Score:0

รองรับ su+sudo และ selinux

ธง in

เจ้านายที่ไม่ใช่ผู้ดูแลระบบของฉันต้องการให้ฉันอธิบายเรื่องนี้ แต่ฉันไม่สามารถหาคำตอบได้จริงๆหรือ? เมื่อใช้ TENABLE SC เพื่อสแกนระบบ RHEL7 บัญชีที่ใช้ในการสแกนจะเชื่อมต่อผ่าน ssh จากนั้นใช้ sudo เพื่อทำการตรวจสอบ แต่เมื่อ selinux บังคับใช้การตรวจสอบบางอย่างไม่สามารถดำเนินการได้ การตรวจสอบดังกล่าวจะทำ cat of /etc/passwd แต่ถูกปฏิเสธเมื่อ selinux บังคับใช้ วิธีแก้ไขคือกำหนดค่า SC ให้ใช้ su+sudo สำหรับการเชื่อมต่อบัญชี SC แรกทำการเชื่อมต่อ ssh กับบัญชีที่ไม่มีสิทธิ์ จากนั้นทำ su กับผู้ใช้ที่มีสิทธิ์ sudo ที่สามารถเรียกใช้การตรวจสอบและตอนนี้ใช้งานได้ โดยพื้นฐานแล้วฉันพยายามที่จะเข้าใจว่าทำไมการเข้าสู่ระบบโดยตรงกับผู้ใช้ sudo เพื่อเรียกใช้การตรวจสอบบางอย่างล้มเหลวด้วยการบังคับใช้ selinux แต่การเข้าสู่ระบบจากนั้นทำ su กับผู้ใช้ sudo บทความของ Tenable เกี่ยวกับสิ่งนี้ไม่ได้ครอบคลุมถึงแง่มุม selinux ของสิ่งนี้

Tom Yan avatar
in flag
กำหนด `su+sudo` คุณเรียกใช้ `sudo su` จากนั้น `cat /etc/passwd` หรือเพียงแค่ `su` จากนั้นเรียกใช้ `sudo cat /etc/passwd` หากคุณกำลังพูดถึงอันหลัง อาจเป็นเพราะคุณเป็นคนงี่เง่า เพราะคุณไม่จำเป็นต้องรูท sudo ในเมื่อคุณรูทแล้ว หากคุณกำลังอ้างถึงอดีต อาจเป็น SELinux ที่งี่เง่า/ไม่มีจุดหมาย อย่างน้อยก็สมเหตุสมผลที่จะถือว่า sudo ปลอดภัยน้อยกว่า su เนื่องจาก sudo สามารถอนุญาตการเพิ่มระดับสิทธิ์โดยไม่ต้องใช้รูท / รหัสผ่านใด ๆ เลยแต่ถ้ามันบล็อกแค่บางไฟล์ที่อ่านด้วย sudo แต่ยังไม่ได้รัน su ล่ะก็
djdomi avatar
za flag
ในกรณีนั้น คุณสามารถเรียกใช้ su -c cmd ได้ คุณไม่จำเป็นต้องใช้ su sudo cmd

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา