Sudo पासवर्ड को अक्षम करके मैं कौन सी विशिष्ट कमजोरियाँ पैदा कर रहा हूँ?


16

अपना पासवर्ड कैसे निष्क्रिय करें, इस बारे में कुछ निर्देश दिएsudo गए हैं। ये निम्न चेतावनी देते हैं

यदि आप sudoअपने खाते के लिए पासवर्ड अक्षम करते हैं, तो आप अपने कंप्यूटर की सुरक्षा के बारे में गंभीरता से समझौता करेंगे। लॉग इन खाते में आपके अप्राप्त पर बैठे किसी व्यक्ति के पास पूर्ण rootपहुँच होगी , और दुर्भावनापूर्ण पटाखे के लिए दूरस्थ कारनामे बहुत आसान हो जाएंगे।

मैं लोगों को अपनी मशीन के लिए भौतिक पहुँच प्राप्त करने के बारे में चिंतित नहीं हूँ। यदि मुझे इस चेतावनी को अनदेखा करना और पासवर्ड को अक्षम करना हो तो क्या दूरस्थ कारनामे संभव या आसान हैं?

जवाबों:


23

यदि आप पासवर्ड रहित sudo की अनुमति देते हैं, तो कोई भी जो आपके मशीन पर कोड चलाने का प्रबंधन करता है क्योंकि आपका उपयोगकर्ता कोड को मूल रूप से चला सकता है। यह वह व्यक्ति हो सकता है जो आपके लॉग इन करते समय आपके कंसोल का उपयोग करता है, लेकिन आपके कंप्यूटर के सामने नहीं, जिसके बारे में आप चिंतित नहीं हैं (वैसे भी, भौतिक पहुंच वाला कोई व्यक्ति बहुत अधिक वही कर सकता है जो वे चाहते हैं)। यह वह व्यक्ति भी हो सकता है जो आपके खाते को किसी अन्य मशीन पर एक्सेस करता है, जहाँ आपने अपनी मशीन पर ssh'ed किया है। लेकिन यह किसी दूरस्थ सुरक्षा छेद का शोषण करने वाला भी हो सकता है - उदाहरण के लिए एक वेब साइट जो आपके ब्राउज़र उदाहरण में कोड को इंजेक्ट करने के लिए ब्राउज़र बग का शोषण करती है।

यह कितना बड़ा सौदा है? कई कारणों से इतना नहीं:

  • एक हमलावर जिसे रिमोट होल मिला है, वह संभवतः एक स्थानीय रूट छेद भी ढूंढ सकता है।
  • कई हमलावर रूट विशेषाधिकारों की परवाह नहीं करते हैं। वे जो चाहते हैं, वह स्पैम भेजना और अन्य मशीनों को संक्रमित करना है, और वे इसे आपके उपयोगकर्ता के रूप में कर सकते हैं।
  • एक हमलावर जिसके पास आपके खाते तक पहुंच है, एक ट्रोजन को ड्रॉप कर सकता है जो आपके कीस्ट्रोक्स (आपके पासवर्ड सहित) को कैप्चर करता है या जो आपके अगले आदेश का उपयोग करने के लिए रूट हासिल करने के लिए आपके द्वारा अगले उपयोग के लिए जो भी उपयोग करता है, उस पर गुल्लक।
  • यदि आप अपनी मशीन पर एकमात्र उपयोगकर्ता हैं, तो आपके उपयोगकर्ता के रूप में पहुंच योग्य नहीं है।

दूसरी ओर:

  • यदि आप सुरक्षा अद्यतनों के साथ अप-टू-डेट हैं, तो हमलावर को शोषण के लिए एक स्थानीय छेद नहीं मिल सकता है।
  • एक गैर-रूट हमलावर अपनी पटरियों को बहुत अच्छी तरह से मिटा नहीं सकता है।
  • अब एक पासवर्ड टाइप करना और फिर ज्यादा बोझ नहीं है।
  • पासवर्ड टाइप करने से आपको याद आता है कि आप कुछ खतरनाक कर रहे हैं (जैसे: डेटा खो सकता है या आपका कंप्यूटर बेकार हो सकता है)। (एक गैर-रूट उपयोगकर्ता के रूप में, एकमात्र वास्तविक खतरा गलती से डेटा मिटा रहा है, और यह आमतौर पर स्पष्ट है जब आप कुछ मिटा रहे हैं और अतिरिक्त सावधानी बरतनी चाहिए।)

9

मुझे लगता है कि sudo के लिए पासवर्ड केवल दो चीजों से आपकी रक्षा कर सकता है:

  1. अपने स्वयं के सिस्टम की आकस्मिक क्षति (उदाहरण के लिए rm -rfपहले की तुलना में अलग निर्देशिका में शेल इतिहास से संबंधित पथ के साथ चलने वाले कुछ , या ऐसा कुछ)
  2. चल रहा है (दुर्भावनापूर्ण) स्क्रिप्ट जो आक्रमण करता है sudoऔर आपके सिस्टम को चोट पहुंचाने की कोशिश करता है (लेकिन मुझे नहीं लगता कि इस तरह का दुर्भावनापूर्ण सॉफ़्टवेयर बहुत लोकप्रिय है)

यदि आप चाहते हैं कि आप NOPASSWDकेवल चयनित आदेशों के लिए विकल्प का उपयोग कर सकते हैं जो आपके सिस्टम (संपादकों के लिए या सेवाओं को फिर से शुरू करने के लिए) को चोट नहीं पहुंचाएंगे और अन्य आदेशों के लिए पासवर्ड रखेंगे।


-1 खतरनाक सुझाव के लिए जो किसी संपादक को रूट के रूप में चलाने की अनुमति देता है, सिस्टम को नुकसान नहीं पहुंचा सकता। उस समय आप किसी भी चीज को जड़ के रूप में चलाने दे सकते हैं क्योंकि एक संपादक सत्र वैसे भी मनमाने कोड निष्पादन में सक्षम बनाता है।
कालेब

2

यह ध्यान देने योग्य है कि कुछ सक्षम संगठन वास्तव में पासवर्ड रहित sudo पसंद करते हैं, जब उनके पास ऐसे उपयोगकर्ता होते हैं जिन्हें बहुत से अलग-अलग दूरस्थ होस्ट में लॉग इन करने की आवश्यकता होती है - विशेष रूप से अगर इसमें सुरक्षा के विभिन्न स्तरों वाले होस्ट शामिल हों।

अपना पासवर्ड दर्ज करने में समस्या यह है कि आप अपना पासवर्ड रिमोट सिस्टम को नियमित आधार पर दे रहे हैं। SSH का उपयोग करने का एक कारण यह है कि इस तरह के सुरक्षा छेद से बिल्कुल न बचें। यह ट्रेडऑफ़ का प्रश्न है: आप इस संभावना को बढ़ा रहे हैं कि उपयोगकर्ता के पासवर्ड से इस संभावना को कम करने के लिए समझौता किया जाएगा कि एक हमलावर जिसने एक सत्र या कुंजी समझौता किया है, रूट एक्सेस प्राप्त करने में सक्षम होगा। विशेष रूप से, निम्नलिखित परिदृश्य की कल्पना करें:

  • बड़ा संगठन
  • कई मेजबान
  • मेजबानों की सुरक्षा के स्तर अलग-अलग हैं
  • गैर-रूट पहुंच पहले से ही हानिकारक है
  • उपयोगकर्ता पासवर्ड कई चीजों को अनलॉक करते हैं

मेरे द्वारा बताए गए परिदृश्य में, पासवर्ड रहित sudo उपयोगकर्ता के पासवर्ड की सुरक्षा करके आपकी सुरक्षा बढ़ा सकता है । यह पासवर्ड-पुन: उपयोग के हमलों के समान है जो इंटरनेट पर आम हो गए हैं, सिवाय इसके कि पासवर्ड के वास्तविक पुन: उपयोग के बजाय एक एकीकृत प्रमाणीकरण प्रणाली से भेद्यता उपजी है।

जब तक आप एक विशाल कंपनी में नहीं होते हैं, तब तक पासवर्ड वाला sudo शायद आपकी सुरक्षा बढ़ा देगा - लेकिन जरूरी नहीं कि यह एक बड़ी राशि हो। जब तक आप सिस्टम सुरक्षा में वास्तव में एक पेशेवर हैं, या यह एक मेजबान है, इस पर विशेष रूप से मूल्यवान कुछ भी नहीं है, मैं आपको इसे छोड़ने की सलाह दूंगा।


-1

यदि आपने sshdस्थापित नहीं किया है, तो यह बहुत ही सुरक्षित है, जब तक कि आप अपने आप को तोड़ न दें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.