1.1, x3who (?), 12:08, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Как пример того, что вот можно вот так извернуться - интересное.
| |
|
2.3, Аноним (3), 15:11, 20/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Позитив в том, что такие штуки возможны, что возможно дорабатывать и менять.
В остальном, такое себе... Изнутри изолированного потребовались повышенные привилегии, которые потом захочется изолировать, но так, чтобы были повышенные привилегии для ...
| |
|
3.6, x3who (?), 16:20, 20/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Позитив в том, что такие штуки возможны, что возможно дорабатывать и менять.
Именно!
С ssh там можно накрутить опупенной логики - добавляешь command="скрипт" в .ssh/authorized_keys (пример тут: https://www.ubuntumint.com/restrict-ssh-user-commands/ ) и этот будет принудительно выполняться. Можно извращаться как по ссылке, можно как-то по-сложному анализировать чо там юзер хотел выполнить и принимать решение нужно ли это выполнять, или выполнить что-то другое, в конце концов можно просто отдельный аудит вести что там вызывали и что возвращено юзеру.
Но, гонять это всё через сокет и на каждый чих стартовать индивидуальный OpenSSH демон - КМК так себе идея :)
| |
|
|
1.4, Аноним (3), 15:14, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Как охранять ключ?
Хэш от пароля хоть лежит в /etc/shadow, туда ещё добраться надо и побрутфорсить после, а ключ валяется под ногами у браузера, у некоторых без пароля.
| |
|
2.10, Арчевод (?), 17:55, 20/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Поэтому голый SSH ключ не нужно использовать (как впрочем и для других SSH соединений). Можно настроить пароль/токен/пароль+токен и проблема решена.
| |
2.19, Аноним (19), 09:55, 24/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
можно например защитить его паролем пользователя, а при входе автоматически разблокировать с помощью pam_ssh
| |
|
1.5, Аноним (5), 15:15, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Проблема только в том, что пароль к sudo - в голове у пользователя, а ключ SSH лежит в файле на диске, и процессы, запущенные с правами этого пользователя, имеют права доступа на чтение к нему. Имхо, это ещё менее секьюрно, чем использование suid в sudo.
| |
|
2.7, x3who (?), 16:49, 20/12/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Проблема только в том, что пароль к sudo - в голове у
> пользователя, а ключ SSH лежит в файле на диске, и процессы,
> запущенные с правами этого пользователя, имеют права доступа на чтение к
> нему. Имхо, это ещё менее секьюрно, чем использование suid в sudo.
Второй абзац статьи: "дополнительно может быть задействовано подтверждение полномочий при помощи USB-токена (например, Yubikey)"
| |
|
1.8, Аноним (8), 17:44, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Заслуживающий внимания пример костыля, решающего высосанную из пальца проблему.
Даем полноценного рута по локальному ссш, потому что боимся, что юзер с судо поднимет привилегии до рута? Я ничего не упускаю?
| |
|
2.9, Аноним (8), 17:49, 20/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вообще, чтобы было совсем красношапково и поттерингоугодно, команды нужно отправлять через сервер красной шапки. Локальный демон от рута читает и выполняет все команды, которые с него приходят. Судо не нужно! Корпоративный контроль над всеми выполняемыми командами!
| |
|
3.11, Аноним (11), 17:57, 20/12/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не корпоративный, а "ориентированный на пользователя (с заботой о пользователе", такой себе ssh-антивирус. Не пропустит злонамеренные команды в шелл!
| |
|
|
1.12, Аноним (11), 18:00, 20/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> заслуживающий внимания способ ухода
Очередное "упрощение", которое в итоге выливается во всё бОльшую огороженность системы от модифицирования локальным пользователем (с такими уходами останется одна консоль с клавой и монитором)
| |
|
2.15, Kuromi (ok), 18:19, 21/12/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну так логично, идут по пути Андроида. Хотят чтобы никаких рутов и рут доступа к начинке. Софтик вот уже в флатпаках и снапах, по сути, вне классической системы пакетов. Магазинчики приложений красивые для того же делают, чтобы меньше нос совали.
| |
|
1.14, swarus (ok), 14:56, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
примерно так использую
$ ssh -X secret@localhost torfi firefox-esr
/home/secret - закриптован
для скрытого сидения в инете, но sudo не отменяет
| |
1.20, Аноним (20), 22:46, 27/02/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Идея красивая, спору нет. Но во-первых - оверхед (ssh-у нужно как ни крути туда-сюда все шифровать), во-вторых уже помянутая проблема необходимости второго фактора, в-третьих - плюс одна пара токенов, которые нужно менеджить и регулярно ротировать.
| |
1.21, Аноним (21), 14:58, 01/04/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Способ интересный, но мне кажется лучше всего использовать, если вдруг нужно, не вместо судо а вместе с ним
Особенно с внешними железными ключами
Хз, имеет ли вообще смысл такой сценарий где нибудь на особо секретных предприятиях, где например на проходной тебе каждый день дают новую юсб флешку с ключом
| |
|