Книга: Linux глазами хакера
Листинг 4.2. Содержимое конфигурационного файла /etc/sudoers
Листинг 4.2. Содержимое конфигурационного файла /etc/sudoers
# sudoers file.
# Файл sudoers
# This file MUST be edited with the 'visudo' command as root.
# Этот файл должен редактироваться с помощью команды 'visudo'
# от имени root
# See the sudoers man page for the details on how to write a sudoers file.
# Смотрите страницу sudoers руководства, где имеется подробная информация по использованию sudoers-файла.
# Host alias specification
# User alias specification
# Cmnd alias specification
# Defaults specification
# User privilege specification
root ALL=(ALL) ALL
# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL
# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
# Samples
# %users ALL=/sb.in/mount /cdrom,/sbin/umount /cdrom
# %users localhost=/sbin/shutdown -h now
В этом файле только одна строка без комментария:
root ALL=(ALL) ALL
Она состоит из трех параметров:
? имя — пользователь (или группа), которому разрешено выполнять определенную команду. Я рекомендую указывать конкретных пользователей. Хакер может стать участником группы и, не обладая при этом частными привилегиями, получит доступ к выполнению опасных команд;
? компьютер — имя машины, на которой можно выполнять команду от лица администратора;
? команды, которые разрешено выполнять указанному пользователю (перечисляются после знака равно).
Итак, чтобы пользователь смог просмотреть файл /etc/shadow, необходимо прописать соответствующее право. В моей системе есть простой пользователь с именем robert. Для него я добавляю в файл /etc/sudoers следующую запись:
robert ALL=ALL
Теперь пользователь robert сможет выполнять с помощью sudo
любые администраторские задачи. Проверьте это, повторив выполнение команды:
sudo cat /etc/shadow
На этот раз все должно пройти успешно. На экране появится приглашение ввести пароль администратора для выполнения команды.
Но разрешение выполнения абсолютно всех команд не соответствует принципам построения безопасной системы. Необходимо вводить определенные ограничения.
Обслуживать сервер, который обрабатывает ежедневно множество подключений пользователей и на котором работают разные сервисы, в одиночку очень сложно. Чаще в этом участвуют множество людей. Один отвечает за саму систему, другой занимается поддержкой Web-сервера, третий настраивает базу данных MySQL. Давать трем администраторам полные права не имеет смысла, необходимо разрешить каждому выполнять только те команды, которые необходимы для реализации поставленных задач. Таким образом, нужно четко прописывать права для конкретного пользователя.
robert ALL=/bin/cat /etc/shadow
Обратите внимание, что я указываю полный путь к программе cat
(напоминаю, его можно узнать с помощью команды which
), это необходимо, иначе вместо результата, полученного по разрешенной команде, пользователь robert увидит сообщение об ошибке в конфигурации.
Допустим, вы хотите расширить права пользователя и позволить ему не только просматривать файл паролей, но и монтировать CD-ROM-диск. Для этого изменяем строку, добавляя разрешение на выполнение команды mount
:
robert ALL=/bin/cat /etc/shadow, /bin/mount
Обратите внимание, что в случае с доступом к файлу /etc/shadow мы дали добро только на его просмотр, явно указав утилиту cat с параметром в виде пути к файлу с паролями. Это логично, ведь нет смысла изменять его, когда для этого существует команда passwd
. Можно задать просто разрешение на выполнение команды cat
:
robert ALL=/bin/cat, /bin/mount
Но в этом случае хакер сможет от имени root просматривать любые файлы в системе и даже те, которые не должны быть ему видны.
Для команды mount
мы не указываем ничего, кроме самой программы. Таким образом, пользователь сам может варьировать ее параметры. Если явно указать в качестве аргумента CD-ROM, то пользователь сможет монтировать именно это устройство:
robert ALL=/bin/cat /etc/shadow, /bin/mount /dev/cdrom
В рассмотренных примерах вместо имени компьютера я всегда применял ключевое слово ALL
, что соответствует любой машине. Никогда не используйте такое значение параметра в своей реальной системе. Всегда указывайте конкретный компьютер, к которому относится данная запись. Чаще всего это локальный сервер.
С помощью утилиты sudo можно выполнять команды от лица различных пользователей. Для этого используется ключ -u
. Например, следующая команда пытается просмотреть файл паролей от имени пользователя flenov:
sudo -u flenov cat /etc/shadow
Если пользователь не указан, то программа sudo по умолчанию запрашивает пароль root. Это не очень удобно, т.к. придется отдавать пароль администратора учетной записи robert. В этом случае теряется смысл в построении такой сложной системы безопасности, ведь зная пароль root, пользователь сможет зарегистрироваться в системе как администратор и сделать все, что угодно.
Никогда не передавайте пароль администратора. Используйте пароли других учетных записей, которым разрешена работа с необходимыми файлами и программами. В этом случае придется указывать конкретное имя пользователя, которое назначил администратор для выполнения команды.
Еще один способ сохранить пароль администратора — разрешить пользователю выполнять команды без аутентификации. Для этого необходимо между знаком равенства и списком разрешенных команд добавить ключевое слово NOPASSWD
и двоеточие. Например:
robert ALL=NOPASSWD:/bin/cat /etc/shadow, /bin/mount /dev/cdrom
Теперь при выполнении команды sudo
пароль вообще запрашиваться не будет. Это очень опасно, если вы не перечисляете необходимые директивы, а указываете ключевое слово ALL:
robert ALL=NOPASSWD:ALL
Если хакер получит доступ к учетной записи robert, то сможет с помощью утилиты sudo выполнять в системе любые команды. Если вы перечисляете возможные директивы, то серьезность взлома системы уменьшается в зависимости от того, насколько опасные команды вы разрешаете выполнять пользователю robert и в какой мере защищена эта учетная запись (длина и сложность пароля, прилежность владельца и т.д.).
С помощью утилиты sudo можно предоставить доступ для корректировки файлов. Никогда не делайте этого. Если текстовый редактор запустится для правки даже безобидного файла, хакер получит слишком большие возможности:
? выполнять системные команды. Так как редактор открывается с правами root, команды также будут выполняться от имени этого пользователя, а значит, хакер получит в свое распоряжение всю систему;
? открыть любой другой файл, пользуясь правами администратора.
Я никогда не делегирую возможность корректировки конфигурационных файлов с помощью редакторов. Если без этого не обойтись, то никогда не использую в этом случае права root. Конфигурационному файлу назначается другой владелец, и пользователь для исправлений будет запускать программу sudo только от его имени, а это значит, что редактор будет работать не с правами root.
К потенциально опасным командам, которые нежелательно предоставлять для выполнения с правами root другим пользователям, относятся:
? редактирование файлов — позволяет злоумышленнику изменить любой конфигурационный файл, а не тот, что вы задали;
? chmod
— дает возможность хакеру понизить права доступа на конфигурационный файл и после этого редактировать его даже с правами гостя;
? useradd
— добавляет учетные записи. Если хакер создаст пользователя с ID, равным нулю, то он получит полные права в системе;
? mount
— позволяет монтировать устройства. Прописывайте в конфигурационном файле конкретные устройства и доверяйте эту команду только проверенным пользователям. Если хакер смонтирует устройство со своими программами, которые будут содержать SUID-биты или троянские программы, то он сможет получить в свое распоряжение всю систему;
? chgrp
и chown
— санкционируют смену владельца файла или группы. Изменив владельца файла паролей на себя, хакер сможет легко его прочитать или даже изменить.
Напоминаю, что вы должны быть очень внимательны при работе с самой программой sudo, потому что для нее установлен SUID-бит, а значит, она будет выполняться с правами владельца, т.е. администратора системы. Версии sudo, начиная от 1.5.7 и до 1.6.5.p2, содержат ошибку выделения памяти. Хакер может воспользоваться этим для выполнения атаки переполнения стека. Проверьте вашу версию с помощью вызова команды sudo
с ключом -v
. Если вы являетесь администратором, то увидите на экране подробную информацию о программе, как в листинге 4.3.
- Листинг 4.2. Содержимое конфигурационного файла
- Листинг 5.3. Файл конфигурации
- Листинг 12.4. Содержимое файла
- ЧАСТЬ 4. Подгружаемое и генерируемое содержимое. Семантическая разметка
- Листинг 8.9. (print-symlink.с) Отображение адресата символической ссылки
- Листинг 10.1. (simpleid.c) Отображение идентификаторов пользователя и группы
- Эффективная работа с временными файлами сортировки
- Единое имя файла параметров InterBase
- Параметры конфигурационного файла InterBase
- 13. Зарабатываем на своих файлах: файлообменники, загружаеми получаем процент за скачивание
- Листинг 15.11. Код для загрузки файла с Web-сервера
- Пример 9-8. Содержимое $* и $@, когда переменная $IFS -- пуста