Оказывается, sudo и расширенный $PATH юзера - потенциальные уязвимости

0

3

В продолжение недавней темы Урезаешь ли ты $PATH для обычного юзера, $USER? .

В той теме почему-то никто не угадал почему не стоит расширять $PATH обычного юзера. И я тоже не угадал. И это двойка по информационной безопасности всем нам.

Так вот, из $PATH обычного юзера вырезают /sbin, /usr/sbin и /usr/local/sbin чтобы сильно усложнить жизнь потенциальному взломщику. Если он взломает обычного юзера и повысит привилегии... у него может быть даже обзор системы сильно ограничен при таких настройках. Не говоря уже о том, что ему будет сложнее выполнять бинарники из sbin'ов с уже повышенными им привилегиями.

А чем вредно для секурности sudo? Например, этим:

После выполнения sudo существует временной отрезок, в течение которого повторное выполнение команды sudo не требует пароль (что удобно для взлома вашего компьютера со стороны rootkits и хакерских атак).

Поэтому su лучше чем sudo, а отсутствие /sbin, /usr/sbin и /usr/local/sbin в $PATH обычного юзера лучше чем их наличие там. Такова серьёзная секурность.

Ссылка

←	Робот-вуайерист

Штекер БП к новым ноутам MSI и совместимость PD-переходников

→

← 1 2 3 4 →

Ответ на: комментарий от saahriktu 21.12.22 15:34:50 MSK

- Что Гаврила? Ведь это же халтура! - защищался Ляпис. - Я написал о
Кавказе.
- А вы были на Кавказе?
- Через две недели поеду.
- А вы не боитесь, Ляпсус? Там же шакалы!
- Очень меня это пугает! Они же на Кавказе не ядовитые!
После этого ответа все насторожились
- Скажите, Ляпсус, - спросил Персицкий, - какие, по-вашему, шакалы?
- Да знаю я, отстаньте!
- Ну, скажите, если знаете!
- Ну, такие... В форме змеи.
- Да, да, вы правы, как всегда. По-вашему, ведь седло дикой козы по-
дается к столу вместе со стременами.
- Никогда я этого не говорил! - закричал Трубецкой.
- Вы не говорили. Вы писали. Мне Наперников говорил, что вы пытались
ему всучить такие стишата в "Герасим и Муму", якобы из быта охотников.
Скажите по совести, Ляпсус, почему вы пишете о том, чего вы в жизни не
видели и о чем не имеете ни малейшего представления? Почему у вас в сти-
хотворении "Кантон" пеньюар - это бальное платье? Почему?!
- Вы - мещанин, - сказал Ляпис хвастливо.
- Почему в стихотворении "Скачки на приз Буденного" жокей у вас затя-
гивает на лошади супонь и после этого садится на облучок? Вы видели ког-
да-нибудь супонь?
- Видел.
- Ну, скажите, какая она?
- Оставьте меня в покое. Вы псих.
- А облучок видели? На скачках были?
- Не обязательно всюду быть, - кричал Ляпис, - Пушкин писал турецкие
стихи и никогда не был в Турции.
- О, да, Эрзерум ведь находится в Тульской губернии.
Ляпис не понял сарказма. Он горячо продолжал:
- Пушкин писал по материалам. Он прочел историю пугачевского бунта*,
а потом написал. А мне про скачки все рассказал Энтих*.
После этой виртуозной защиты Персицкий потащил упирающегося Ляписа в
соседнюю комнату. Зрители последовали за ними. Там на стене висела
большая газетная вырезка, обведенная траурной каймой*.
- Вы писали этот очерк в "Капитанском мостике"?
- Я писал.
- Это, кажется, ваш первый опыт в прозе? Поздравляю вас! "Волны пере-
катывались через мол и падали вниз стремительным домкратом"*... Ну, и
удружили же вы "Капитанскому мостику". Мостик теперь долго вас не забу-
дет, Ляпис!
- В чем дело?
- Дело в том, что... Вы знаете, что такое домкрат?
- Ну, конечно, знаю, оставьте меня в покое...
- Как вы себе представляете домкрат? Опишите своими словами.
- Такой... Падает, одним словом.

kott ★★★★★
(21.12.22 15:44:17 MSK)

Ответ на: комментарий от kott 21.12.22 15:44:17 MSK

Я написал

Возможно ... но это не точно.

Чтобы понимать точнее надо лучше знать информационную безопасность.

saahriktu ★★★★★
(21.12.22 15:51:10 MSK) автор топика

Ответ на: комментарий от saahriktu 21.12.22 15:51:10 MSK

почему вы пишете о том, чего вы в жизни не видели и о чем не имеете ни малейшего представления?

kott ★★★★★
(21.12.22 15:52:40 MSK)

Ответ на: комментарий от kott 21.12.22 15:52:40 MSK

Так, может, это Вы не имеете представления?

Мне грамотные IT-специалисты сказали, что $PATH у юзера урезают и sudo блокируют для безопасности и что чтобы понимать подробности надо быть специалистом по информационной безопасности. Они также подозревали, что ЛОРовцы слишком мало знают чтобы это понять. Вот, решил поделиться инфой и проверить.

saahriktu ★★★★★
(21.12.22 16:00:33 MSK) автор топика

Ответ на: комментарий от saahriktu 21.12.22 16:00:33 MSK

чтобы понимать подробности надо быть специалистом по информационной безопасности.

У нас есть такие приборы, но мы вам о них не расскажем

kott ★★★★★
(21.12.22 16:03:37 MSK)

Ссылка

Ответ на: комментарий от CrX 21.12.22 13:57:10 MSK

Это устаревший сборник рекомендаций на основе существующих практик размещения файлов в линуксе. Чаще всего в /bin он уже не лежит, но вызвать по этому адресу по прежнему можно (для совместимости).

altwazar ★★★★
(21.12.22 16:10:14 MSK)

Ссылка

Ответ на: комментарий от saahriktu 21.12.22 16:00:33 MSK

Мне грамотные IT-специалисты сказали, что $PATH у юзера урезают и sudo блокируют для безопасности и что чтобы понимать подробности надо быть специалистом по информационной безопасности.

Вот это как раз повод усомниться в их грамотности.

Они также подозревали, что ЛОРовцы слишком мало знают чтобы это понять. Вот, решил поделиться инфой и проверить.

Не постигли дзена и не достигли просветления? Где вменяемые доводы, которые не идут вразрез с логикой? Апелляция к авторитеты — не аргумент. Звучит реально как сектанство какое-то. Или ляпнули не подумав, а теперь отмазываются «да вы просто ничего не знаете, что вам объяснять», вместо того, чтобы членораздельно нахрюкать, каким же таким чудесным образом безопасность зависит от конкретной переменной окружения и наличия в ней путей, к которым доступ и так есть.

CrX ★★★★★
(21.12.22 16:13:32 MSK)
Последнее исправление: CrX 21.12.22 16:16:22 MSK (всего исправлений: 1)

Ответ на: комментарий от saahriktu 21.12.22 16:00:33 MSK

Мне грамотные IT-специалисты сказали

Они сейчас с тобой, в этой комнате?

t184256 ★★★★★
(21.12.22 17:56:55 MSK)

Ответ на: комментарий от t184256 21.12.22 17:56:55 MSK

В одних со мной чатах в Телеграме.

saahriktu ★★★★★
(21.12.22 18:03:07 MSK) автор топика

Ссылка

Ответ на: комментарий от urxvt 21.12.22 01:20:45 MSK

Сначала я ничего не понял.

А если взломает какой-нибудь скрипт? Он может и поломаться на том, что какая-нибудь команда не выполнится как предполагалось его автором.

А потом как понял…

Что ты понял? Я всё ещё ничего не понял.

question4 ★★★★★
(21.12.22 20:52:26 MSK)

Ответ на: комментарий от saahriktu 21.12.22 16:00:33 MSK

Жирно

alex1101 ☆
(21.12.22 21:15:32 MSK)

Ссылка

Ответ на: комментарий от saahriktu 21.12.22 02:08:10 MSK

Я вот не понимаю, каким образом ему ограничивается обзор системы, обьясни пожалуйста поподробнее

Slack ★★★★★
(21.12.22 22:21:02 MSK)

почему-то никто не угадал почему не стоит расширять $PATH обычного юзера

Всмысли? А это что?

no-such-file ★★★★★
(21.12.22 22:25:18 MSK)

Используйте doas! Прекрасная альтернатива sudo.

Slack ★★★★★
(21.12.22 22:25:23 MSK)

Ссылка

Ответ на: комментарий от no-such-file 21.12.22 22:25:18 MSK

Признаю свою ошибку.

saahriktu ★★★★★
(21.12.22 22:37:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Slack 21.12.22 22:21:02 MSK

Я вот не понимаю, каким образом ему ограничивается обзор системы, обьясни пожалуйста поподробнее

Я сам не понимаю всех подробностей. Мне так сказали, что при таких настройках у него может быть ограничен обзор. А как именно - надо разбираться.

saahriktu ★★★★★
(21.12.22 22:40:10 MSK) автор топика

Ответ на: комментарий от question4 21.12.22 20:52:26 MSK

Что ты понял? Я всё ещё ничего не понял.

Что если я переименую у себя все бинарники в /bin то меня никакой хакир не взломает и его хакирские скрипты у меня не заработают.

urxvt ★★★★★
(21.12.22 23:05:48 MSK)

Ответ на: комментарий от saahriktu 21.12.22 22:40:10 MSK

Я сам не понимаю всех подробностей. Мне так сказали

Не парься, для нынешнего времени это норма. Можно даже интеллектуальной элитой прослыть.

alex1101 ☆
(21.12.22 23:09:35 MSK)
Последнее исправление: alex1101 21.12.22 23:10:14 MSK (всего исправлений: 1)

Ответ на: комментарий от alex1101 21.12.22 23:09:35 MSK

Дык невозможно одновременно разбираться, например, в хирургии и ядерной физике. В IT тоже есть разные области. Я не по информационной безопасности. Как и не по железу.

saahriktu ★★★★★
(21.12.22 23:22:59 MSK) автор топика

Ссылка

Ответ на: комментарий от CrX 21.12.22 16:13:32 MSK

к которым доступ и так есть

Там суть в том, что если они не в PATH то ты всегда будешь запускать как, условно /sbin/mount, а не просто mount. И в этом случае даже если кто-то добавит тебе PATH=/tmp/troyan:$PATH то из-за привычки указывать полный путь, шанс что ты его запустишь уменьшается.

no-such-file ★★★★★
(22.12.22 00:04:58 MSK)
Последнее исправление: no-such-file 22.12.22 00:05:32 MSK (всего исправлений: 1)

Ответ на: комментарий от urxvt 21.12.22 23:05:48 MSK

Странный способ защиты от странного хакера

Slack ★★★★★
(22.12.22 00:09:34 MSK)

Ссылка

Если он взломает обычного юзера и повысит привилегии... у него может быть даже обзор системы сильно ограничен при таких настройках.

Лицорука, яйцонога 🤦‍♂️

~~erfea~~ ★★★★★
(22.12.22 00:24:14 MSK)

Ссылка

лор 2023, личный разбан, итоги.

~~easybreezy~~
(22.12.22 02:04:31 MSK)

Ответ на: комментарий от saahriktu 21.12.22 16:00:33 MSK

Мне грамотные IT-специалисты сказали, что $PATH у юзера не урезают и sudo не блокируют для безопасности и что чтобы понимать подробности надо быть специалистом по информационной безопасности. Они также подозревали, что saahriktu слишком мало знает чтобы это понять. Вот, решил поделиться инфой и проверить.

~~easybreezy~~
(22.12.22 02:10:47 MSK)

Ссылка

Ответ на: комментарий от easybreezy 22.12.22 02:04:31 MSK

«Если вам не нравятся мои ответы, то вы тогда не задавайте вопросов» ©

saahriktu ★★★★★
(22.12.22 02:14:45 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 02:14:45 MSK

Я тебе вопросов не задавал. Если раньше считал тебя странным фриком-провокатором, то теперь считаю просто идиотом.

~~easybreezy~~
(22.12.22 02:16:22 MSK)

Ответ на: комментарий от easybreezy 22.12.22 02:16:22 MSK

В прошлой теме, на которую приведена ссылка, большинство людей не понимали зачем урезать $PATH юзера, какой от этого профит. Поэтому я спросил это у тех людей, которые мне говорили, что так нужно делать для безопасности. И донёс до ЛОРа из тех ответов то, что смог. Ещё предварительно посмотрев дополнительную инфу в интернете.

А так они мне говорили читать вот эту новость и дальше по ссылкам: https://www.opennet.ru/opennews/art.shtml?num=29010 .

saahriktu ★★★★★
(22.12.22 02:22:57 MSK) автор топика

Ссылка

Ответ на: удаленный комментарий

Моё мнение, что обычному юзеру сегодня такой уровень секурности не нужен. Но тут речь именно о таком, высоком и корпоративном уровне секурности.

Я не разворачивал ответ дальше того, что я понял. В том и засада, что людей заинтересовало в первую очередь то, что дальше.

А моей задачей было донести, что определённые аргументы против sudo и /sbin, /usr/sbin и /usr/local/sbin в $PATH юзера всё-таки есть, пусть и далеко не все это признают.

saahriktu ★★★★★
(22.12.22 02:33:14 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 02:33:14 MSK

Моё мнение, что обычному юзеру сегодня такой уровень секурности не нужен

В чем оно состоит? Не призрачных «людей, которые тебе что-то говорили».

Но тут речь именно о таком, высоком и корпоративном уровне секурности.

С которым ты наверняка сталкивался, или тоже «люди говорили»?

А моей задачей было донести, что определённые аргументы против sudo и /sbin, /usr/sbin и /usr/local/sbin в $PATH юзера всё-таки есть, пусть и далеко не все это признают.

Конечно там нет никаких аргументов, просто раньше ты прятался под «не всем нужно», а теперь решил прятаться под «знакомые специалисты рассказали».

Молодец, развел тред на 3 страницы комментариев и меня подорвал.

Кроме «лор 2023, личный разбан от макскома, итоги.» повторить больше нечего. Удачного пути.

~~easybreezy~~
(22.12.22 02:39:02 MSK)

Комменты пролистал в надежде увидеть «Security through obscurity», но даже димез про это не написал.

~~easybreezy~~
(22.12.22 02:41:47 MSK)

Ссылка

Ответ на: комментарий от easybreezy 22.12.22 02:39:02 MSK

Молодец, развел тред на 3 страницы комментариев

Прямо с языка сняли :)

ПыСы: доколе тролля кормить будем?

bugfixer ★★★★★
(22.12.22 02:44:01 MSK)

Ссылка

Ответ на: комментарий от easybreezy 22.12.22 02:39:02 MSK

В чем оно состоит?

Я написал. Есть мнение, что такой уровень секурности нужен всем, кто не экстремал. Я считаю иначе.

С которым ты наверняка сталкивался, или тоже «люди говорили»?

Я столкнулся с такими стандартами. Уже почти год собираюсь вступить в команду, где такие традиции, но до последнего времени об этом разговор особо не заходил.

saahriktu ★★★★★
(22.12.22 02:51:10 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 02:51:10 MSK

Уже почти год собираюсь вступить в команду, где такие традиции

Желаю успехов.

уровень секурности
PATH

~~easybreezy~~
(22.12.22 02:53:44 MSK)

Ссылка

Ответ на: комментарий от saahriktu 22.12.22 02:51:10 MSK

Уже почти год собираюсь вступить в команду, где такие традиции

Озвучьте же уже «героев нашего времени»? Дабы не дай бог не вляпаться…

bugfixer ★★★★★
(22.12.22 03:00:01 MSK)

Ответ на: комментарий от bugfixer 22.12.22 03:00:01 MSK

А вот не скажу в этой теме, поскольку не до конца понятные большинству традиции могут встречаться где угодно, а в остальном там всё OK. Собственно, и в урезанном у юзера $PATH и su вместо sudo я ничего страшного не вижу. Тем более, что su я и так юзал. Просто я раньше не до конца его осилил, а теперь начал юзать его правильнее. И более полный $PATH мне теперь неактуален больше. Прежний менее правильный вариант юзания мной su требовал расширенного варианта $PATH у юзера.

Кстати, знаю, что как минимум один человек в команде юзает sudo и всем OK.

saahriktu ★★★★★
(22.12.22 03:06:59 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 03:06:59 MSK

А вот не скажу в этой теме, поскольку не до конца понятные большинству традиции

Вот Вы прямо таки провоцируете меня на остроты на тему «традиционных ориентаций» команды сейчас.

Но, не соскакивайте с темы, пожалуйста - я очень желаю знать кто такой гениальный нынче? Да ещё и «в массы» это несёт?

bugfixer ★★★★★
(22.12.22 03:14:16 MSK)

Ответ на: комментарий от bugfixer 22.12.22 03:14:16 MSK

Ну чтож. Про прямую связь $PATH и sudo с безопасностью мне говорили, например, Андрей Черепанов (кстати, присутствует в чатах кучи разных дистрибутивов, включая Магейю, Росу и openSUSE) и Алексей Новодворский. Последний уточнил, что /sbin, /usr/sbin и /usr/local/sbin в $PATH у обычного юзера «это не безусловная дыра» (c)

saahriktu ★★★★★
(22.12.22 03:32:23 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 03:32:23 MSK

Андрей Черепанов

Подозреваю что в испорченный телефон играем. Если он Вам действительно такое заявил - призовите ужо его сюда. Пусть расставит все точки «над и». Только я думаю что он такого не говорил, а это всего лишь Ваша болезненная интерпретация.

bugfixer ★★★★★
(22.12.22 03:42:01 MSK)

Ответ на: комментарий от urxvt 21.12.22 23:05:48 MSK

если я переименую у себя все бинарники в /bin то меня никакой хакир не взломает и его хакирские скрипты у меня не заработают.

Логично.

question4 ★★★★★
(22.12.22 03:48:22 MSK)

Ссылка

Ответ на: комментарий от bugfixer 22.12.22 03:42:01 MSK

По ходу, он не очень уважает ЛОР чтобы уделять ему больше времени.

saahriktu ★★★★★
(22.12.22 03:55:52 MSK) автор топика
Последнее исправление: saahriktu 22.12.22 04:15:54 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от no-such-file 22.12.22 00:04:58 MSK

Только именно к безопасности это отношения имеет мало.

CrX ★★★★★
(22.12.22 03:56:00 MSK)

Skull

kott ★★★★★
(22.12.22 04:14:24 MSK)

Dimez maxcom
Пожалуйста, удалите тему. Раз ненужна (куча дизлайков) - значит, ненужна.

saahriktu ★★★★★
(22.12.22 04:38:14 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 04:38:14 MSK

Раз ненужна

Не не не. Plot just thickens… Требую «продолжения банкета».

bugfixer ★★★★★
(22.12.22 05:10:08 MSK)

Ответ на: комментарий от bugfixer 22.12.22 05:10:08 MSK

Банкет мог продолжаться без привлечения третьих лиц. А теперь если он продолжится, то я опять уйду с ЛОРа (не обязательно удаляя аккаунт). Потому, что мы так не договаривались, и это довольно некрасиво. Зря я согласился продолжить диалог...

Мне проще признать что я что-то не так понял. В этом случае я, действительно, не понял что к чему.

saahriktu ★★★★★
(22.12.22 05:31:14 MSK) автор топика

Ответ на: комментарий от saahriktu 22.12.22 05:31:14 MSK

Мне проще признать что я что-то не так понял.

Если бы Вы это сделали - в глазах многих присутствующих это был бы большой плюс. А пока видна только попытка слиться до того как «зубры» пришли…

bugfixer ★★★★★
(22.12.22 05:40:49 MSK)

Ссылка

Ответ на: комментарий от saahriktu 22.12.22 04:38:14 MSK

Удалять тему с кучей комментариев некрасиво по отношению к комментаторам. Так же некрасиво шантажировать сообщество самозабаном.

~~DrBrown~~ ★
(22.12.22 08:24:03 MSK)

Ответ на: комментарий от urxvt 21.12.22 23:05:48 MSK

если я переименую у себя все бинарники в /bin

Это полумеры, я вот просто удалил /bin, теперь ни один хакир не страшен.

~~DrBrown~~ ★
(22.12.22 08:30:23 MSK)

Ответ на: комментарий от DrBrown 22.12.22 08:30:23 MSK

А я просто сказал бинарникам, что они сами вольны определять свой тип, и бинарные файлы стали небинарными.

alex1101 ☆
(22.12.22 08:33:55 MSK)

Ответ на: комментарий от CrX 22.12.22 03:56:00 MSK

именно к безопасности это отношения имеет мало

Почему? Если ты делаешь что-то типа sudo mount (а для того что в /sbin это не редкость) и при этом используется твой PATH то троян получит привилегии root. Эскалация налицо.

Только не надо мне сейчас рассказывать, что это не сработает потому и потому. Я знаю что это сейчас не сработает. Но когда-то работало.

no-such-file ★★★★★
(22.12.22 08:36:49 MSK)

Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)

← 1 2 3 4 →

←	Робот-вуайерист

Talks

Штекер БП к новым ноутам MSI и совместимость PD-переходников

→

Похожие темы