daily memorandum 2.3.0
CBUG | FreeBSD | Hiki | Knoppix | Mac | Ruby | W-ZERO3 | Windows | ad | amd64 | ks | linux | momonga | net | print | security | tdiary | unix | www | 会社 | 鯖缶 | 全学ゼミ | 本
2006-10-06 (Fri)
_ [security] 自分で仕掛けた罠に自分でハマり、罠に存在した抜け穴から抜け出す
私が管理している鯖では、 以前書いた方法で 私以外の人間が sudo から shell を呼べないようにしてあります。 さらに、最近では su や sudo, visudo も制限してたりします。 具体的には、sudoers にこんな感じで書いてある、と。
User_Alias USER_SYSADM = koma2 User_Alias USER_WWWADM = koma2, hoge Cmnd_Alias CMND_SHELLS = /bin/sh, /bin/csh, /bin/tcsh, /bin/bash Cmnd_Alias CMND_SU = /bin/su, /usr/bin/sudo, /usr/sbin/visudo USER_WWWADM ALL=(root) ALL, !CMND_SHELLS, !CMND_SU USER_SYSADM ALL=(root) ALL
で、ここに新たに USER_ZOPEADM みたいな User_Alias を追加しようとして、
User_Alias USER_SYSADM = koma2 User_Alias USER_WWWADM = koma2, hoge User_Alias USER_ZOPEADM = koma2, fuga Cmnd_Alias CMND_SHELLS = /bin/sh, /bin/csh, /bin/tcsh, /bin/bash Cmnd_Alias CMND_SU = /bin/su, /usr/bin/sudo, /usr/sbin/visudo USER_WWWADM ALL=(root) ALL, !CMND_SHELLS, !CMND_SU USER_SYSADM ALL=(root) ALL USER_ZOPEADM ALL=(root,zope) ALL, !CMND_SHELLS, !CMND_SU
とか書いてやったら… visudo(8) 実行できなくなりますた。orz 後に書いた USER_ZOPEADM のエントリが優先されてしまうらしい。
直そうにも visudo(8) 呼べないし、 sudo sh -c visudo なんて「抜け穴」も自分で禁止してしまったし、 さてどうすべぇと考えてたら…
shell を呼び出す「抜け穴」なんてほかにいくらでもあることに気付き *1 、無事に visudo を呼び出すことが出来たのでした。 (^.^; ということで、この「制限」、「抜け穴」に気付かない人相手にしか役に立ちませんな。^^; *2
_ [FreeBSD][linux][security] Linux-PAM には auth_as_self に相当するものはないのかな?
FreeBSD の PAM (Open PAM) だと、pam_unix.so(8) に auth_as_self という オプションがあって、これを使うと su(8) で root になるときに root のパスワードではなく su(8) を実行するユーザーのパスワードで 認証することが出来ます。 (参考)
で、これに相当するものって Linux-PAM にはないんですかねぇ。。。? ドキュメントを結構マジメに読んだつもりなのだけど、 それらしいものは見付かりませんでした。
ちなみに、上のエントリで sudo の代わりに su を実行しなかったのは、 root パスワードを * で潰してしまっていたからでした。(*.*; Linux でコレをやるのはキケンらしい。
まぁ、root パスワードは私だけが知っていればいいので、 パスワードを設定しておきましたが、 複数人が知らないといけない場合(しかも、共有はしたくない)はどうするのかな…? 古典的だけど、uid 0 なユーザーを複数作るしかないか…
[ツッコミを入れる]
[TrackBack URL: http://bloghome.lovepeers.org/daymemo2/tb.cgi/20061006]
本日のリンク元
アンテナ
- CBUGのCってなんだろうアンテナ(仮称) ×14
- 偽善者あんてな ×4
- Momonga Members Links ×2
- Motoyuki's Diary Links ×2
- 狩野宏樹のアンテナ(試用中) ×2
- としをアンテナ ×1
- http://www.bloglines.com/myblogs_display?sub=30815... ×1
- http://a.hatena.ne.jp/ttamo/ ×1
- http://www.bloglines.com/myblogs_display?sub=32196... ×1
- http://a.hatena.ne.jp/nikoli_com/ ×1
- http://www.bloglines.com/myblogs_display?sub=10879... ×1
その他のリンク元
- http://bloghome.lovepeers.org/daymemo2?date=200405... ×229
- http://bloghome.lovepeers.org/daymemo2?date=200503... ×226
- http://bloghome.daemonfarm.org/daymemo2?date=20040... ×226
- http://bloghome.lovepeers.org/daymemo2?date=200405... ×226
- http://bloghome.lovepeers.org/daymemo2?&date=20050... ×20
- http://bloghome.lovepeers.org/daymemo2?&date=20040... ×20
- http://bloghome.daemonfarm.org/daymemo2?&date=2004... ×20
- http://bloghome.lovepeers.org/daymemo2?&date=20040... ×19
- http://ksd.ms.u-tokyo.ac.jp/diary/koma2/20040502.h... ×14
- http://reader.livedoor.com/reader/ ×7
- http://bloghome.lovepeers.org/daymemo2?date=200510... ×4
- http://www.409n.com/ ×3
- http://blogranking.net/guide/log/eid3.html ×3
- http://www.journaltimes.com/nucleus/index.php?item... ×2
- http://search.live.com/results.aspx?q=alias&mrt=en... ×2
- http://www.yourscarinsurance.com/car-insurance-pol... ×2
- http://www.mychristiansite.com/personal/mosim/inse... ×2
- http://www.hentaiserver.com/mytoons/shemales/yws/i... ×2
- http://www.tapali.net/pundas/belen.html ×2
- http://www.myproperty.kom.cc/host/erkosal/group.ht... ×2
- http://www.fusd.tv/sites/high/wekilom/contacts.htm... ×2
- http://joper.wenak.com/daughters.html ×2
- http://search.live.com/results.aspx?q=alias&form=Q... ×2
- http://del.icio.us/tkb/freebsd ×2
- http://www.clubcarmah.com/supplemental-georgia-car... ×2
- http://www.homelesssurvivor.com/best-home-insuranc... ×2
- http://takagi-hiromitsu.jp/diary/ ×2
- http://www.citedusexe.com/guides/shemale/orgy/love... ×1
- http://pop.nerdcamp.net/chubby-teens/london/plumpe... ×1
- http://www.archerhouse.org/house-insurance-quotes.... ×1
- http://luxury-hotels.known-hotel.com/ ×1
- http://home.blastnet.org/schem/nightcrawler.html ×1
- http://www.rcassino.com/our-choice-for-cassino.htm... ×1
- http://ezsch.ezweb.ne.jp/search/ezGoogleMain.php?q... ×1
- http://pibalo.i-love-dogs.com/fan.html ×1
- http://popi.nerdcamp.net/rape-porn/992894/statutar... ×1
- http://ssoni.leeds11.com/desi.html ×1
- http://takagi-hiromitsu.jp/diary/20060923.html ×1
- http://www.trinity.jp/blog/2006/07/skype_for_mac.h... ×1
- http://www.bellsalaska.com/shop/firstgroup/smaliko... ×1
- http://www.piggieplanet.com/cozy/orhity/diablo.htm... ×1
- http://www.yourlipstickhome.com/best-home-insuranc... ×1
- http://phentermine-buy.capillarychromatogr.org/ ×1
- http://www.canplay.co.uk/filosi/nympho.html ×1
- http://www.havingababy.net/zigmus/female.html ×1
- http://www.insurance-ahead.com/ ×1
- http://www.buddysfriends.com/galove/boys.html ×1
- http://sitebuilder.cedic-int.com/homesite/leemoo/p... ×1
- http://www.lanets.net/web/franki/anti.html ×1
- http://www.ginga1.us/mem/dikosl/fre.html ×1
- http://www.citedusexe.com/guides/rapes/violence/ab... ×1
- http://www.galstown.ne.jp/art_bijutsu/fisto/zoo/fi... ×1
- http://insurance-broker.only1-insurance.com/ ×1
- http://users.cuic.ca/perstol/japanies.html ×1
- http://users.cuic.ca/perstol/lingerai.html ×1
- http://pinkey.dip.jp/diary2/香取慎吾/香取慎吾 wiki/2007090... ×1
- http://www.aonde.com.br/aonde.php ×1
- http://jp2.freemy.homeip.net/krumbi/smooth.html ×1
- http://jimboo.myblue.cc/passwords.html ×1
- http://www.fieldhouseinfo.com/house-insurance-quot... ×1
- http://mafr.blog77.fc2.com/ ×1
- http://www.boxingscene.com/vendetto/sites.html ×1
- http://www.mynewcomputer.com/members/drimas/lisa.h... ×1
- http://www.woutheasterncareers.com/car-insurance-n... ×1
- http://pinkey.dip.jp/diary2/五輪/トリノ五輪/20070901.html... ×1
- http://www.ministry-webs.com/ministry/zafiro/welch... ×1
- http://www.gooh.net/frakilo/gaff.html ×1
- http://www.viagrcare.com/texas-car-insurance-price... ×1
- http://www.sages.us/teacherpages/webumake/unit25/l... ×1
- http://mootoko.blog.shinobi.jp/ ×1
- http://home-mortgage-new.also-mortgage.com/ ×1
- http://www.boxingscene.com/vendetto/wives.html ×1
- http://fobos.nerdcamp.net/zoo-sex/netherlands/grou... ×1
- http://www.weknowterminsurance.com/affordable-stat... ×1
- http://www.carrickminescastle.org/international-ha... ×1
- http://www.carnegieexchange.org/geico-car-insuranc... ×1
- http://www.galstown.ne.jp/art_bijutsu/fisto/shemal... ×1
- http://ezsch.ezweb.ne.jp/search/ezGoogleMain.php?q... ×1
- http://users.dialzone.ca/resaol/sexy.html ×1
- http://www.uniqueautoinsurance.com/discount-auto-i... ×1
- http://www.lanets.net/web/franki/pro.html ×1
- http://vicodin-online.1best-pharmacy.com/ ×1
- http://trehas.freehostsites.com/members/trehas/too... ×1
- http://trehas.freehostsites.com/members/trehas/par... ×1
- http://www.fusd.tv/sites/high/wekilom/horsecum.htm... ×1
- http://www.liquidpurple.com/members/ponika/womens.... ×1
- http://sitebuilder.cedic-int.com/homesite/leemoo/f... ×1
- http://pibalo.i-love-dogs.com/housewife.html ×1
- http://trehas.freehostsites.com/members/trehas/pas... ×1
- http://home-improvement-loan.mortgage-4me.com/ ×1
- http://www.hariknetwork.com/users/ulimso/pittsburg... ×1
- http://florence-hotels.hotel-immediately.com/ ×1
- http://suche.t-online.de/fast-cgi/tsc?q=www.naked-... ×1
- http://trehas.freehostsites.com/members/trehas/cel... ×1
- http://xanax-online.pillsofdesire.com/ ×1
- http://upload.cbvfd.com/jekali/daily.html ×1
- http://www.liquidpurple.com/members/ponika/georgia... ×1
- http://www.elke1312.de/guestbook.php ×1
- http://users.gossip.gr/wadsik/bear.html ×1
- http://pinkey.dip.jp/diary2/酒井彩名/酒井彩名 ブログ/20070901... ×1
検索
- 胸もみインタビュー ×25 / visudo ×7 / sudo 制限 ×5 / felicity fey ×4 / キーワード不明 ×4 / Felicity Fey ×3 / HL-DT-ST DVDRAM GSA4082B ×3 / sudoedit ×3 / sudoedit visudo ×3 / animalsse ×2 / /usr/bin/sudo rootになる ×2 / linux シリアルコンソール 出力 ×2 / 胸もみ ×2 / http://movie.jp-sex.com/ ×2 / shell root pass su ×2 / felicity fey アダルト ×2 / mac visudo ×2 / freebsd linux pam ×2 / jp-sex ×2 / sudo shell禁止 ×2 / shagger big dick boy underwear ×2 / pam_unix freebsd ×2 / Linux PAM ×2 / OSX 10.4 ワークグループマネージャ トラブル ×1 / 掲示板 unix visudo ×1 / isms linux root ×1 / sudo shell 禁止 ×1 / mac log ローテート ×1 / linux su(pam_unix) 抑止 ×1 / extract_compressed_fs ×1 / su shellにrootのパスワード ×1 / mac OSX RewriteRule ×1 / python "smtp over ssl" ×1 / su root pam freebsd ×1 / linux sudoedit ×1 / pam_chroot.so ×1 / visudo sudo ×1 / cloop mount ×1 / metart pw ×1 / pee hole ×1 / sickest incest ×1 / pam freebsd ×1 / filevault mount ×1 / security.bsd.see_other_uids ×1 / KNOPPIX Out Of Range ×1 / asl.log ×1 / bounce_size_limit ×1 / sudoers Cmnd_Alias ×1 / possible breakin attempt mac ssh 方法 ×1 / 退学届け 書式 ×1 / MacBook NVRAM リセット ×1 / knoppix root パスワード ×1 / "Mac OS X panther for Unix Geeks" ×1 / memorandum multiple del 2006 ×1 / port forward リモートデスクトップ ×1 / nidump group ×1 / "OS X" visudo ×1 / "preteen incest stories" ×1 / qemu FreeBSD ×1 / visudo 制限 設定 ×1 / 192.168.1.1./5 ×1 / sudo bash で root ×1 / freebsd loop back mount ×1 / voyage linux postfix 452 ×1 / sudoers uid=0 ×1 / QEMU VNC ×1 / osx シリアルコンソール ×1 / bsd su パスワード ×1 / freebsd "-c: line 0: syntax error near unexpected token" ×1 / Sabatoarea Noptilor De Vara free ×1 / zoolofilia free ×1 / ALL=(ALL) ALL, ! sudo 禁止 ×1 / sudo macosx パスワード sudoers ×1 / FreeBSD visudo ×1 / pam tcsh ×1 / sudo Cmnd_Alias CMND_SHELLS ×1 / freebsd pam ×1 / red hat rotatelogs ×1 / reverse mapping checking ×1 / aramina nude pic ×1 / tcsh pam ×1 / EOF Windows read ruby 1.8.5 ×1 / Felicity Fey 画像 ×1 / pam chroot ×1 / sudo 許可するコマンド ×1 / dd_rescue ×1 / mountvol ×1 / AOD: crypt authentication error: authentication failed for user: (-14091) ×1 / sudoers SU bash SHELLS ×1 / FreeBSD su root パスワード ×1 / Name is a valid mailbox php ×1 / FreeBSD and pam and パスワード ×1 / netscape.com downloads 11643 ×1 / VirtualHost IP worm ×1 / freebsd zfs root ×1 / Mac OS sudoers ×1 / sudo root パスワード ×1 / 莓 ×1 / postfix pam freebsd ×1 / iso 作成 hdiutil ×1
