sudo chown – prevenire ../

È necessario consentire a un utente di copiare i file sotto una particolare directory usando sudo. Questo fa il trucco:

user1 ALL= NOPASSWD: /bin/chown -[RPfchv] user2\:user2 /opt/some/path/[a-zA-Z0-9]* 

Ma, non impedisce all'utente di essere sneaky e di fare qualcosa di simile:

[user1 @ rhel ~] sudo / bin / chown -v user2: user2 /opt/some/path/../../../etc/shadow

Qualsiasi modo per proteggere da questo?
La macchina sta eseguendo Linux (Red Hat)

  • Utilizzo di FreeIPA per sudo centralizzato - utilizzando SSSD per sudoers
  • Modificare il messaggio "Non nel file sudoers, questo incidente verrà segnalato"?
  • Passaggio delle variables problema - Bash
  • Dare accesso utente non Root per avviare il servizio mysqld
  • SE Linux - non può cambiare booleans SELinux con sudo
  • Utilizza database per sudo
  • sudo fine, sudo non funziona (command non trovato)
  • Come abilitare l'accesso dell'utente non sudo a tutti i processi?
  • 2 Solutions collect form web for “sudo chown – prevenire ../”

    sudo presenta rischi di sicurezza intrinseci ed è generalmente mal consigliato di dare agli utenti che non hanno elevati livelli di fiducia.

    Perché non limitare semplicemente a chown ricorsivo per la directory padre?

    i sudoers utilizzano principalmente globbing. Secondo il manpage, non corrisponde a / sui caratteri jolly. Maggiori dettagli nella manpage.

    Per quanto riguarda una soluzione più avanzata, uno script dovrebbe fare il trucco.

     [root@server wmoore]# egrep '^wmoore' /etc/sudoers wmoore ALL= NOPASSWD: /bin/chown -[RPfchv] wmoore\:wmoore /home/wmoore/[a-zA-Z0-9]* [wmoore@server ~]$ sudo -l User wmoore may run the following commands on this host: (root) NOPASSWD: /bin/chown -[RPfchv] wmoore:wmoore /home/wmoore/[a-zA-Z0-9]* [wmoore@server ~]$ sudo chown -R wmoore:wmoore /home/wmoore/../../tmp/test Sorry, user wmoore is not allowed to execute '/bin/chown -R wmoore:wmoore /home/wmoore/../../tmp/test' as root on server. 

    Oh giusto. pacchetto sudo:

     Name : sudo Relocations: (not relocatable) Version : 1.6.9p17 Vendor: CentOS Release : 3.el5_3.1 Build Date: Tue 24 Mar 2009 07:55:42 PM EDT 

    CentOS5.

    Provi a fare uno script di sostituzione del chroot, che validation l'input prima di fare la cosa chown (). Quindi aggiungere questo script invece di / bin / chown al file sudoers. Puoi quindi impostare l'alias "chown" per gli utenti se necessario.

    D'altra parte, sei sicuro che i tuoi utenti devono fare chown con privilegi di root? Forse i bit sgid o suid sulle directory risolveranno il tuo problema?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.