Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов

20.12.2023 09:53

Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, предложил способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет и проверкой полномочий на основе SSH-ключей.

Использование ssh вместо sudo позволяет избавиться от suid-программ в системе и организовать выполнение привилегированных команд в хост-окружении дистрибутивов, использующих контейнерную изоляцию компонентов, таких как Fedora Silverblue, Fedora Kinoite, Fedora Sericea и Fedora Onyx. Для ограничения доступа дополнительно может быть задействовано подтверждение полномочий при помощи USB-токена (например, Yubikey).

Пример настройки серверных компонентов OpenSSH для доступа через локальный Unix-сокет (будет запускаться отдельный экземпляр sshd со своим файлом конфигурации):

/etc/systemd/system/sshd-unix.socket:


   [Unit]
   Description=OpenSSH Server Unix Socket
   Documentation=man:sshd(8) man:sshd_config(5)

   [Socket]
   ListenStream=/run/sshd.sock
   Accept=yes

   [Install]
   WantedBy=sockets.target

/etc/systemd/system/[email protected]:


   [Unit]
   Description=OpenSSH per-connection server daemon (Unix socket)
   Documentation=man:sshd(8) man:sshd_config(5)
   Wants=sshd-keygen.target
   After=sshd-keygen.target

   [Service]
   ExecStart=-/usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix
   StandardInput=socket

/etc/ssh/sshd_config_unix:


   # Оставляет только аутентификацию по ключам
   PermitRootLogin prohibit-password
   PasswordAuthentication no
   PermitEmptyPasswords no
   GSSAPIAuthentication no

   # ограничиваем доступ выбранным пользователям
   AllowUsers root adminusername

   # Оставляем только использование .ssh/authorized_keys (без .ssh/authorized_keys2
   AuthorizedKeysFile .ssh/authorized_keys

   # включаем sftp
   Subsystem sftp /usr/libexec/openssh/sftp-server

Активируем и запускаем юнит systemd:


   sudo systemctl daemon-reload
   sudo systemctl enable --now sshd-unix.socket

Добавляем свой SSH-ключ в /root/.ssh/authorized_keys

Настраиваем работу SSH-клиента.

Устанавливаем утилиту socat:


   sudo dnf install socat

Дополняем /.ssh/config, указав socat в качестве прокси для доступа через UNIX-сокет:


   Host host.local
       User root
       # Используем /run/host/run вместо /run для работы из контейнеров
       ProxyCommand socat - UNIX-CLIENT:/run/host/run/sshd.sock

       # Путь к SSH-ключу
       IdentityFile ~/.ssh/keys/localroot

       # Включаем поддержку TTY для интерактивной оболочки
       RequestTTY yes

       # Убираем лишний вывод
       LogLevel QUIET

В текущем виде пользователь adminusername теперь сможет выполнить команды с правами root без ввода пароля. Проверяем работу:


   $ ssh host.local
   [root ~]#

Создаём в bash псевдоним sudohost для запуска "ssh host.local" по аналогии с sudo:


   sudohost() {
       if [[ ${#} -eq 0 ]]; then
           ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login"
       else
           ssh host.local "cd \"${PWD}\"; exec \"${@}\""
       fi 
   }

Проверяем:


   $ sudohost id
   uid=0(root) gid=0(root) groups=0(root)

Добавляем проверку полномочий и включаем двухфакторную аутентификацию, допускающую доступ к root только при вставке USB-токена Yubikey.

Проверяем, какие алгоритмы поддерживает имеющийся Yubikey:


   lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{print $2}'

Если выведено 5.2.3 или большее значение, используем ed25519-sk при генерации ключей, иначе - ecdsa-sk:


   ssh-keygen -t ed25519-sk
или
   ssh-keygen -t ecdsa-sk

Добавляет открытый ключ в /root/.ssh/authorized_keys

Добавляем привязку к типу ключа в конфигурацию sshd:


/etc/ssh/sshd_config_unix:

   PubkeyAcceptedKeyTypes [email protected],[email protected]

Ограничиваем доступ к Unix-сокету только пользователя, которому можно повышать привилегии (в нашем примере - adminusername). В /etc/systemd/system/sshd-unix.socket добавляем:


   [Socket]
   ...
   SocketUser=adminusername
   SocketGroup=adminusername
   SocketMode=0660

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60317-sudo

Ключевые слова: sudo, suid, ssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (133)

1.1, Мухорчатый (?), 10:02, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
Вот это да.......

2.86, Аноним (-), 17:35, 20/12/2023 [^] [^^] [^^^] [ответить]

+6 +/–

> Вот это да.......

На третий день Зоркий Глаз заметил что...

> sudo systemctl daemon-reload

...что у соседнего сарая был suid-ный бит! :)

1.3, Аноним (3), 10:07, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+20 +/–
Вот это действительно будет дырища, которая может ещё и не работать на некотором энвайрменте регулярно

2.4, Шарп (ok), 10:17, 20/12/2023 [^] [^^] [^^^] [ответить]	+6 +/–
Развитие юникс архитектуры остановилось со смертью plan9. Вот и приходится изобретать эрзац технологии.

3.6, SODIX (?), 10:33, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
А как же инферно?

4.44, chubakka (?), 13:14, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
А что мешает, ставьте версию для raspberry pi и играйтесь

5.93, Аноним (93), 18:05, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Вот именно что играйтесь. А надо работать, и не послезавтра, уже вчера.

5.113, Аноним (113), 22:01, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> А что мешает, ставьте версию для raspberry pi и играйтесь И результатом этих игрищ ожидается - что именно? Более того - зависеть от 1 производителя железок это полный попадос. Если они завтра снимут ту или иную модель с производства - то чего?

3.7, Аноним (3), 10:35, 20/12/2023 [^] [^^] [^^^] [ответить]	+4 +/–
Никому не интересен plan9. Куда интереснее, что челу с тыренным ssh-ключом раньше нужно было для sudo знать пароль юзверя, а теперь нет. Пляски вокруг сокетов и их защиты - это отдельные прекрасные грабли

4.23, WE (?), 11:47, 20/12/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Так себе аргумент. Ничего не мешает иметь ключ с паролем для повышения привилегий.

4.28, НеАнонимЪ (?), 12:11, 20/12/2023 [^] [^^] [^^^] [ответить]	–8 +/–
Пароли умерли, сейчас работает только многофакторка.

5.38, Аноним (38), 12:41, 20/12/2023 [^] [^^] [^^^] [ответить]	+10 +/–
Но один из факторов - пароль. Так что не умерли, а дополнились.

5.55, freehck (ok), 14:22, 20/12/2023 [^] [^^] [^^^] [ответить]	+6 +/–
> Пароли умерли Ничего они не умерли. На машине обязан быть парольный аккаунт для rescue-нужд. В случае сетевых проблем хостинг-провайдера, бывает, что единственный способ получить доступ к машине -- это подключиться через консоль и ввести там пароль. Создавайте такой аккаунт всегда. Это реально выручает.

5.88, Аноним (-), 17:40, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> Пароли умерли, сейчас работает только многофакторка. Поразвелось тут хайпонашек. Еще анализы кала сдавайте блин для входа в систему.

6.103, Аноним (103), 19:28, 20/12/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Они их уже на клавиатуру сдали.

4.30, Аноним (30), 12:16, 20/12/2023 [^] [^^] [^^^] [ответить]	+4 +/–
А ты в курсе что при генерации пары ключей, закрытый ключ можно запаролить? И тогда надо иметь и сам закрытый ключ и пароль от него вместо просто пароля от юзера.

5.96, Аноним (3), 18:19, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
А ты в курсе, что есть методы увода ключей вот прям уже расшифрованных?

6.101, Аноним (30), 19:06, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Так же как и введенный пароль из /etc/shadow можно увести. Так что запароленый ключ все еще безопаснее.

7.115, Аноним (115), 22:23, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Нафиг никому не сдались ваши ключи... Эксплоиты на повышение прав гораздо надёжнее и стабильно работают десятилетиями

7.139, Аноним (-), 21:10, 22/12/2023 [^] [^^] [^^^] [ответить]

+/–

> Так же как и введенный пароль из /etc/shadow можно увести. Так что
> запароленый ключ все еще безопаснее.

Так там не пароли и хеши от них. А если атакующий перехватывает ваш ввод - окей, а зачем ему ваши ключи и пароли тогда?! Он и так вас уже поимел. Весь ввод он и так знает, если он доступы хотел - ну, окей, засечь когда вы будете по ssh рулить да вкатить пару лишних команд в input.

Вы конечно можете попробовать обойтись кастомной наэкранкой, типа как некоторые вебморды банков, но через сколько вы взвоете с такого менеджмента серверов?

4.35, Аноним (35), 12:34, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
>Куда интереснее, что челу с тыренным ssh-ключом раньше нужно было для sudo знать пароль юзверя, а теперь нет. Не знаю как здесь, но в KepassXC Yubikey служит вторым фактором защиты, т.е. надо и пароль вводить и токен вставить.

5.89, Аноним (-), 17:47, 20/12/2023 Скрыто ботом-модератором [к модератору]	+1 +/–

5.90, Аноним (113), 17:49, 20/12/2023 [^] [^^] [^^^] [ответить]

–1 +/–

> Не знаю как здесь, но в KepassXC Yubikey служит вторым фактором защиты,
> т.е. надо и пароль вводить и токен вставить.

И теперь sudo станет в 5 раз гиморнее - для легитимного админа. Который будет искать кей, будет тратить больше времени на фигню, раздолбает себе usb-порт и проч. Во имя луны.

Хаксор же посмеется с этих потуг, эскалирует на соседнем CVE ибо на SUID бите мир клином не сошелся, да и используют его все же уже довольно аккуратно - что является поводом изучить соседние вектора атак. В этом месте Зоркий Глаз обычно замечает что у сарая на то что стены нет, но и крышу кто-то стырил, можно, вот, на парашюте десантироваться. Не то чтобы это сильно нужно было - зато какой пафос! Это ж можно на видео снять и на ютубчик выложить.

4.70, YetAnotherOnanym (ok), 15:17, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
А кто запрещает разнести ключи для sshd, на который заходят из сети, и для sshd, который слушает на локальном сокете для предоставления root shell? И какие пляски нужны, если трафик через сокет зашифрован?

4.108, Аноним (93), 21:25, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Никому не интересен plan9. Да. И это проблема. А если бы был, то вместо облаков и кубернетесов просто писали бы софт.

5.126, Wakizashi (?), 15:57, 21/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Не, эту дичь так просто не изжить? plan9 не поможет - "модно-молодежные" и "сферические разработчики в ваккууме" все равно нашли бы на чем еще хайповать и ресурсы жечь. Да и инфоцыганам же тоже надо деньгу зашибать на бессмысленных "курсах" - не про кубернетесы, так еще что-то бы придумали.

6.136, Аноним (93), 20:38, 22/12/2023 [^] [^^] [^^^] [ответить]	+/–
Это не дичь, это результат того, что немодные и немолодёжные продолжают оберегать свои костыли и работаетнетрогай вопреки требованиям индустрии. И инфоцыгане тут именно поэтому — пролают надёжный рецепт сбережения костылей. Plan9 не панацея, но градус неадеквата снизил бы значительно.

2.87, Аноним (-), 17:39, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> Вот это действительно будет дырища, которая может ещё и не работать на > некотором энвайрменте регулярно Не то чтобы дырища, если все сделать правильно. Но вообще отличный способ подвесить кому-то контринтуитивный бэкдор в систему, весьма креативно так то :)

1.5, Аноним (3), 10:32, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Добавляем проверку полномочий и включаем двухфакторную аутентификацию, допускающую доступ к root только при вставке USB-токена Yubikey. Как? Что-то пропущено? Как Private ключ перенести правильно на флешку? Кажется даже статья по хранению private-ключей на юбиках с резервом будет нужнее

2.12, BSDSHNIK (?), 11:01, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Заменю вам статью. Подходит любой ключ с поддержкой FIDO2, даже самодельный. Вставляем ключ, пишем ssh-keygen -t ed25519-sk или ssh-keygen -t ecdsa-sk (если ключ старый). Все, мы храним ключ в аппаратном токене. openssh настроен правильно во всех дистрах свежести уровня 8 рхел или выше(нужен openssh 8.2), настраивать ничего не нужно. Работает даже в винде, даже в openwrt c Dropbear.

2.17, Аноним (17), 11:28, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
https://codeberg.org/KOLANICH/Fuck-GuanTEEnomo

3.109, Аноним (93), 21:27, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
TL;DR: Майкрософт ворует лампочки в подъезде у автора.

4.114, Аноним (113), 22:04, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Однако про конфликт интересов (member of FIDO => заинтересован в впаривании) вроде правильно все пишет. Ничего личного, это бизнес...

5.137, Аноним (93), 20:42, 22/12/2023 [^] [^^] [^^^] [ответить]	+/–
После этого не значит в результате этого. Майкрософт, как один из основных участников рынка и флагман индустрии, естественно будет входить во множество разных групп по интересам. Но ты можешь попробовать показат в цифрах, сколько миллионов в месяц MS зарабатывать на «впаривании» токенов. В одном ты прав: это действительно бизнес, а не личная месть автору.

6.140, Аноним (-), 21:16, 22/12/2023 [^] [^^] [^^^] [ответить]

+/–

> миллионов в месяц MS зарабатывать на «впаривании» токенов. В одном ты
> прав: это действительно бизнес, а не личная месть автору.

Тем не менее лично я с гитхаба ушел, потому что такое навязчивое желания меня осчастливить, с ножом к горлу, "а не то!" - несколько напрягает. Без таких "благодетелей" моя жизнь - намного лучше.

И кстати удачи им в "контроле цепочек поставок" и прочей гестаповщине. Я им быренько объясню что "D" в DVCS означает. Но они конечно могут заморозить гитхаб и не принимать новые комиты - особенно сделанные вне гитхаба, если хотят :)

2.18, PnD (??), 11:29, 20/12/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Никак не надо переносить. Ключ генерится прямо на затычке, и половина закрытой части её никогда не покидает. От слова "совсем". Это про те что с приставкой "sk-". На локалхост выгружается открытая часть и вторая половина ключа. При каждом установлении соединения нужно погладить кота^w ключ. Ну или кинуть в него ссаной тряпкой (результат тот же). Типа, подтверждение присутствия кожаного мешка. * Это я FIDO (как мог) описа́л. Есть и другие варианты. ** И да, если у вас RuToken Lite, то это таки просто флэшка с обсфусцированным протоколом доступа. Там действительно можно "перенести", но работать будет только под виндой/(возможно) эмулятором.

3.36, Павел (??), 12:36, 20/12/2023 [^] [^^] [^^^] [ответить]	+3 +/–
Ну вообще говоря для рутокена линуксовые дрова вполне себе есть и работают

4.112, Аноним (113), 21:58, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Ну вообще говоря для рутокена линуксовые дрова вполне себе есть и работают Как обычно какой-то blob-only крап, вне ядра, без сорцов, которому надо на честное слово поверить что все офигенно? Или таки смогли что-то менее позорное? А может еще и сорц фирмвари есть - чтобы проверить что все и правда честно, м?

5.116, Аноним (116), 23:25, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Rutoken ECP поддерживаются в OpenSC, никаких блобов и проприетарщины.

6.141, Аноним (-), 21:21, 22/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Rutoken ECP поддерживаются в OpenSC, никаких блобов и проприетарщины. Ну ок, это уже не позор-позор. А сорц фирмвари там как, тоже дают? Почему-то самый интересный вопрос - как обычно заскипан. Доверять какой-то серебряной пуле - без сорцов оной - и за что мы тут, спрашивается, боролись? Чтобы отдать топ секреты какой-то блоботе? А после этого никого не надо назвать "д@била кусок" случайно? Так, на правах называния вещей своими именами.

7.149, morphe (?), 20:06, 23/12/2023 [^] [^^] [^^^] [ответить]	+/–
Сорц полустандартного OpenGPGCard тоже не доступен, лишь обрезок старого кода под basiccard, в котором явно обозначено что много кода пропущено из-за патентов Yubikey/google titan/ещё некоторые альтернативные реализации полностью проприетарные Есть nitrokey 3 с открытой прошивкой (https://github.com/Nitrokey/nitrokey-3-firmware), однако там обращение с ключами сильно менее защищённое чем в смарткартах, потому что вместо намертво приклееной к плате неразборной капли, там полноценный sram+cryptoчип+процессор (Однако есть возможность обновить прошивку, что приятно)

1.8, Аноним (8), 10:49, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Выглядит как забор из костылей, при том непонятно ради чего? Я так и не понял, чем suid помешал? Вроде десятилетиями всё ок было... Выдавался этот бит только тем программам, что действительно могут понадобиться всем пользователям на хосте, типа ping...

2.25, Аноним (25), 12:00, 20/12/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Это тайный план заставить всех использовать флэшки. А USB настолько дыряв, что теперь не только майор может всунуть что ему надо, но и обычный рядовой.

2.54, Аноним (54), 14:21, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
теперь есть андройд, где понятие пользователя сильно изменено: в нём каждая программа является отдельным пользователем, а суперпользователем является, как я понял, исключительно гугл.

3.100, Аноним (113), 18:43, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> теперь есть андройд, где понятие пользователя сильно изменено: в нём каждая > программа является отдельным пользователем, а суперпользователем является, > как я понял, исключительно гугл. Можно dev режим врубить и анлокнуть систему/бут. Но вообще индеец правильно понял за кого его считает белый человек.

1.9, Аноним (9), 10:50, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Нет. Лучше черес TCP который надо выставить в облако гугл или мигрософт это будет безопаснее

2.40, Аноним (38), 12:48, 20/12/2023 [^] [^^] [^^^] [ответить]	+3 +/–
А давайте... пусть systemd живёт в облаках!

1.10, Аноним (10), 10:52, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
10+ лет держу открытую вкладку терминала с su (и в проде и на домашнем ПК) без всяких суден, и неразу не было проблем :]

2.31, Аноним (31), 12:18, 20/12/2023 [^] [^^] [^^^] [ответить]

+1 +/–

>>> и неразу не было проблем <<<

Мда... то что вы конкретно нафиг никому не сдались, это ничего не значит; так что не учите плохому и не советуйте тут откровенную дичь!!!

ПС: Это из той же серии что и: линукс безопаснее чем виндоус; там почти нет вирусов, а антивирус там совсем не нужен, - а на практике, если вы реально станете чей-то целью, то вас возъимеют во все дыры, так что лучше чтобы этих дыр было поменьше; вы же сами буквально булочки свои раздвигаете!

ППС: Вангую, что в последующие 10 лет, угроз под линус станет офигеть как много!!! Так что я реадьно не понимаю тех, кто сделал ставку на это дырочное изделие в критически важных отраслях!!!

3.66, 1 (??), 15:04, 20/12/2023 [^] [^^] [^^^] [ответить]

+1 +/–

> Это из той же серии что и: линукс безопаснее чем виндоус; там почти нет вирусов, а антивирус там совсем не нужен

А зачем нужен антивирус (ну кроме тех, кто их продаёт) ?
Антивирус, он как вояка, всегда готовится к прошедшей войне.

3.72, Аноним (54), 15:21, 20/12/2023 [^] [^^] [^^^] [ответить]

+/–

> Так что я реадьно не понимаю тех, кто сделал ставку на это дырочное изделие в критически важных отраслях!!!

а на что ещё делать ставку?
мелкомягкий доверия не внушает.
солярисы тоже буржуйские, и тоже закрытые.
остаются только линь да фря.

во всех случаях надо заметить, что всё данное ПО разрабатывается не у нас.

кроме того, главный разработчик всем известного ядра имеет весьма специфического батю, являющегося видным финским политиком, мечты которого давеча сбылись в отношении вступления в известную организацию.

поэтому ситуация настораживает вне зависимости от ставок.

4.79, Ivan_83 (ok), 15:37, 20/12/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Переезжайте в финку и будет всё разрабатыватся у вас :) Если что дойдёте ножками или на велике до Линуса с его батей и всё выскажете лично за рюмкой чая. Европа тоже маленькая, сесть в поезд и доехать - так же удобно как с метро, можно и за час самолётом долететь за сотку евро. В зоне шенгена и пограничного контроля то нет, те из документов спросят только билет при посадке в транспорт.

3.73, YetAnotherOnanym (ok), 15:21, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> вы конкретно нафиг никому не сдались А откуда ты знаешь, какой у него прод?

2.64, Ivan_83 (ok), 14:59, 20/12/2023 [^] [^^] [^^^] [ответить]	+2 +/–
С самого начала просто по ссш сам к себе (и где нужно) логинюсь под рутом. su юзаю только в скриптах. sudo вообще не ставлю.

1.11, Аноним (11), 11:00, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Если я правильно понял, вместо отдельных суидных программ типа судо предлагается раздать рутовый доступ через локальный ссш. Но доступ к нему только для избранных. Ну да, ну да - безопасТность. В судо можно строго прописать ряд программ который пользователь может запускать. А тут каждый избранный получает все и может поставить систему в неудобное положение без особых усилий.

2.46, _oleg_ (ok), 13:29, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Да. ВСё это "решение" выглядит как знатный геморрой с несуществующей выгодой.

2.80, YetAnotherOnanym (ok), 16:34, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Можно интегрировать функциональность suid в модифицированный sshd, попутно выкинув и него всё, относящееся к сети.

2.95, Аноним (93), 18:17, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> В судо можно строго прописать ряд программ который пользователь может запускать. А тут каждый избранный получает все и может поставить систему в неудобное положение без особых усилий. То есть документацию на ты SSH ни разу не читал, что там можно и что нельзя не знаешь, но мнение имеешь. Если уж на то пошло, механизмы ограничений что можно и что нельзя, как и каким образом в SSH куда мощнее, чем в sudo. Но для 99.99999% опеннетных админов локалхоста зайти по ключу — это уже высший пилотаж.

3.128, Аноним (128), 19:11, 21/12/2023 [^] [^^] [^^^] [ответить]

+/–

> механизмы ограничений ... SSH куда мощнее, чем в sudo

Смелое заявление, требует подробностей.

В sudo можно ограничивать хост, группу, пользователя (как реального, так и целевого, можно требовать пароль любого), отдельные переменные окружения, программы и аргументы программ, в том числе регулярками. Настройки надежно защищены. А есть ли, например, в SSH аналог NOEXEC?

4.138, Аноним (93), 20:50, 22/12/2023 [^] [^^] [^^^] [ответить]

+/–

А вот и подтверждение моего тезиса о том, что админы локалхоста документацию не читают.

> Смелое заявление, требует подробностей.

Требует. И ты знаешь, где их взять. Всё, что тебе нужно это уметь читать по английски и немного воображения, чтобы осознать предложенную модель. Мои джуны справляются, даст бог и ты сможешь.

5.145, Sem (??), 07:31, 23/12/2023 [^] [^^] [^^^] [ответить]	+/–
Это нужно шел пользователя чем то заменить. Иначе, команды не ограничить.

1.13, pfg21 (ok), 11:03, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
самое главное то и не раскрыто: чем ssh-коннект под root безопаснее sudo ?? если мне понадобится запуск проги не под root а под другим пользователем, придется делать еще один ssh с запуском socat под указанным пользователем ?? т.е. набирается куча костылей с socat под каждым пользователем...

2.14, Alexey (??), 11:08, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Запускайте прогу тоже под рутом. бгг. Гори оно огнём, какая срамота...

3.16, pfg21 (ok), 11:20, 20/12/2023 [^] [^^] [^^^] [ответить]

+/–

> Запускайте прогу тоже под рутом. бгг.

т.е. я запускаю скрипт по очистке какойлибо диры в глубине /var/www не под ограниченным www-data а под root а в скрипте классическая ошибка бармина "rm -rf / var/www/тра/ля/ля" то системе приходит звезда. чёта не панятна

> Гори оно огнём, какая срамота...

4.19, фф (?), 11:30, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
что вы как маленький - от рута делаете sudo -u username ваш_скрипт

5.50, pfg21 (ok), 13:43, 20/12/2023 [^] [^^] [^^^] [ответить]	+2 +/–
> что вы как маленький - от рута делаете sudo -u username ваш_скрипт тогда зачем мне прокладка в виде работающего sshd с socat под рутом. с судо они мне не нужны :)

6.150, фф (?), 14:57, 25/12/2023 [^] [^^] [^^^] [ответить]	+/–
> тогда зачем мне прокладка в виде работающего sshd с socat под рутом. > с судо они мне не нужны :) чтоб было :) люди старались, делали, а вы: "ненужно" не надо быть такой букой

1.20, Аноним (20), 11:35, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
> из компании Red Hat ждем запихвание этих костылей в systemd!

2.21, Аноним (21), 11:37, 20/12/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Не шути так, а то тебя услышат и реализуют.

3.59, Аноним (59), 14:32, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
На Фре вообще не интересно.

2.29, Аноним (30), 12:11, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Каждая программа должна быть слинкована с libsystemd, так победим.

3.39, Аноним (38), 12:45, 20/12/2023 [^] [^^] [^^^] [ответить]	–1 +/–
В 1990-х и 2000-х M$, своим гетзефаком, победить не смогла, но теперь смогла возглавить.

1.22, name (??), 11:45, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А QR код? QR код будет встроенный? А веб сервер?

2.41, Аноним (41), 13:00, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
А ещё надо метрики экспортировать в промку и логи в ёлку!

3.69, нах. (?), 15:16, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Но все же нескучный rest апи должен быть сначала!

1.24, хрю (?), 11:52, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
выглядит как фигня. sudo пароль забывает через некоторое время, и даже получив доступ к консоли пользователя не зная его пароль до рута ещё надо добраться. А тут либо полный доступ, либо полный доступ при воткнутой флехе. Ну такое себе решение имно.

2.26, Аноним (11), 12:02, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
В судо каждому пользователю можно прописать что он может запустить. Можно разграничить между разными большими админами, так себе админами и понарошку. Тут ты либо полный рут (можешь добровольно самоограничиться), либо никто. Я тут написал про это выше - заминусовали.

3.27, хрю (?), 12:10, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Можно, но я не видел чтобы так кто-то делал для реального чела, а вот для запуска команд из скриптов без пароля такое да - удобно.

4.45, Аноним (11), 13:19, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Конечно удобно - запускать все исходно из под рута. Для очистки совести можно сбросить привелегии под нужного пользователя. Если никто не смотрит, можно и не сбрасывать.

4.47, _oleg_ (ok), 13:29, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Ну для скриптов да. Которые люди запускают. Это для людей или нет?

4.130, Аноним (128), 19:15, 21/12/2023 [^] [^^] [^^^] [ответить]

+/–

> не видел чтобы

man 5 sudoers. В примерах.

2.32, нах. (?), 12:20, 20/12/2023 [^] [^^] [^^^] [ответить]	+3 +/–
а мы гланды удалять научились через оппу автогеном Новое поколение пришло... большой текст свёрнут, показать

1.33, Аноним (33), 12:31, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ээээ... sudo su - не, не слышал?

2.43, Аноним (43), 13:13, 20/12/2023 [^] [^^] [^^^] [ответить]	+5 +/–
Почему не "sudo su su" или не "sudo su su su su su"? Чем простое "sudo -i" не устраивает, зачем su лишний раз запускать?

3.65, Аноним (33), 15:01, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Да можно и так. А можно и просто su написать. И sudo не нужен. Я про степень наркомании - это может быть нужно только чтобы sudo не писать каждый раз... Не более того.

3.110, Аноним (93), 21:39, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> зачем su лишний раз запускать? Без этого сакрального заклинания на FreeBSD какой-то древней версии шелл неправильно работал. Это только в комментариях на опеннете все заучивают доки от и до на весь софт и хард прежде, чем компьютер включить. А в реальности просто запоминают заклинания и кастуют не зная почему так. Это, кстати, причина того, почему всё новое априори воспринимается «опытными» «юникс» «админами» в штыки: старые заклинания перестают работать, и нужно запоминать бессмысленный набор букв заново.

3.146, dasd (?), 11:29, 23/12/2023 [^] [^^] [^^^] [ответить]	+/–
ok, google будет ли работать sudo -i если у пользователя shell=nologin ?

1.34, Аноним (34), 12:31, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Годнота. При сборке софта из исходников может пригодится.

1.37, nox. (?), 12:38, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Не сочтите за офтопик. Но определенно дежавю. Знавал одного профессора. В статью он вставлял картинку таким образом: в документ Word он помещал электронную таблицу Excel, в которую вставлена картинка.

2.49, хрю (?), 13:40, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Не сочтите за офтопик. Но определенно дежавю. Знавал одного профессора. В статью > он вставлял картинку таким образом: в документ Word он помещал электронную > таблицу Excel, в которую вставлена картинка. Лет 10 назад из одной монопомии баги присылали - скриншот текстовой инфы с экрана в jpg, засунутый в эксель. Причём если б только один чел. такое присылал. Ну и сидишь заглядываешь и гадаешь, как такое можно вообще придумать.

3.57, ишь (?), 14:28, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Люди из абстрактного для них буфера обмена вставили jpg-фрагмент в программе, которой чаще всего пользовались. Скорее всего они не в курсе какого-то там jpeg-формата и просто рады, что у них всё сработало. Вроде такой опытный, а удивляетесь.

3.144, Электрон (?), 03:45, 23/12/2023 [^] [^^] [^^^] [ответить]	+/–
Опытный пользователь MS Office, Word, Excel. А чем можете похвастаться вы?

1.42, Аноним (43), 13:12, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, в курсе, что такое sudo и как им пользоваться? Что именно он пытается "заменить"? Где ограничение списка команд, которые пользователь может выполнять от имени рута?

2.97, Аноним (93), 18:20, 20/12/2023 [^] [^^] [^^^] [ответить]	–2 +/–
В документации к SSH, которую ты никогда не читал. Впрочем, тебе на локалхосте и не надо.

3.131, Аноним (128), 19:20, 21/12/2023 [^] [^^] [^^^] [ответить]	+/–
Невозможно эффективно ограничить шелл. Самообман.

1.51, keydon (ok), 13:45, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Автор и правда упорот и считает что suid надо менять на ssh :facepalm:

2.58, Аноним (59), 14:30, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Он работу работает. Что полезного сделали вы?)

3.67, keydon (ok), 15:09, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Он работу работает. Что полезного сделали вы?) Тоже работу работаю. Но стараюсь работать хорошо, а не "лишь бы работало" как похоже делает Тимоти.

4.76, Аноним (59), 15:26, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
На риторический вопрос можно было и не отвечать.)

4.111, Аноним (93), 21:41, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Пока ты стараешься, кто-то делает.

1.52, Аноним (52), 14:05, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
uzer@hvost: /home/uzer $ ssh uzer_doasnyi@localhost doas echo "kokoko" Проще для этих целей тупо внутренний ssh замутить.

2.53, Аноним (52), 14:08, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
$ alias chpok="ssh uzer_doasnyi@localhost doas " $ chpok ps ax

1.56, Аноним (59), 14:25, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Доизолировались. Кругом рута им подавай.

1.60, Ilya Indigo (ok), 14:33, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И как ограничивать команды, например, разрешить без пароля только определённые команды и даже с определёнными аргументами, а для остальных требовать пароль? Если я правильно понял, тут предлагается или все команды без пароля, или все команды через аппаратный ключ,что не удобно а иногда и невозможно.

1.61, freehck (ok), 14:37, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Давно известный метод. Из минусов -- нельзя ограничить повышение привилегий конкретными командами, плюс требуется постоянно запущенный демон. Из плюсов -- возможность использовать все pam-модули, доступные для sshd. Как бы, не рокетсаенс, а просто хорошо забытое старое. Собственно, автор это всё ради двухфакторки мастерил: к sudo трудно подцепить подобные вещи, а у sshd всё уже реализовано.

Тут, однако, надо понимать, что это надо очень аккуратно конфигурировать: крайне желательно, чтобы sshd для повышения привилегий был вообще отдельным демоном. Потому что если у вас это дело завязано на основной sshd и вы используете какой-нибудь sssd для авторизации, то если навернётся сеть, вы не сможете повысить привилегии, даже если вживую подойдёте к консоли.

А вообще, лучше конечно всегда иметь запасной вариант в виде sudo или su. Старые топорные проверенные технологии на низком уровне -- всегда выручают.

2.63, Аноним (59), 14:55, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Ну,вот,что вы тут за легаси топите. Совсем непрогрессивный админ. Закопать все секюршеллы как никому не нужное и входить исключительно с ноги.

2.74, нах. (?), 15:22, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
sudo использует ровно тот же pam стек уже тысячу лет.

3.75, freehck (ok), 15:24, 20/12/2023 [^] [^^] [^^^] [ответить]	+2 +/–
> sudo использует ровно тот же pam стек уже тысячу лет. Проверил. Однако да, был не в курсе: считал, что sudo устроен гораздо проще. Тогда не понятно, чего ради всё это.

4.82, нах. (?), 16:47, 20/12/2023 [^] [^^] [^^^] [ответить]

+1 +/–

так сразу ж написали - это очередной победитель суид бита пожаловал. Вот огромный переусложненный дерьмодемон постоянно висящий, вместе с его клиентами - это норм, а суид бит нинуна и запритить.

И rest api там совершенно некуда прикручивать, а ему ведь performance review не только в конце этого года хочется пройти, а и в следующем тоже.

3.142, Аноним (-), 21:32, 22/12/2023 [^] [^^] [^^^] [ответить]	+/–
> sudo использует ровно тот же pam стек уже тысячу лет. Еще он sudoedit использует. Мы же жить не можем без постоянного редактирования чего там, правильным редактором. Так что вот вам тут вулнов пачку на ровном месте. Дурацкая suid'ная программа.

4.151, Аноним (151), 23:40, 26/12/2023 [^] [^^] [^^^] [ответить]	+/–
Ты же в курсе, что sudoedit запускает редактор от пользователя, а поднимает привилегии только (и только) для замены переданного параметром файла? Да?

1.68, xxxxxxxxxxxxxxxxxxxxxx (?), 15:16, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Почему нкльзя тогда просто использовать ssh?

1.77, Ivan_83 (ok), 15:29, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Пора бы добавить ListenStream в сам sshd а не костылить прослойки inetd style.

1.81, YetAnotherOnanym (ok), 16:39, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В принципе, идея неплохая, только на сокете должен висеть не sshd, а новая софтина, со встроенной системой разделения полномочий на конфиге того же sudo, с проверкой программы-клиента (благо оба процесса на одном хосте крутятся), с удалением всего относящегося к сети, и т.д.

1.84, Аноним (-), 17:02, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Я зашёл в эту статью и с первых строк начал искать слово "docker". Не нашёл. Поэтому пишу его сюда: ваш редхатчик накушался докера. >Fedora Kinoite is a reliable, atomic, safe and containerized platform for the KDE Plasma desktop,

1.85, Аноним (85), 17:29, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> предложил способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Предлагаю универсальный классический способ ухода от suid-бит в GNU/Linux: https://www.opennet.me/openforum/vsluhforumID10/5622.html#8 рассматривать пункт №2

2.92, Аноним (92), 17:59, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
ЗЫ sudo не нужен Если пользователю надо сменить пользователя на root то есть у... большой текст свёрнут, показать

3.106, Ivan_83 (ok), 20:10, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
dbus, policykit для выключения и прочего.

4.127, Аноним (92), 19:09, 21/12/2023 [^] [^^] [^^^] [ответить]

+/–

> dbus, policykit для выключения и прочего.

Это противоречит классической системе безопасности UNIX: DAC, MAC, CAP + INTEGRITY, AUDIT, ACCOUNTING.

dbus, policykit - делает дыру для доступа минуя классичесические для UNIX системы безопасности. Ну и реализация от потеринга ... Подробнее:

https://www.linux.org.ru/forum/security/15600248?cid=15622030
https://www.linux.org.ru/forum/security/15600248?cid=15600880
можно и предыдущие посты прочесть.

4.129, Аноним (92), 19:13, 21/12/2023 [^] [^^] [^^^] [ответить]	+/–
> dbus, policykit для выключения и прочего. У меня правельно собранный GNU/Linux, без: dbus, policykit, systemd, JIT, PBF, ...

3.132, Аноним (128), 19:47, 21/12/2023 [^] [^^] [^^^] [ответить]

+/–

> sudo не нужен.

И страдать, как Тимоти Равье?

> Если пользователю надо сменить пользователя на root то есть утилита su.

Никогда не надо, кроме ремонта.

> Обычному пользователю не надо выполнять команды с привилегиями.

Постоянно надо. Для установки ПО, монтирования съемных устройств, настройки сети.

4.135, Аноним (135), 18:10, 22/12/2023 [^] [^^] [^^^] [ответить]

+/–

>> Обычному пользователю не надо выполнять команды с привилегиями.
> Постоянно надо. Для установки ПО, настройки сети.

Это явно задачи суперпользователя. Пишу с системы где даже у root нету таких полномочий, а вы говорите задачи обычного пользователя.

> монтирования съемных устройств,

И обычным пользователем монтировать. кучу способов, хотябы в /etc/fstab прописать, или его поцтеринг вам тоже удалил?
udev под рутом выполняется и правило можно добавить для автомонтирования своих флешек.

> Для установки ПО

Выше привёл ссылки на linux.org.ru где для установки ПО обычным пользователем используют dbus+polkitd - ад и израель. Уж лучше sudo держать. CAP может решить даную задачу тоже.

2.148, Аноним (-), 19:50, 23/12/2023 [^] [^^] [^^^] [ответить]	+/–
Там порылся мааааааленький фэйл code 1 Мнение разрабов дистрибутива groupad... большой текст свёрнут, показать

1.91, glad_valakas (?), 17:59, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]

+/–

я пришел к похожему сценарию. только с sudo и без systemd.

1) есть простой user. он логинится с консоли, от него запускается X, от него работают недоверенные бинарники. прав на sudo он не имеет, закрытых ключей ssh тоже не имеет, в интересных группах типа root, wheel и adm не состоит. umask 0022.

2) user имеет право сделать так:
ssh superuser@localhost
логин парольный.

3) superuser имеет право на sudo (парольный), держит у себя в $HOME конфиденциальную инфу, не запускает недоверенные бинарники и X приложения, хранит в ~/.ssh свои ключи (парольные), которыми ходит по другим хостам. umask 0077.

где дырки в этой схеме, какие нехорошие сценарии осуществимы (кроме "украдут диск и все файлы украдут") ?

2.94, Аноним (94), 18:10, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Почему просто не использовать два входа в систему под двумя разными пользователями на разных терминалах? Речь о том, что sudo имеет suid-бит, которого наличие в системе не приветствуется.

3.99, glad_valakas (?), 18:25, 20/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
не надо бояться человека с ружьем^W^W^W suid бита. это раньше хаксоры таким программам на вход подавали гигабайт NOP-ов и шеллкод. но сейчас-то все иначе. ведь правда ? да ?

3.133, Аноним (128), 19:51, 21/12/2023 [^] [^^] [^^^] [ответить]

+/–

> sudo имеет suid-бит

И механизм контроля: кто, как и когда им пользуется.

1.98, Аноним (93), 18:25, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Приплыли. Одна половина комментирующих не понимает, что предлагается, вторая — понимает, но как работает OpenSSH понятия не имеет. Почитайте уже доку на OpenSSH дальше PermitRootLogin, чудики вы мои локалхостные. Тимоти дело говорит. Жаль, что большинство тут не догоняет, и вместо этого агрится на RH и systemd.

2.102, ыы (?), 19:22, 20/12/2023 [^] [^^] [^^^] [ответить]	+/–
Мне казалось что суид программа - позволяет как раз обойти ограничения технологии ограничения доступа, когда стройная система оказывается работать по писанному, а нужно просто пнуть молотком чтоб заработало. Причем любому пользователю. тоесть смысл как раз в том чтобы любой юзер мог запустить программу, которая бы сработала "от рута". ну и причем тут токен тогда? что он вообще тут делает?

2.125, Аноним (125), 12:34, 21/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Тимоти дело говорит Скорее занимается таким замечательным делом, как имитирование работы. Переливание из пустого в порожнее - очень плодотворная работа.

2.134, Аноним (128), 19:54, 21/12/2023 [^] [^^] [^^^] [ответить]	+/–
Чудики тыр-тыр-прайзные держат по серверу с докером и вебмордой на каждую юникс-утилиту. А локалхостники дело говорят.

1.107, Аноним (107), 20:56, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Рут без пароля из любой точки системы. Видимо из соображений инклюзичности, чтобы любой тупой "хакер" мог "взломать" систему.

1.117, adolfus (ok), 01:00, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Я написал программу, выставил ей suid, и нахрена мне все это,описанное выше?

1.123, Аноним (-), 01:29, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Сдаюсь. - Не знаю - почему это удаляет какой-то АВТОБОТ!!! Да, и вот Михаил Шигорин и раньше указывал - opennet.ru/openforum/vsluhforumID3/129528.html#199 - "Некоторые используют ssh root@localhost, чтобы убрать ещё один привилегированный бинарник;" Так что трюк "известный". Но если докладчика зовут "Тимоти", то это "wow".

2.143, Аноним (-), 21:35, 22/12/2023 [^] [^^] [^^^] [ответить]

+/–

> Сдаюсь. - Не знаю - почему это удаляет какой-то АВТОБОТ!!!

Потому что у мудобота бывают заскоки и последние несколько дней его плющило. Скажи спасибо что у него туррелей автоматических нет, иначе он бы уже человечество децимировал нахрен.

> Так что трюк "известный". Но если докладчика зовут "Тимоти", то это "wow".

Широко известный в узких кругах видимо. "Остап знал дюжину способов элевации без suid'ного бита".

игнорирование участников | лог модерирования

Добавить комментарий

Текст: