मैं Capistrano का उपयोग करके एक परिनियोजित स्क्रिप्ट सेट करने का प्रयास कर रहा हूं । एक स्टेप cap deploy:setupस्क्रिप्ट में मेरे सर्वर से कनेक्ट हो रहा है और निर्देशिकाओं को बनाने वाले आदेशों को चलाने की कोशिश कर रहा है। फिर मुझे एक त्रुटि दिखाई देती है:msudo: sorry, you must have a tty to run sudo
मेरे सर्वर पर रिक्वायरमेंट को अक्षम करने के लिए एक सुझाया गया समाधान है। https://unix.stackexchange.com/a/49078/26271
मैं सोच रहा था कि क्या यह करना सुरक्षित है?
जवाबों:
requirettyएक सर्वर पर होने में एक बहुत ही सीमित सुरक्षा लाभ है । यदि कुछ गैर-रूट कोड का शोषण किया जाता है (उदाहरण के लिए एक PHP स्क्रिप्ट), तो requirettyविकल्प का अर्थ है कि शोषण कोड सीधे अपने विशेषाधिकार को चलाने में सक्षम नहीं होगा sudo।
हो सकता है कि हमलावर को रूट प्राप्त करने का एक और तरीका हो, और निश्चित रूप से हमलावर अभी भी आपकी साइट को डिफेक्ट कर सकेगा, लेकिन हमलावर को लाभ नहीं होने देने का मतलब है कि विभिन्न उपयोगकर्ताओं के रूप में चलने वाली अन्य सेवाएं सामान्य रूप से चलती रहेंगी और हमलावर जीत गया ' t सिस्टम लॉग को मिटाने में सक्षम हो। यदि आपका कोई भी sudoनियम निर्देशिका बनाने जैसा खतरनाक काम नहीं करता है , तो यह चिंता का विषय नहीं है।
इसके अलावा - और अधिक के लिए हानिकारक requiretty- कोई विशेषाधिकार की जरूरत है एक tty बनाने की जरूरत है, जैसे उम्मीद के साथ । तो आप भी बंद कर सकते हैं requiretty: अपने दम पर, यह एक सुरक्षा लाभ प्रदान नहीं करता है। यह उपयोगकर्ताओं द्वारा निष्पादित किए जाने पर एक हल्के ऑडिटेबिलिटी लाभ प्रदान करता है (क्योंकि लॉग एक बेहतर विचार देते हैं कि कौन आमंत्रित किया गया है sudoऔर वे कहाँ से आ रहे हैं), लेकिन पृष्ठभूमि की नौकरी से निष्पादित होने पर नहीं।
requirettyविकल्प किसी को sudo के उपयोग से नहीं रोकता है।
requirettyयदि कोई उपयोगकर्ता एक sudo कमांड निष्पादित कर रहा है, जिसे ssh के माध्यम से पासवर्ड की आवश्यकता होती है, तो वे अपने पासवर्ड को क्लियरटेक्स में लीक होने से रोक सकते हैं। यह उपयोगकर्ता को ssh -t कॉल करने के लिए बाध्य करने के लिए है।
expect(याscreenउदाहरण के लिए) चला सकता है , तोrequirettyसुरक्षा के दृष्टिकोण से बेकार है? (मैं उस वाक्य में "