วิธีอนุญาตให้ผู้ใช้เรียกใช้เฉพาะไบนารีที่ระบุ

Iluvatar

14/7/23 09:47

ฉันกำลังเพิ่มผู้ใช้ โปรแกรมดูบันทึก กับ /sbin/nologin/ และระบบของฉัน
บริการที่กำหนดเองของฉันกำลังทำงานเช่น sudo -u logviewer น้อยกว่า --follow-name /var/log/messages.

แต่ก็ยังมีวิธีเรียกใช้คำสั่งอื่นในฐานะผู้ใช้รายนั้น ฉันต้องการอนุญาตให้ผู้ใช้เท่านั้น โปรแกรมดูบันทึก เพื่อเรียกใช้ไบนารีเฉพาะ เช่น น้อย หาง แมว.

เป็นไปได้ไหม? ฉันไม่คุ้นเคยกับ selinux มากเกินไปที่จะใช้ในกรณีนั้น
มีคำแนะนำในการ จำกัดทั้งหมด และ อนุญาตเฉพาะ ไบนารีสำหรับผู้ใช้?

0 + 0

ลินุกซ์

การแชร์หน้าจอ

รายการควบคุมการเข้าถึง

สิทธิ์ของผู้ใช้

Score:2

Server

John Mahowald

27/7/23 14:59

GNU less เป็นเพจเจอร์แฟนซี ตั้งค่า env var น้อยปลอดภัย=1 เพื่อปิดการใช้งานฟีเจอร์บางอย่าง เช่น การวิ่ง ! คำสั่งเชลล์ ดู ผู้ชายน้อยลง,ส่วนรักษาความปลอดภัย.

การจำกัดการทำงานของโปรแกรมตามกฎและการปิดกั้นสิ่งอื่นๆ เรียกว่ารายการที่อนุญาต ส่วนย่อยของ การป้องกันการดำเนินการ บรรเทา

แอปพลิเคชันอาจจำกัดอยู่ใน chroot หรือคอนเทนเนอร์ที่มีชุดซอฟต์แวร์ขั้นต่ำที่กำหนดไว้เท่านั้น อย่างไรก็ตาม สิ่งนี้อาจไม่เหมาะกับตัวอย่างโปรแกรมแยกวิเคราะห์บันทึกของคุณ ซึ่งไม่ใช่สิ่งเดียวที่เกิดขึ้นในโฮสต์

การใช้งานการบล็อกแอปพลิเคชันอย่างอิสระจะเป็น fapolicyd. เร้ดแฮทได้นำมันขึ้นมาเช่น ในกรณีนี้ คุณอาจมี:

อนุญาต perm=execute uid=logviewer : path=/usr/bin/less 
อนุญาต perm=execute uid=logviewer : path=/usr/bin/tail
อนุญาตให้ perm=ดำเนินการ uid=logviewer : เส้นทาง=/usr/bin/cat 
อนุญาตให้ perm=ดำเนินการ uid=logviewer : เส้นทาง=/sbin/nologin
deny_audit perm=execute uid=logviewer : ทั้งหมด

หรือ selinux เป็นวิธีการอื่นสำหรับการควบคุมการเข้าถึง ซึ่งอนุญาตให้ใช้นโยบายที่กำหนดเองได้

แม้ว่านโยบายการดำเนินการที่เข้มงวดเกี่ยวกับผู้ใช้รายนี้อาจมีความสำคัญต่อคุณก็ต่อเมื่อเป็นไปได้ว่าพวกเขาสามารถเรียกใช้คำสั่งอื่นได้ ด้วยความปลอดภัยที่น้อยกว่า ไม่มีข้อมูลประจำตัวสำหรับบัญชีบริการ และคำสั่งที่อนุญาตในนโยบายผู้ใช้สวิตช์ (sudo, polkit, doas) การเรียกใช้คำสั่งตามอำเภอใจจึงไม่ใช่เรื่องเล็กน้อยอีกต่อไป

มีหลายวิธีในการหลีกเลี่ยงการต้องการผู้ดูบันทึกบนโฮสต์ พิจารณาการบันทึกแบบรวมศูนย์ โดยมีบางแอปพลิเคชันเพื่อแยกวิเคราะห์และแสดงเหตุการณ์บันทึก

0 + 0

Score:-1

Server

hargut

1/10/23 19:24

เป็นจุดเริ่มต้น ไฟล์ sudoers จะอนุญาตการจำกัดคำสั่งเฉพาะเช่นกัน

https://linux.die.net/man/5/sudoers

ray rushmore = NOPASSWD: /bin/kill, PASSWD: /bin/ls, /usr/bin/lprm```

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to allow user to run only specific binaries

TH: วิธีอนุญาตให้ผู้ใช้เรียกใช้เฉพาะไบนารีที่ระบุ

RO: Cum să permiteți utilizatorului să ruleze numai anumite binare

RU: Как разрешить пользователю запускать только определенные двоичные файлы

VI: Cách cho phép người dùng chỉ chạy các tệp nhị phân cụ thể

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา