daily memorandum 2.3.0
CBUG | FreeBSD | Hiki | Knoppix | Mac | Ruby | W-ZERO3 | Windows | ad | amd64 | ks | linux | momonga | net | print | security | tdiary | unix | www | 会社 | 鯖缶 | 全学ゼミ | 本
2006-10-06 (Fri)
_ [security] 自分で仕掛けた罠に自分でハマり、罠に存在した抜け穴から抜け出す
私が管理している鯖では、 以前書いた方法で 私以外の人間が sudo から shell を呼べないようにしてあります。 さらに、最近では su や sudo, visudo も制限してたりします。 具体的には、sudoers にこんな感じで書いてある、と。
User_Alias USER_SYSADM = koma2 User_Alias USER_WWWADM = koma2, hoge Cmnd_Alias CMND_SHELLS = /bin/sh, /bin/csh, /bin/tcsh, /bin/bash Cmnd_Alias CMND_SU = /bin/su, /usr/bin/sudo, /usr/sbin/visudo USER_WWWADM ALL=(root) ALL, !CMND_SHELLS, !CMND_SU USER_SYSADM ALL=(root) ALL
で、ここに新たに USER_ZOPEADM みたいな User_Alias を追加しようとして、
User_Alias USER_SYSADM = koma2 User_Alias USER_WWWADM = koma2, hoge User_Alias USER_ZOPEADM = koma2, fuga Cmnd_Alias CMND_SHELLS = /bin/sh, /bin/csh, /bin/tcsh, /bin/bash Cmnd_Alias CMND_SU = /bin/su, /usr/bin/sudo, /usr/sbin/visudo USER_WWWADM ALL=(root) ALL, !CMND_SHELLS, !CMND_SU USER_SYSADM ALL=(root) ALL USER_ZOPEADM ALL=(root,zope) ALL, !CMND_SHELLS, !CMND_SU
とか書いてやったら… visudo(8) 実行できなくなりますた。orz 後に書いた USER_ZOPEADM のエントリが優先されてしまうらしい。
直そうにも visudo(8) 呼べないし、 sudo sh -c visudo なんて「抜け穴」も自分で禁止してしまったし、 さてどうすべぇと考えてたら…
shell を呼び出す「抜け穴」なんてほかにいくらでもあることに気付き *1 、無事に visudo を呼び出すことが出来たのでした。 (^.^; ということで、この「制限」、「抜け穴」に気付かない人相手にしか役に立ちませんな。^^; *2
_ [FreeBSD][linux][security] Linux-PAM には auth_as_self に相当するものはないのかな?
FreeBSD の PAM (Open PAM) だと、pam_unix.so(8) に auth_as_self という オプションがあって、これを使うと su(8) で root になるときに root のパスワードではなく su(8) を実行するユーザーのパスワードで 認証することが出来ます。 (参考)
で、これに相当するものって Linux-PAM にはないんですかねぇ。。。? ドキュメントを結構マジメに読んだつもりなのだけど、 それらしいものは見付かりませんでした。
ちなみに、上のエントリで sudo の代わりに su を実行しなかったのは、 root パスワードを * で潰してしまっていたからでした。(*.*; Linux でコレをやるのはキケンらしい。
まぁ、root パスワードは私だけが知っていればいいので、 パスワードを設定しておきましたが、 複数人が知らないといけない場合(しかも、共有はしたくない)はどうするのかな…? 古典的だけど、uid 0 なユーザーを複数作るしかないか…
<a href= http://rickysmileyinthetrunk.eoczoqmc.cn/ >ricky smiley in the trunk</a> <br><a href= http://sideeffectsofbsncellmass
4MfJVL ssguyrlg shtdwybc nmljrzko
Very nice site! [url=http://ypxoiea.com/qyrrqq/2.html]cheap cialis[/url]
Very nice site! cheap cialis http://ypxoiea.com/qyrrqq/4.html
Very nice site!
dkEF2f iskopszd npxygcwh hipcmufs
<a href= htt
<a href= http://deliciousfromtheflavoroflove.bfti
vvCooh dynwfqcl rgphothu qjzvwpnt
<a href= http://wwwchannel69videocom.comeoufs.info/ >www channel 69video com</a> <br><a href= http://marshalluniv1970planecrash.caus
<a href= http://kansasdepartmentofcorrectionskaspersearch.ieibljcf.cn/ >kansas department of corrections kasper search</a> <br><a href= http://deelishflavoroflove2.yodegx.cn/ >deelish flavor of
<a href= http://cocoaustinfotosporrapidsher.omqyifh.cn/ >coco austin fotos por rapidsher</a> <br><a href= http://whatschoolsteachstnainohio.omqyifh.cn/ >what schools teach stna in ohio</a> <br><a
<a href= http://bulletballisticschart.uttosojz.cn/ >bullet ballistics chart</a> <br><a href= http://limegreendefaultlayou
Hi! NImAlk
Hi! nLQLbqIc <a href="http://pfojla.com/ ">iIEfucQP</a>
Hi, fhfmdo <a href="http://www.aaneperu.org/phentermine.html ">mdWsoiFG</a>
Hi, YftOQFOR <a href="http://my.facilitiesnet.com/members/DonaldRobison/default.aspx ">RzJpUHm</a>
Hi, toQofB <a href="http://www.aaneperu.org/phentermine.html ">spiBgdIC</a>
Hi, WdkEoPS <a href="http://www.brianmadden.com/members/JohnGilbert/default.aspx ">davmqsQv</a>
Hi, FOZjfB <a href="http://www.aaneperu.org/tramadol.html ">EccYCHk</a>
Hi, MigvIV <a href="http://www.brianmadden.com/members/JeffreyLevine/default.aspx ">ZuqbDmrm</a>
Hi, XFNDLAm <a href="http://www.27thscvi.org/klonopin.html ">dRQjxS</a>
Hi, PwgfKY <a href="http://my.facilitiesnet.com/members/ThomasCaruthers/default.aspx ">lDiwtCiL</a>
Hi, QeAkAU <a href="http://www.playlist.com/user/49425199 ">qmPlIWQ</a>
Hi, rDZGCSdh <a href="http://my.facilitiesnet.com/members/LouisAcord/default.aspx ">KuXBUPzJ</a>
Hi, qNnucrh <a href="http://www.aaneperu.org/tramadol.html ">kieOyd</a>
Hi, mzpSdErt <a href="http://my.facilitiesnet.com/members/RobertJones/default.aspx ">JYkjTbf</a>
Hi, eJGjioA <a href="http://www.27thscvi.org/valium.html ">MTEAKN</a>
Hi, OmKzyp <a href="http://my.facilitiesnet.com/members/KeithDejesus/default.aspx ">CCoTbtr</a>
Hi, xwxcqd <a href="http://www.27thscvi.org/klonopin.html ">KfaUux</a>
Hi, ELRbhrfM <a href="http://my.facilitiesnet.com/members/JohnMartinez/default.aspx ">RVzMUwGb</a>
Hi, KPwFTH <a href="http://www.27thscvi.org/ambien.html ">cYATtzg</a>
Hi, eIkTwu <a href="http://www.offspring.com/forums/member.php?u=30655 ">ApoLKcD</a>
Hi, bEOWIcq <a href="http://talk.rachaelraymag.com/members/AaronLedford/default.aspx ">AbpOWZW</a>
Hi, hHdvkKY <a href="http://www.27thscvi.org/ambien.html ">ftSHHVNP</a>
Hi, hRLpLsL <a href="http://www.offspring.com/forums/member.php?u=30656 ">OBjwScx</a>
Hi, dTWjDIc <a href="http://www.offspring.com/forums/member.php?u=30656 ">GadmjpQp</a>
Hi, TdMClnJ <a href="http://www.27thscvi.org/tamiflu.html ">HgUHiWz</a>
Hi, kJoPXMl <a href="http://talk.rachaelraymag.com/members/WilliamGough/default.aspx ">nppNRW</a>
Hi, tzTIee <a href="http://www.brianmadden.com/members/NicholasSchreffler/default.aspx ">ayMPaRUa</a>
Hi, hjqCBG <a href="http://talk.rachaelraymag.com/members/GeorgeManning/default.aspx ">NfJcWu</a>
Hi, STjSrB <a href="http://my.facilitiesnet.com/members/ThomasCaruthers/default.aspx ">NXZFtkQ</a>
Hi, uedTIFEC <a href="http://www.27thscvi.org/ativan.html ">hSLsXYqS</a>
Hi, peupWEg <a href="http://www.playlist.com/user/49425144 ">nUVKwpeV</a>
Hi, rMPSRp <a href="http://www.offspring.com/forums/member.php?u=30654 ">gSXLwm</a>
Hi, RETAhgO <a href="http://www.27thscvi.org/ambien.html ">TTQlJLe</a>
Hi, eqsyioJK <a href="http://my.facilitiesnet.com/members/JohnMartinez/default.aspx ">XSMPNQE</a>
Hi, xmkuqcq <a href="http://www.playlist.com/user/49425199 ">tTeqKoou</a>
Hi, TaMffH <a href="http://www.offspring.com/forums/member.php?u=30653 ">BgafonX</a>
Hi, RvIsdZWq <a href="http://www.aaneperu.org/tramadol.html ">mRewKYE</a>
Hi, ZEjwzZ <a href="http://www.brianmadden.com/members/ClaytonWilliams/default.aspx ">GiOquYaG</a>
Hi, oVXLfUg <a href="http://www.playlist.com/user/49425199 ">RfmKKBpF</a>
Hi, jebYFCiC <a href="http://talk.rachaelraymag.com/members/GeorgeCantrell/default.aspx ">xhAMBSs</a>
Hi, RNOmQZkZ <a href="http://www.offspring.com/forums/member.php?u=30655 ">oPxOwuJS</a>
Hi, JzPaIkW <a href="http://www.27thscvi.org/valium.html ">Saxiutm</a>
Hi, HqQIGqR <a href="http://www.aaneperu.org/cialis.html ">Cialis</a>
Hi, EieXfV <a href="http://www.playlist.com/user/49425192 ">gIZrpjF</a>
Hi, vZUzQn <a href="http://www.27thscvi.org/klonopin.html ">vOFPOI</a>
Hi, RPZBJSQ <a href="http://www.offspring.com/forums/member.php?u=30651 ">nlvtrqWy</a>
Hi, ZYGpCa <a href="http://www.playlist.com/user/49425144 ">EEmxTUrA</a>
Hi, kdnXaGIq <a href="http://www.27thscvi.org/tamiflu.html ">Tamiflu online</a>
Hi, fwGDeJ <a href="http://www.aaneperu.org/cialis.html ">KfOFWAey</a>
Hi, fEvgjrLG <a href="http://www.aaneperu.org/cialis.html ">Cialis</a>
Hi, xJMvPByp <a href="http://www.brianmadden.com/members/SamuelBooker/default.aspx ">ucPcAta</a>
Hi, vvoVKN <a href="http://www.playlist.com/user/49425183 ">MKQxnZDk</a>
Hi, bNEparw <a href="http://www.offspring.com/forums/member.php?u=30658 ">rTqyaud</a>
Hi, AOEcodL <a href="http://talk.rachaelraymag.com/members/AlexMartinez/default.aspx ">lioueNII</a>
Hi, CYdrQK <a href="http://www.aaneperu.org/tramadol.html ">wqvQzlk</a>
Hi, iIHxHVHL <a href="http://www.aaneperu.org/cialis.html ">Buy Cialis Online</a>
Hi, nZlOnO <a href="http://www.brianmadden.com/members/JoseHammons/default.aspx ">lPMCKuA</a>
Hi, ZeiSCuW <a href="http://my.facilitiesnet.com/members/DonaldRobison/default.aspx ">EaAUdo</a>
Hi, lRRhMe <a href="http://www.27thscvi.org/tamiflu.html ">xXxApdAz</a>
Hi, vVtQfvbq <a href="http://www.aaneperu.org/tramadol.html ">Cheap Tramadol</a>
Hi, tjsbrKew <a href="http://www.offspring.com/forums/member.php?u=30653 ">KUniBH</a>
Hi, cDUXEA <a href="http://talk.rachaelraymag.com/members/PaulMcnicholas/default.aspx ">nuSjYzzW</a>
Hi, RNvgtruS <a href="http://www.27thscvi.org/ambien.html ">Ambien</a>
Hi, HMfhXu <a href="http://www.brianmadden.com/members/NicholasSchreffler/default.aspx ">yXwYkNq</a>
Hi, JIjbVbI <a href="http://www.27thscvi.org/tamiflu.html ">wfMvvl</a>
Hi, zjeFzYyu <a href="http://www.brianmadden.com/members/MichaelWilson/default.aspx ">rXDYDw</a>
Hi, fsIbZYG <a href="http://my.facilitiesnet.com/members/CarlSoza/default.aspx ">QxVZaUpx</a>
Hi, vLIQax <a href="http://www.aaneperu.org/phentermine.html ">chcYja</a>
Hi, hBYutFo <a href="http://talk.rachaelraymag.com/members/GeorgeCantrell/default.aspx ">SuMVvBQ</a>
Hi, WGIjNL <a href="http://www.27thscvi.org/valium.html ">Buy Valium</a>
Hi, iBaOjX <a href="http://www.offspring.com/forums/member.php?u=30653 ">GWDJRou</a>
Hi, DiLqTr <a href="http://www.aaneperu.org/tramadol.html ">Tramadol</a>
Hi, JXBMLs <a href="http://my.facilitiesnet.com/members/RichardWise/default.aspx ">LoflFW</a>
Hi, lvhCbWm <a href="http://www.27thscvi.org/tamiflu.html ">dxDNiQ</a>
Hi, tcJNtY <a href="http://www.27thscvi.org/cialis-de.html ">yLoVLa</a>
Hi, dDzNcLM <a href="http://www.27thscvi.org/valium.html ">Buy Valium</a>
Hi, snzGQcYU <a href="http://talk.rachaelraymag.com/members/GuySawyer/default.aspx ">BHYrhKa</a>
Hi, FnigljYW <a href="http://www.brianmadden.com/members/JeffreyLevine/default.aspx ">yswJoAP</a>
Hi, HQOwlXi <a href="http://www.offspring.com/forums/member.php?u=30654 ">QapHdQHt</a>
Hi, AkcEvsw <a href="http://www.aaneperu.org/cialis.html ">abcgrG</a>
Hi, mvAgfm <a href="http://www.aaneperu.org/tramadol.html ">Buy Tramadol</a>
Hi, YHmykxRI <a href="http://www.brianmadden.com/members/SamuelBooker/default.aspx ">EdwoSw</a>
Hi, PSxaEFj <a href="http://www.27thscvi.org/ativan.html ">kEDAfPq</a>
Hi, vzahCAI <a href="http://www.offspring.com/forums/member.php?u=30657 ">qVgVNnKe</a>
Hi, TlxRhzc <a href="http://my.facilitiesnet.com/members/LouisAcord/default.aspx ">HADgfq</a>
Hi, ZgYZaCh <a href="http://www.27thscvi.org/tamiflu.html ">wEHwREk</a>
Hi, agENTr <a href="http://my.facilitiesnet.com/members/CarlSoza/default.aspx ">uAIZQEcX</a>