Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   [решено] ssh логин пользователя с правами root (http://forum.oszone.net/showthread.php?t=333305)

lxa85 20-02-2018 17:28 2799179
ssh логин пользователя с правами root
 
Здравствуйте.
Допустили до консоли сервака, отдали права root (причем root чистый, даже не su).
Это ладно, пол беды. Создал для себя админа ladmin, все нормально. Захожу по ssh, попадаю в профиль своего пользователя.
whoami отвечает - ladmin
если скажу sudo -sH то предсказуемо получу привелегированный доступ.
Все хорошо.

Есть другой пользователь user, настроенный до меня, на системе не имеющей sudo.
Есть пользователь user, подключиться по ssh, то whoami - скажет root
И прав он имеет как root.

Как это было настроено? Что за "лайфхак" вычитан в "интернетах" ?

Jula0071 20-02-2018 19:47 2799214
Цитата:
Цитата lxa85
Есть пользователь user, подключиться по ssh, то whoami - скажет root
И прав он имеет как root. »
Есть одна мысль, user'у прописан uid=0.

El Scorpio 21-02-2018 01:01 2799283
Цитата:
Цитата lxa85
Как это было настроено? Что за "лайфхак" вычитан в "интернетах" ? »
Не знаю.
Отсюда нам /etc/ssh/sshd_config вашего сервера не видно :)

lxa85 21-02-2018 11:17 2799352
Jula0071, да, пользователю был присвоен 0 id.
Это я просмотрел в passwd, видать слишком офигев от такой наглости.

Jula0071 21-02-2018 11:24 2799355
Итак, я построил лабу, чтобы проверить своё предположение.
Код:
root@lab-VirtualBox:~# usermod -u 0 testuser
usermod: UID '0' already exists
Ясно, стандартными средствами нельзя, редактируем ручками /etc/passwd:
Код:
testuser:x:0:0:,,,:/home/testuser:/bin/bash
То есть, прописываем нули в поля uid и gid.
Вуаля:
Код:
○ → ssh testuser@192.168.3.178
testuser@192.168.3.178's password:
Welcome to Ubuntu 16.04.3 LTS (GNU/Linux 4.13.0-32-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:    https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

0 packages can be updated.
0 updates are security updates.

Last login: Wed Feb 21 10:17:03 2018 from 192.168.3.108
root@lab-VirtualBox:~# whoami
root
root@lab-VirtualBox:~#
Полагаю, не нужно объяснять, что так делать на боевой системе не следует.

lxa85 21-02-2018 21:36 2799508
Цитата:
Цитата Jula0071
Итак, я построил лабу, чтобы проверить своё предположение. »
Скорей всего так и сделали. По всей видимости опыт админов растет из Windows с не пониманием архитектуры и устройства Linux.
Цитата:
Цитата Jula0071
Полагаю, не нужно объяснять, что так делать на боевой системе не следует. »
Безусловно.
Цитата:
Цитата El Scorpio
/etc/ssh/sshd_config »
Там и руту доступ разрешен. Полный букет в общем.

P.S. Одно радует - админ не я...

Busla 22-02-2018 13:45 2799625
Цитата:
Цитата lxa85
Скорей всего так и сделали. По всей видимости опыт админов растет из Windows с не пониманием архитектуры и устройства Linux. »
Поясните, пожалуйста, логическую связь? При чём тут Windows - какой способ работы с ним подразумевает такую практику?
Нулевой uid - это древняя юниксовая особенность архитектуры. Даже не хак, а фича, чтобы несколько админов могли рулить системой под персональными логинами и паролями.
Может это у вас полное непонимание архитектуры как Linux, так и Windows? ;-)

Jula0071 22-02-2018 14:38 2799640
Цитата:
Цитата Busla
Нулевой uid - это древняя юниксовая особенность архитектуры. Даже не хак, а фича, чтобы несколько админов могли рулить системой под персональными логинами и паролями. »
Если мне не изменяет склероз, в FreeBSD даже был из коробки запасной root по имени toor, на случай если root недоступен. Да и вообще, десятилетия назад никакого SSH не было, был прозрачный telnet. Но с тех пор многое поменялось, выставишь тот же SSH в мир и мигом набегают миллионы китайцев с брутфорсом. Потому это делать сегодня нельзя ни в коем случае. И дело тут не в архитектуре, просто нельзя интерфейсы управления выставлять в мир. А также следует разграничивать доступы, исходя из правила разрешать только то, что необходимо и не более. Это применимо к любым платформам, кстати на винде с этим даже лучше обстоит, чем на том же линуксе (без ACL и SELinux).
Цитата:
Цитата Busla
Поясните, пожалуйста, логическую связь? »
Могу лишь предположить, что речь о низкой квалификации и культуре админов, правда, почему именно виндовые взяты за образец этого удручающего явления, я не знаю. Может быть потому, что ТС с криворукими виндоадминами чаще сталкивался, чем с линуксовыми.

lxa85 22-02-2018 14:57 2799644
Набежали ... :)
Цитата:
Цитата Busla
Поясните, пожалуйста, логическую связь? »
У упомянутых админов нет практики работы с linux. (Про общую культуру администрирования не скажу)
Поэтому возможно (!) они решили проблему самым простым путем - отсыпали прав сколько влезет.
Это не в коей мере не относится к действительным профессионалам своего дела. Их мы любим, ценим и уважаем :)

Jula0071 22-02-2018 15:55 2799653
Должен заступиться за админов, поскольку инфобез и удобство часто вступают в противоречие. Представьте, для доступа нужно подключиться к VPN, введя пароль и код верификации 2FA. Потом для доступа к собственно ресурсу - опять пароль и двухфактор. И парольная политика - не менее 15 символов, с чередующимися аппер и ловеркейс + цифры + символы. И менять каждые 90 дней. Тут любой взвоет, а когда начальство воет, то многие быстро сдаются. Если у них нет на руках оценки рисков. Скажем, если показать директору риск многомиллионного штрафа (причём не в полновесных рублях, а в ничем не обеспеченных зелёных бумажках), то вменяемый директор быстро успокаивается. Ну а если риски невелики, то и фиг с ней с безопасностью. Просто вопрос денег.


Время: 05:03.

Время: 05:03.
© OSzone.net 2001-