daily memorandum 2.3.0
CBUG | FreeBSD | Hiki | Knoppix | Mac | Ruby | W-ZERO3 | Windows | ad | amd64 | ks | linux | momonga | net | print | security | tdiary | unix | www | 会社 | 鯖缶 | 全学ゼミ | 本
2005-11-19 (Sat)
_ [security] sudo から interactive shell が実行させたくないわけ
sudo から interactive shell が実行できないようにするには の続き。
そもそもなぜ sudo から interactive shell を実行させたくないかというと、 その shell から打ち込まれたコマンドが syslog に残らないからなのだが、 そう考えていくと実はいわゆる shell と呼ばれるものだけを制限するのでは不十分で、 irb みたいに対話的に script を実行できるものも制限したくなるし、 vi とか Emacs みたいに中から shell を呼べるものも制限したくなる。
こう考えていって、「じゃあいっそのことユーザーのキータイプをすべてモニタして 記録する shell を作ってしまえ」というコンセプトで作られたのが sudoshなのだと思う。 ただ、
- 実行されたコマンドからエディタのキータイプまで全部記録してくれても、そんなの全部見る気にはならない。
- log は /var/log/sudosh/ に吐かれるわけだが、sudosh 起動してる時は root なんだから、消したり改竄したりできちゃうよね、コレ。syslog みたいにリモートにログ転送することも出来ないし・・・
ってことで、イマイチ気に入ってない。 後者については、FreeBSD だったら chflags(2) で schg つけるように sudosh を改造すればマシになる *1 のだが。。。
ちなみに、最近の sudo だと sudoedit というのがくっついてくる。 これは
- 引数で与えられたファイルの内容を、sudo で移行したユーザー(通常 root)の権限で /var/tmp 以下にコピーする。
- 元のユーザーの権限でエディタを起動し、上記ファイルを開く。
- エディタを終了したら、編集したファイルを sudo で移行したユーザーの権限で書き戻す。
ということをするもの。つまり、元のユーザー権限でエディタを開くことによって、 エディタの中からコマンドを起動されちゃう可能性を防ぐことができる。 ただ、sudoedit から立ち上げたエディタからだと、 root しか編集できない別のファイルを :e で開いても編集できなかったりして (エディタが元のユーザーの権限で動いてるから)、 これまたイマイチ気に入らなくて使ってなかったりする・・・
結局、「いろいろ考えたけど、まぁ世の中難しいよね・・・」 という結論になってしまったり。。。
*1 ただし、securelevel が 1 以上でないと schg を外せてしまうので、FreeBSD の default (securelevel が -1) ではあまり意味がない。
[ツッコミを入れる]
[TrackBack URL: http://bloghome.lovepeers.org/daymemo2/tb.cgi/20051119]
本日のリンク元
アンテナ
- CBUGのCってなんだろうアンテナ(仮称) ×60
- 偽善者あんてな ×42 : 27, 13, 2
- halchan's Antenna ×22
- Motoyuki's Diary Links ×19
- Momonga Members Links ×12
- 狩野宏樹のアンテナ(試用中) ×8
- 二度寝アンテナ ×5
- http://t.ngram.org/a/index.html ×5
- http://a.hatena.ne.jp/ttamo/ ×3
- http://www.bloglines.com/myblogs_display?sub=10879... ×3 : 2, 1
- としをアンテナ ×2
- http://www.bloglines.com/myblogs_display?sub=16387... ×1
- http://a.hatena.ne.jp/ippo_n/?gid=206233 ×1
- http://www.bloglines.com/myblogs_display?sub=18926... ×1
- http://www.bloglines.com/myblogs_display?sub=79894... ×1
- http://t.ngram.org/a/ ×1
- http://www.bloglines.com/citations?siteid=671248&i... ×1
- http://www.bloglines.com/myblogs_display?folder=15... ×1
その他のリンク元
- http://bbs.zgsm.com/bbs.php?bbs=andrianlee ×34
- http://bbs.ws/bbs.php?bbs=available ×27
- http://www.plazoo.com/es/search_es/porn.htm ×6
- http://feedbringer.net/feed ×5
- http://www.plazoo.com/es/search_es/sex.htm ×5
- http://www.pochi.cc/~sasaki/chalow/ ×3
- http://bloghome.lovepeers.org/daymemo2?date=200405... ×2
- http://search.live.com/results.aspx?q=shell&form=Q... ×2
- http://www.bookshelf.jp/ ×2
- http://www.rambler.ru/srch?words="freebsd+6.0+ssh"... ×2
- http://search.starware.com/search.php?qry= my puss... ×2
- http://bloghome.lovepeers.org/daymemo2?date=200408... ×2
- http://b.hatena.ne.jp/no_ri/FreeBSD/ ×1
- http://www.rambler.ru/srch?words=RecoverDisk&old_q... ×1
- http://www.plazoo.com/en/default.asp?q=sex&fc=&s=r... ×1
- http://www.denis.com ×1
- http://www.rambler.ru/srch?oe=1251&words=recoverdi... ×1
- http://www.plazoo.com/en/default.asp?q=adult&fc=&s... ×1
- http://www.rambler.ru/srch?words=ThinkPad error co... ×1
- http://bloghome.lovepeers.org/daymemo2?date=200406... ×1
- http://www30.cds.ne.jp/~mutecat/neuro/trancer/diar... ×1
- http://search.live.com/results.aspx?q=shell ×1
- http://blog.with2.net/find_all.php?h_key=&key=free... ×1
- http://search.live.com/results.aspx?q=shell&mrt=en... ×1
- http://masq.cocolog-nifty.com/ ×1
- http://bloglines.com/myblogs_display?sub=13157245&... ×1
- http://www.plazoo.com/en/default.asp?q=sex-hot&fc=... ×1
- http://blogranking.net/guide/log/eid3.html ×1
- http://www.pochi.cc/~sasaki/chalow/index.html ×1
検索
- sudoedit ×35 / japanese pussy ×12 / sudosh ×12 / peeing ×9 / 胸もみインタビュー ×7 / japanese pantyhose ×5 / analsex ×4 / jp-pussy.com ×4 / キーワード不明 ×3 / tokyo topless ×3 / squirting ×3 / pussy ×3 / japanese hairy pussy ×3 / sexy schoolgirls ×2 / Advanced MAC OS X Programming ×2 / "japanese teens pussy" ×2 / CRC32計算 C言語 ×2 / linux dirent d_type ×2 / japan sex pics ×2 / pussy bbs ×2 / PC エラー DISK READ ERROR ×2 / acroread7 日本語フォント ×2 / syntax error near unexpected tokenとは ×2 / linux ウィルス対策 無料 ×2 / recoverdisk 2.2 ×2 / JAPANESE PUSSY ×2 / dirent C言語 DT_DIR ×2 / freepics ×2 / ポイントで本が買える ×2 / FAILURE - READ_DMA ×2 / pussy bbs domain:bloghome.lovepeers.org ×2 / portupgrade inappropriate format ×2 / hairy pussy ×2 / C/C++セキュアプログラミングクックブック ×2 / koma2 ×1 / CRC32 計算例 ×1 / sudo sudosh ×1 / ドットネット パッケージ作成 ×1 / zoosex ×1 / Recoverdisk 2.2 ×1 / xorg fontdir ×1 / fedora core imap fetchmail maildir ×1 / medium error csi:0,0,0,a asc:10:90 ×1 / FreeBSD buildworld mcpu ×1 / DT_DIR dirent ×1 / ロマンスカー通勤 ×1 / freebsd 6.0 ThinkPad ×1 / "error code 1" freebsd ×1 / Advanced Mac OS X Programming ×1 / freebsd 6.2 インストール securelevel ×1 / freebsd ユーザー 権限 ×1 / darwin sshd launchd ×1 / svnserve fedora ×1 / insmod cloop.o インストール ×1 / FreeBSD XOrg fixed font ×1 / irb エディタ ×1 / FreeBSD sudosh ×1 / cvs 修正した人 ×1 / linux captive ntfs deinstall ×1 / kmem_cache_alloc ×1 / FreeBSD ビギナーズバイブル 第2版 ×1 / sudo だと sudoedit ×1 / RFC 3875 ×1 / schg ×1 / sudo freebsd sudosh ×1 / freebsd super block 調べる ×1 / jp-pussy.com mpg OR wmv ×1 / macでLDAP ×1 / KNOPPIX NTFS書き込み Captive ×1 / freebsd recoverdisk ×1 / freebsd 6.0 ssh ×1 / sudoedit エディタ ×1 / freebsd dd obs ×1 / NTbackup 増分 linux ×1 / freebsd 6.0 移行 ×1 / teenamateurs.1 ×1 / knoppix DVD mount ×1 / freebsd 6.0 パスワード ssh ×1 / dd_rescue 手順 ×1 / fsck_ffs ×1 / mfsroot.gz ×1 / READ_DMA "status=51" ×1 / XXX TeenAmateurs 1- ×1 / FreeSBIE 設定 保存 ×1 / memorandum ×1 / root権限でエディタを開く ×1 / i-work ×1 / sudo FreeBSD sudosh ×1 / knoppix newfs ×1 / postfix エラーメール 対話 ×1 / http://bloghome.lovepeers.org/daymemo2/20051119.html ×1 / Memorandum ×1 / syntax error near unexpected token とは ×1 / "mac os x" mount fstab ×1 / JUMBO sysconfig ×1 / freebsd single user mode ×1 / openSSL SSL_OP_ALL option 設定 ×1 / mutt cache maildir ×1 / TGS REQUIEM ×1 / ath FreeBSD 2005 ×1