ניצן SSH איבער אַ UNIX כאָלעל אַנשטאָט פון סודאָ צו באַקומען באַפרייַען פון סויד טעקעס

Timothee Ravier פון Red Hat, אַ מאַיסטער פון די פעדאָראַ סילווערבלוע און פעדאָראַ קינאָיטע פּראַדזשעקס, פארגעלייגט אַ וועג צו ויסמיידן ניצן די סודאָ יוטילאַטיז, וואָס ניצט די סויד ביסל צו עסקאַלייט פּריווילאַדזשאַז. אַנשטאָט סודאָ, פֿאַר אַ נאָרמאַל באַניצער צו ויספירן קאַמאַנדז מיט וואָרצל רעכט, עס איז פארגעלייגט צו נוצן די ssh נוצן מיט אַ היגע קשר צו דער זעלביקער סיסטעם דורך אַ UNIX כאָלעל און וועראַפאַקיישאַן פון פּערמישאַנז באזירט אויף SSH שליסלען.

ניצן ssh אַנשטאָט פון סודאָ אַלאַוז איר צו באַקומען באַפרייַען פון סויד מגילה אויף דעם סיסטעם און געבן די דורכפירונג פון פּריוולידזשד קאַמאַנדז אין דער באַלעבאָס סוויווע פון ​​דיסטריביושאַנז וואָס נוצן קאַנטיינער אפגעזונדערטקייט קאַמפּאָונאַנץ, אַזאַ ווי פעדאָראַ סילווערבלוע, פעדאָראַ קינאָיטע, פעדאָראַ סעריסעאַ און פעדאָראַ אָניקס. צו באַגרענעצן אַקסעס, באַשטעטיקונג פון אויטאָריטעט מיט אַ וסב סימען (למשל, Yubikey) קענען אויך זיין געוויינט.

א ביישפּיל פון קאַנפיגיערינג OpenSSH סערווער קאַמפּאָונאַנץ פֿאַר אַקסעס דורך אַ היגע יוניקס כאָלעל (אַ באַזונדער sshd בייַשפּיל וועט זיין לאָנטשט מיט זיין אייגענע קאַנפיגיעריישאַן טעקע):

/etc/systemd/system/sshd-unix.socket: [Unit] באַשרייַבונג=OpenSSH Server Unix Socket Documentation=man:sshd(8) man:sshd_config(5) [Socket] ListenStream=/run/sshd.sock אָננעמען=יאָ [ינסטאַלירן] WantedBy=sockets.target

/ עטק / סיסטעמד / סיסטעם /[אימעיל באשיצט]: [וניט] באַשרייַבונג=OpenSSH פּער-פֿאַרבינדונג סערווער דיימאַן (וניקס כאָלעל) דאָקומענטאַטיאָן=מאַן:סשד(8) מענטש:sshd_config(5) Wants=sshd-keygen.target נאָך=sshd-keygen.target [סערוויס] עקסעקסטאַרט=- /usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput = כאָלעל

/etc/ssh/sshd_config_unix: # לאָזן בלויז שליסל אָטענטאַקיישאַן PermitRootLogin פאַרווערן-שפּריכוואָרט שפּריכוואָרט אָטענטאַקיישאַן קיין פּערמיטEmptyPasswords קיין GSSAPI .שש / אַוטהאָריזעד_ שליסלען # געבן sftp סובסיסטעם sftp /usr/libexec/openssh/sftp-server

אַקטאַווייט און קאַטער די סיסטעם אַפּאַראַט: sudo systemctl daemon-reload sudo systemctl געבן — איצט sshd-unix.socket

לייג דיין SSH שליסל צו /root/.ssh/authorized_keys

באַשטעטיקן דעם SSH קליענט.

ינסטאַלירן די סאָקאַט נוצן: sudo dnf install socat

מיר העסאָפע /.ssh/config דורך ספּעציפיצירן סאָקאַט ווי אַ פּראַקסי פֿאַר אַקסעס דורך אַ יוניקס כאָלעל: Host host.local באַניצער וואָרצל # ניצן /run/host/run אַנשטאָט פון /run צו אַרבעטן פֿון קאַנטיינערז ProxyCommand socat - UNIX-CLIENT: / run/host/run/sshd.sock # וועג צו די SSH שליסל אידענטיטעט טעקע ~/.ssh/keys/localroot # געבן TTY שטיצן פֿאַר די ינטעראַקטיוו שאָל RequestTTY יאָ # אַראָפּנעמען ומנייטיק רעזולטאַט LogLevel QUIET

אין זיין קראַנט פאָרעם, דער באַניצער אַדמיניסטראַטאָר וועט איצט קענען צו ויספירן קאַמאַנדז ווי וואָרצל אָן אַרייַן אַ פּאַראָל. קאָנטראָלירונג די אָפּעראַציע: $ ssh host.local [root ~]#

מיר מאַכן אַ סודאָהאָסט אַליאַס אין באַש צו לויפן "ssh host.local", ענלעך צו סודאָ: sudohost () {if [[ ${#} -eq 0]]; דעמאָלט ssh host.local "סיי \"${פּווד}\"; עקסעק \"${שעל}\" --לאָגין" אַנדערש ssh host.local "סיי \"${פּווד}\"; עקסעק \»${@}\»» fi }

קוק: $ sudohost id uid=0(root) gid=0(root) גרופּעס=0(root)

מיר לייגן קראַדענטשאַלז און געבן צוויי-פאַקטאָר אָטענטאַקיישאַן, אַלאַוינג וואָרצל אַקסעס בלויז ווען אַ יוביקיי וסב טאָקען איז ינסערטאַד.

מיר קאָנטראָלירן וואָס אַלגערידאַמז זענען געשטיצט דורך די יגזיסטינג יוביקיי: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{דרוק $2}'

אויב דער רעזולטאַט איז 5.2.3 אָדער העכער, נוצן ed25519-sk ווען דזשענערייטינג שליסלען, אַנדערש נוצן ecdsa-sk: ssh-keygen -t ed25519-sk אָדער ssh-keygen -t ecdsa-sk

מוסיף דעם ציבור שליסל צו /root/.ssh/authorized_keys

לייג אַ שליסל טיפּ ביינדינג צו די sshd קאַנפיגיעריישאַן: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes [אימעיל באשיצט],[אימעיל באשיצט]

מיר באַגרענעצן אַקסעס צו די יוניקס כאָלעל בלויז צו דער באַניצער וואָס קענען האָבן פּריווילאַדזשאַז העכער (אין אונדזער ביישפּיל, אַדמיניסטראַטאָר נאָמען). אין /etc/systemd/system/sshd-unix.socket לייג: [סאָקקעט] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

מקור: opennet.ru