट छुटकारा पाउन र Fedora Silverblue, Fedora Kinoite, Fedora Sericea र Fedora Onyx जस्ता कन्टेनर आइसोलेसन कम्पोनेन्टहरू प्रयोग गर्ने वितरणको होस्ट वातावरणमा विशेषाधिकार प्राप्त आदेशहरूको कार्यान्वयन सक्षम गर्न अनुमति दिन्छ। पहुँच प्रतिबन्ध गर्न, एक USB टोकन (उदाहरणका लागि, Yubikey) प्रयोग गरेर प्राधिकरणको पुष्टि थप रूपमा प्रयोग गर्न सकिन्छ।

स्थानीय युनिक्स सकेट मार्फत पहुँचको लागि OpenSSH सर्भर कम्पोनेन्टहरू कन्फिगर गर्ने उदाहरण (अलग sshd उदाहरण यसको आफ्नै कन्फिगरेसन फाइलको साथ सुरू गरिनेछ):

/etc/systemd/system/sshd-unix.socket: [इकाई] विवरण=OpenSSH सर्भर युनिक्स सकेट कागजात=man:sshd(8) man:sshd_config(5) [सकेट] ListenStream=/run/sshd.sock Accept=yes [स्थापना गर्नुहोस्] WantedBy=sockets.target

/ etc / systemd / system /[ईमेल सुरक्षित]: [इकाई] विवरण=OpenSSH प्रति-जडान सर्भर डेमन (युनिक्स सकेट) कागजात=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [सेवा] ExecStart=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket

/etc/ssh/sshd_config_unix: # कुञ्जी प्रमाणीकरण मात्र छोड्छ PermitRootLogin निषेध-पासवर्ड पासवर्ड प्रमाणीकरण कुनै PermitEmptyPasswords कुनै GSSAPIA प्रमाणीकरण छैन # चयन गरिएका प्रयोगकर्ताहरूलाई पहुँच प्रतिबन्धित गर्दछ प्रयोगकर्ताहरूलाई रूट प्रशासक नाम # अनुमति दिन्छ। 2 अधिकृत कुञ्जी फाइल .ssh /अधिकृत_ कुञ्जीहरू # sftp उपप्रणाली सक्षम गर्नुहोस् sftp /usr/libexec/openssh/sftp-सर्भर

सक्रिय गर्नुहोस् र systemd एकाइ सुरु गर्नुहोस्: sudo systemctl deemon-reload sudo systemctl enable — now sshd-unix.socket

आफ्नो SSH कुञ्जी /root/.ssh/authorized_keys मा थप्नुहोस्

SSH ग्राहक सेटअप गर्दै।

socat उपयोगिता स्थापना गर्नुहोस्: sudo dnf socat स्थापना गर्नुहोस्

हामी /.ssh/config लाई UNIX सकेट मार्फत पहुँचको लागि प्रोक्सीको रूपमा socat निर्दिष्ट गरेर पूरक गर्छौं: होस्ट host.local प्रयोगकर्ता रूट # कन्टेनरहरूबाट काम गर्नको लागि /run/host/run को सट्टा प्रयोग गर्नुहोस् ProxyCommand socat - UNIX-CLIENT: / run/host/run/sshd.sock # SSH कुञ्जी IdentityFile को लागि पथ ~/.ssh/keys/localroot # अन्तरक्रियात्मक शेलको लागि TTY समर्थन सक्षम गर्नुहोस् RequestTTY हो # अनावश्यक आउटपुट हटाउनुहोस् LogLevel QUIET

यसको हालको फारममा, प्रयोगकर्ता प्रशासक नामले अब पासवर्ड प्रविष्ट नगरी रूटको रूपमा आदेशहरू कार्यान्वयन गर्न सक्षम हुनेछ। सञ्चालन जाँच गर्दै: $ ssh host.local [रूट ~]#

हामीले sudo: sudohost() { if [[ ${#} -eq 0 ]] जस्तै, "ssh host.local" चलाउन bash मा sudohost उपनाम सिर्जना गर्छौं; त्यसपछि ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \"${@}\"» fi }

जाँच गर्नुहोस्: $ sudohost id uid=0(root) gid=0(root) group=0(root)

हामी प्रमाणहरू थप्छौं र Yubikey USB टोकन सम्मिलित हुँदा मात्र रूट पहुँच अनुमति दिँदै दुई-कारक प्रमाणीकरण सक्षम गर्छौं।

हामी अवस्थित Yubikey द्वारा समर्थित एल्गोरिदमहरू जाँच गर्छौं: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{print $2}'

यदि आउटपुट 5.2.3 वा माथि छ भने, कुञ्जीहरू उत्पन्न गर्दा ed25519-sk प्रयोग गर्नुहोस्, अन्यथा ecdsa-sk: ssh-keygen -t ed25519-sk वा ssh-keygen -t ecdsa-sk प्रयोग गर्नुहोस्।

/root/.ssh/authorized_keys मा सार्वजनिक कुञ्जी थप्छ

sshd कन्फिगरेसनमा कुञ्जी प्रकार बाइन्डिङ थप्नुहोस्: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [ईमेल सुरक्षित],[ईमेल सुरक्षित]

हामीले युनिक्स सकेटमा पहुँचलाई सीमित गर्छौं जसले विशेषाधिकारहरू माथि उठाउन सक्छ (हाम्रो उदाहरणमा, प्रशासक नाम)। /etc/systemd/system/sshd-unix.socket मा थप्नुहोस्: [सकेट] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

स्रोत: opennet.ru