Hlavní navigace

Názor ke zprávičce Chyba v sudo umožňuje navýšení práv, stačí jako UID nastavit -1 nebo 4294967295 od Miroslav Šilhavý - Takze budeme pod rootem zpracovavat s maximalnimi opravnenimi...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 16. 10. 2019 10:17

    Miroslav Šilhavý

    Takze budeme pod rootem zpracovavat s maximalnimi opravnenimi vsechny takovehle potrebne veci. A budeme resit, aby se root nahodou nedostal tam, kam ta sluzba vlastne nema. A kdyz budeme potrebovat aktualni vystup, tak budeme muset cekat, nez se cron uraci spustit pod rootem danou ulohu, aby hodil vystup.

    Ne diky, radeji to sudo a specialne pro monitoring obzvlast.ný čas a pouze s vyjmenovanými parametry.

    Tak to jste se teď trochu unáhlil.

    Když přidám rootovi do crontabu těch pět vyjmenovaných příkazů, je to absolutně stejné, jako když povýšíte zabbix na roota pomocí sudo.

    Až na malé rozdíly:

    1. crontab se zavolá jen v určený čas - monitoring může např. v důsledku DoS útoku spustit příkazy klidně mnohokrát za sekundu (tj. chybí limitace)

    2. crontab má specifikované pevné parametry volaných příkazů; do sudo můžete poslat i další a pokud selže zabezpečení sudo, může to představovat problém (a že sudo selhat může, právě řešíme)

    3. samotný volaný program může být exploitovatelný - pokud ho volám z crontabu, zapíše výstup a nemůžu na jeho práci navázat ani zřetězením, ani správným načasováním

    Takže JE bezpečnejší volat crontab roota, než povyšovat běžného uživatele (zabbix) na úroveň roota.

    Tohle sudo-za-každou-cenu je neštěstí, kterým je prolezlý celý internet. Pokud to jde se sudo vyhnout, je to vždy lepší.

    16. 10. 2019, 10:18 editováno autorem komentáře