Linuxセキュリティ総 ..
20:login:Penguin
16/07/28 14:39:09.27 vgMn1AfM.net
残念ながらいくつかの解決が困難な問題のせいで今やUnix/LinuxよりWindowsのほうが遥かにセキュアだからな。
被害が少ないのはただ単に狙われてないからってだけ。
1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント
URLリンク(www.openwall.com)
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.
URLリンク(www.openwall.com)
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.
suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。
次ページ続きを表示1を表示最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5日前に更新/107 KB
担当:undef