क्या कोई उपयोगकर्ता बिना व्यवस्थापक या sudo विशेषाधिकार के मेरे सिस्टम को चला सकता है? [बन्द है]

हाल ही में लिनक्स पर चल रही एक मशीन के ब्रेक के बाद, मुझे एक कमजोर पासवर्ड वाले उपयोगकर्ता के होम फ़ोल्डर में एक निष्पादन योग्य फ़ाइल मिली। मैंने साफ कर दिया है कि सभी नुकसान क्या प्रतीत होता है, लेकिन यह सुनिश्चित करने के लिए एक पूर्ण पोंछ तैयार कर रहा हूं।

NON-sudo या unprivileged उपयोगकर्ता क्या मैलवेयर चला सकते हैं? क्या यह सिर्फ उन फाइलों की तलाश में है, जो दुनिया के लिए संक्रामक अनुमति के लिए उपयुक्त हों? अधिकांश लिनक्स सिस्टम पर एक गैर-व्यवस्थापक उपयोगकर्ता क्या धमकी दे सकता है? क्या आप वास्तविक दुनिया की समस्याओं के कुछ उदाहरण प्रदान कर सकते हैं जो इस तरह के सुरक्षा उल्लंघन का कारण बन सकती हैं?

अधिकांश सामान्य उपयोगकर्ता मेल भेज सकते हैं, सिस्टम उपयोगिताओं को निष्पादित कर सकते हैं, और उच्च बंदरगाहों पर सुनने वाले नेटवर्क सॉकेट बना सकते हैं। इसका मतलब है कि एक हमलावर

• स्पैम या फ़िशिंग मेल भेजें,
• केवल सिस्टम के भीतर से दिखाई देने वाली किसी भी प्रणाली के गलत उपयोग का फायदा उठाएं (निजी पठन अनुमतियों के साथ निजी कुंजी फाइलें देखें),
• मनमानी सामग्री (जैसे पोर्न टोरेंट) वितरित करने के लिए एक सेवा सेटअप करें।

वास्तव में इसका क्या मतलब है यह आपके सेटअप पर निर्भर करता है। उदाहरण के लिए हमलावर मेल भेज सकता है जैसे कि वह आपकी कंपनी से आया हो और आपके सर्वर की मेल प्रतिष्ठा का दुरुपयोग करता हो; इससे भी ज्यादा अगर डीकेआईएम जैसे मेल प्रमाणीकरण सुविधाएँ स्थापित की गई हैं। यह तब तक काम करता है जब तक कि आपके सर्वर का रिपे टिंग नहीं होता है और अन्य मेल सर्वर आईपी / डोमेन को ब्लैकलिस्ट करना शुरू कर देते हैं।

किसी भी तरह से, बैकअप से बहाल करना सही विकल्प है।

अधिकांश उत्तर दो प्रमुख शब्दों को याद कर रहे हैं: विशेषाधिकार वृद्धि ।

एक हमलावर के पास अप्रकाशित खाते तक पहुंच होती है, उनके लिए ऑपरेटिंग सिस्टम और लाइब्रेरी में बग का फायदा उठाना आसान होता है ताकि सिस्टम को विशेषाधिकार प्राप्त पहुंच प्राप्त हो सके। आपको यह नहीं मान लेना चाहिए कि हमलावर ने केवल उन्मुक्त पहुंच का उपयोग किया है जो वे मूल रूप से प्राप्त करते हैं।

एक rm -rf ~या कुछ समान एक बहुत भयावह होगा, और आपको रूट विशेषाधिकार की आवश्यकता नहीं है।

रैंसमवेयर

यह आपकी स्थिति पर लागू नहीं होता है, क्योंकि आपने इसे देखा होगा, लेकिन आजकल कुछ हद तक रैंसमवेयर के लोकप्रिय हमलों (डिक्रिप्शन कुंजी को बेचने के लिए अपने सभी दस्तावेजों को एन्क्रिप्ट करने और ऑफ़र करने के लिए) यह पूरी तरह से अनपेक्षित पहुंच के लिए पर्याप्त है।

यह सिस्टम फ़ाइलों को संशोधित नहीं कर सकता है, लेकिन आम तौर पर बैकअप से मूल्यवान उपयोगकर्ता डेटा (व्यावसायिक दस्तावेज़, पारिवारिक चित्र, आदि) की वसूली की तुलना में खरोंच से एक प्रणाली का पुनर्निर्माण सरल होता है जो अक्सर अप्रचलित या नॉनएक्ससेंटेंट होते हैं।

सबसे आम (मेरे POV में, मेरे अनुभव से):

• स्पैम भेज रहा है

• अधिक स्पैम भेजना

• अन्य कंप्यूटरों को संक्रमित करना

• फ़िशिंग साइट्स सेट करें

• ...

एक वायरस आपके LAN नेटवर्क की सभी मशीनों को संक्रमित कर सकता है और रूट एक्सेस विकी-प्रिविलेज_लेक्लेशन प्राप्त करने के लिए विशेषाधिकार को बढ़ाता है।

प्रिविलेज एस्केलेशन एक ऑपरेटिंग सिस्टम या सॉफ़्टवेयर एप्लिकेशन में बग, डिज़ाइन दोष या कॉन्फ़िगरेशन ओवरसाइट का शोषण करने का कार्य है, जो आमतौर पर किसी एप्लिकेशन या उपयोगकर्ता से सुरक्षित संसाधनों तक पहुँच प्राप्त करने के लिए होता है। परिणाम यह है कि एप्लिकेशन डेवलपर या सिस्टम व्यवस्थापक द्वारा इच्छित से अधिक विशेषाधिकारों के साथ एक आवेदन अनधिकृत कार्रवाई कर सकता है।

मेरे दिमाग में बहुत सारी संभावित संभावनाएँ हैं:

• सेवा से इनकार: यह आपकी मशीन या अधिक संभावित पर हो सकता है, अपने स्वयं के संसाधनों की कीमत पर दूसरे पर हमला करने के लिए अपनी मशीन का उपयोग करें।
• मेरा बिटकॉइन। पैसे पाने के लिए अपने सीपीयू का उपयोग करना पर्याप्त लगता है
• यदि ब्राउज़र असुरक्षित है तो वे आपको हर तरह की साइटों पर पुनर्निर्देशित करने की कोशिश करेंगे, बार स्थापित करेंगे या पॉप-अप दिखाएंगे जो उन्हें राजस्व देगा। सौभाग्य से यह लिनक्स में कठिन लगता है या स्पैमर इस पर उतने अच्छे नहीं हैं।
• कॉमेरियल उपयोग के लिए निजी डेटा प्राप्त करें और इसे दूसरों को बेचें। केवल समझौता किए गए उपयोगकर्ता के लिए: जन्म तिथि, टेलीफोन, यदि यह ब्राउज़र कैच में है।
• पढ़ने योग्य सर्वर में अन्य फ़ाइलों तक पहुँचें।
• दुर्भावनापूर्ण स्क्रिप्ट बनाएं जो रूट पासवर्ड के लिए पूछ सकते हैं। उदाहरण के लिए, आपके बैश में वे आपका पासवर्ड प्राप्त करने के लिए अन्य चीजों के लिए sudo को पुनर्निर्देशित करने का प्रयास कर सकते हैं।
• ब्राउज़र में अपने संग्रहीत पासवर्ड प्राप्त करना या अपने बैंक क्रेडेंशियल्स को बंद करने का प्रयास करना। यह कठिन हो सकता है लेकिन निश्चित रूप से खतरनाक होगा। जीमेल के साथ वे फेसबुक प्राप्त कर सकते हैं, आपकी स्टीम एकाउन्ट, अमेजन आदि चुरा सकते हैं।
• अपने उपयोगकर्ता के लिए मान्य के रूप में दुर्भावनापूर्ण प्रमाणपत्र स्थापित करें

बेशक यह एक बदतर स्थिति है इसलिए घबराएं नहीं। इसमें से कुछ को अन्य सुरक्षा उपायों द्वारा अवरुद्ध किया जा सकता है और बिल्कुल भी तुच्छ नहीं होगा।

सूचना ^[1]

IMHO सबसे अधिक डराने वाली चीज़ जो एक शोषण कर सकती है वह है जानकारी इकट्ठा करना और वापस आने के लिए छिपकर रहना और हड़ताल करना जब आपका ध्यान कम होगा (प्रत्येक रात या छुट्टी की अवधि उपयुक्त होगी)।
निम्नलिखित केवल पहले कारण हैं जो मेरे दिमाग में आते हैं, आप दूसरों को और दूसरों को जोड़ सकते हैं ...

• आपके द्वारा चलाए जा रहे सेवाओं , उनके संस्करण और उनकी कमजोरियों के बारे में जानकारी , अप्रचलित के लिए विशेष ध्यान देने के साथ कि आपको संगतता कारणों से जीवित रखने की आवश्यकता हो सकती है।
• आवधिकता जिसके साथ आप उन्हें अद्यतन करते हैं और सुरक्षा पैच। बुलेटिन के सामने बैठने के लिए और वापस आने के लिए सही समय का इंतजार करें।
• आपके उपयोगकर्ताओं की आदतें कम संदिग्धों को बढ़ाने के लिए जब यह होगा।
• गढ़ आप की स्थापना की।
• यदि एक आंशिक रूट का उपयोग ssh-keys , अधिकृत होस्ट और प्रत्येक उपयोगकर्ता के लिए इस और अन्य मशीनों पर पासवर्ड के लिए किया जाता है (मान लें कि किसी व्यक्ति ने पासवर्ड के साथ एक कमांड को निष्पादित किया है जो एक पैरामीटर के रूप में पारित हो जाता है, तो रूट विशेषाधिकार की भी आवश्यकता नहीं है)। मेमोरी को स्कैन करना और इसे निकालना संभव था। मैं फिर कहता हूं: अपनी मशीन से और अपनी मशीन से। दो मशीनों के बीच 2 पक्षीय ssh प्राधिकरण के साथ वे समझौता किए गए खाते से बाउंस करना जारी रख सकते हैं।

तो उस मशीन को समतल करें और भविष्य के पासवर्ड और कुंजियों की निगरानी करें, इन कारणों के लिए ऊपर और अन्य सभी जो आप अन्य उत्तरों से पढ़ सकते हैं।

^{[1] का हवाला देते हुए नहीं सचमुच हिचकॉक: "एक बंदूक की गोली एक पल तक रहता है, लेकिन एक हाथ एक हथियार चलाने एक पूरी फिल्म पिछले कर सकते हैं"}