Két probléma openssh-ben

Először: amikor a felhasználó csatlakozik
SSH (biztonságos shell - segédprogram
távirányító)
üdvözlés, akinek helye
a felhasználó önkényesen határozhatja meg.
Ugyanakkor a rendszer leolvassa a fájlt
üdvözlet, jogokkal dolgozik
superuser, azaz. képes olvasni
fájl, amelyet önmagában nem lehet olvasni
felhasználó.

Amikor egy felhasználót csatlakoztat az SSH-n keresztül
a rendszer a login_conf fájlból érkezik
paraméterek

Itt van a kód, amelyet nekik
jelenik meg:

megengedett:
f = fopen (login_getcapstr (lc, "welcome", "/ etc / motd"
"/ Etc / motd"), "r");
míg a (fgets (buf, sizeof (buf), f))
fputok (buf, stdout);
fclose (f);

A hozzáférési jogok visszaállítása
a superuser később történik.

A második probléma: ha sshd-t használunk
egy adott program futtatásához, és
megengedett sftp (a szabványos fájlátvitel helyettesítése
protokoll), a felhasználók
korlátozott jogokkal rendelkeznek
további jogokat. probléma
létezik mind az OpenSSH 2.9-ben az OpenBSD-ben, mind a
portált változat
OpenSSH 2.9p2. Ezekben a rendszerekben alapértelmezés szerint az sftp
megengedett.

Az OpenSSH lehetővé teszi a jogok korlátozását
specifikus felhasználók számára. Például,
célszerű beállítani a mentési rendszert
konfiguráció egy másik szerveren, miközben
A konfiguráció titkosítva van
ez a megfelelő szerver, és ez
a megfelelő kiszolgálóra továbbítódik. és
korlátozhatja a felhasználó jogait,
felelős a műveletért,
csak egy sor szükséges parancs.

Annak ellenére, hogy nagy számban
korlátozások, az OpenSSH nem tiltja meg tiltani
hozzáférés az sftp-hez. Sftp segítségével az ügyfél képes
venni, küldeni, törölni és módosítani
master fájlok és könyvtárak.

Van egy fontos szerver.
Van egy DumpTape szerver.
Fontos úgy van beállítva, hogy megtartsa
konfiguráció a DumbTape-ben.

Bárki, aki hozzáfér a kulcshoz a DumpTape-on (például,
mint root
rajta) képes lesz csatlakozni a szerverhez
Fontos az sftp segítségével, menj és
helyettesíti a felelős fájlokat
a felhasználó hozzáférési jogainak korlátozása,
ezért távolítsa el a korlátozásokat tőlük.
Ezután csatlakozhat
SSH-n keresztül (telnet analóg).

Ha felváltja a biztonsági másolat parancsfájlját
másolás az utasításokban leírtak szerint
a
OpenSSH, a szkript fut rootként, és
aki kiszabadítja a kiszolgálót
A DumbTape adminisztrátori hozzáférést kap a
Fontos szerver. Továbbá ő
bármit is tehet vele.

Ajánlások a második megszüntetésére
problémák: mindaddig, amíg nincs
kiadott egy hivatalos patch, megtiltani
az sftp használatával.

Ossza meg ezt a cikket barátaival:

• 2 órája

A Google feltárta a Chrome OS sérülékenységeinek részleteit, amelyek 100 000 dollárra találták a szakértőt

A Microsoft legfrissebb javításai az Epson nyomtatók munkájának kudarcához vezetnek

A szakember megtalálta a privát kulcsokat, az AWS hitelesítő adatokat a DJI tárolóban, és most bírósággal fenyegeti

Az Oracle kiadott egy sürgősségi javítást a PeopleSoft termékek kritikus sérülékenységeihez

Kapcsolódó cikkek

• Ismert problémák a netcat disztribúcióinak, frissítéseinek és frissítéseinek, valamint azok megoldásainak, privát

• Intervencionális carotis stenting a emóliás módszertani problémákkal szemben

• Keresse meg a probléma gyökerét