1
信頼できない当事者のためにコードを受け取り、実行するサーバーを作成したいと思います。Ubuntu:root以外のユーザーがユーザーを作成して偽装するのを許可します
これをより安全にするために、このコードを実行するために排他的に作成され、削除されたユーザーとしてコードを実行します。
root以外のユーザーに他のユーザーを作成、偽装、削除する権限を与える方法を教えてください。
A
答えて
1
これを行うには、setuid root(つまりchown root my-proxy-process; chmod 47nn my-proxy-process)のプロキシプログラムを使用するしかありません。指定されたユーザーに設定するなど
しかし、このセキュリティ上の問題はかなり明確にする必要があります。限定されている可能性のある1つの方法は、名前のないユーザーが名前グループのユーザーで実行されるようにすることです。 root:myprivategroupでthet proxyコマンドをchownし、4710とし、myprivategroupのメンバーであるユーザーだけが実行できるようにしてください。プロキシプロセスが適切かつ安全でロックダウンされていることを確認して、関連するユーザーだけがグループメンバシップを通じて実行できるようにしてください。
ユーザー提供のプロセスに適用できることがわかっている他の制限がある場合、プロキシプログラムはプロセスがそれらのルールを付与することを検証できます。これがストップギャップであるかもしれないが、誰かがテストに合格する「悪い」プログラムを作る技術の領域を超えているわけではないことに注意してください。
セキュリティを強化するため(推奨)、mark4oで説明したようにサンドボックスまたはchroot jailを使用します。
1
root以外のユーザーにsudoや/ etc/sudoersで権限を与えることはできますが、この方法は安全ではなく線形ではないようです。 私はあなたが必要なものを知っていませんが、いくつかのユーザーを事前に作成してから使用することができます。
0
sandboxingまたはvirtualizationのようなものを使用します。最低でも少なくともchrootの環境。 Sandboxing in Linuxも参照してください。
0
これは、ターミナルなしでsu vieスクリプト(おそらくセキュリティ機能)を使用できないため、問題です。私はあなたがこれを通ってあなたの方法をハックすることができると確信していますが、それはたぶん正当な理由で行われました。
関連する問題
- 1. root以外のユーザーが特定の他のユーザーにprocess.setuidを許可する
- 2. WCFサービス1人のユーザーを偽装しますが、まだユーザーのWindows認証を偽装しますか?
- 3. データベースに「スキーマの作成」をユーザーに許可しますか?
- 4. テーブルの作成と変更をユーザーに許可しますか?
- 5. TFSユーザーがバグを作成することを許可しました
- 6. Identityserver3 - ユーザーの偽装
- 7. 増分はASP.netの許可のユーザーを許可します
- 8. 作成したばかりのユーザーを偽装する方法は?
- 9. ユーザー偽装のパスワードを保存する
- 10. ストアード・プロシージャー以外のユーザーによるレコードの削除を許可しない
- 11. ASP .NETコア - 他のユーザー/偽装ユーザーとしてサインインして戻す
- 12. パブリックチャンネルを管理者以外のすべてのユーザーに表示し、ユーザーのチャンネル作成を禁止する
- 13. NTLMを使用してユーザーを偽装する
- 14. は、ユーザー名に基づいてユーザーを認証しますが、shiro.iniのユーザー役割は許可しません
- 15. Windowsサービスの偽装ユーザー
- 16. 流星の偽装ユーザー
- 17. Silverlightユニットテストの偽装ユーザー
- 18. Mac OS Xでユーザーを偽装する
- 19. 外部ユーザーは推奨しませんが、私を許可しますか?
- 20. ログインしていないユーザーのアクセス許可をシミュレートします
- 21. ASP.NET MVCでユーザーを偽装してテストする
- 22. 偽装なしの他のユーザー(EWS)としてExchangeサーバーの予定表に予定を作成する
- 23. Powershellスクリプトでユーザーのホームフォルダを作成し、アクセス許可を設定する
- 24. 他のユーザーにS3FSバケットディレクトリを使用して許可を許可する
- 25. Firebaseユーザー:許可がfirebase認証を使用しています
- 26. ユーザー名とパスワードを保存し、ユーザーの更新を許可します。 Python
- 27. サービスアカウントを持つGoogleのユーザーを偽装
- 28. 飛行場アズール:ストアドプロシージャを作成するユーザー許可
- 29. これはユーザーの許可なく動作しますか?
- 30. admin以外のすべてのユーザー名を取得します
"であり、信頼できない当事者" ... "の代わりにコードを実行して、これをより安全にします。どのようにして安全になるのだろうか。信頼できないコマンドを受け取り、実行しています。 = :) –
@サイモン:どうしたの?ファイアウォールされたルート以外の別のアカウントで、自分のコンピュータで他のコードを実行したい場合、どのような損害を被りますか? – flybywire
andy、スパムをたくさん送信するのはどうですか?彼らはそれを直接送ることができないかもしれませんが、もしあなたがそれを持っていれば、彼らはローカルのメールスプールに入れられると思います。 – Joshua