Чем грозит попытка пользователя выполнить sudo без разрешения?
Я проголосовал за комментарий @rozcietrewiacz, но я хочу назвать его полным ответом. (Это не помогло бы тому, кто уже установил оба dotfiles, но я думаю, что это поможет людям вроде меня, которые нашли этот вопрос по ошибке.)
zsh читает .zshenv и .zshrc для интерактивных логинов, но только .zshenv для неинтерактивных логинов. Чтобы решить эту проблему, мне нужно было разделить настройки PATH из моего .zshrc и переместить их в .zshenv.
В моем случае я не смог выполнить команды mercurial, которые обменивались по ssh с другим сервером, потому что мой путь (с hg сам по себе) был установлен в .zshrc на сервере.
Во-первых, sudo сам по себе, не отправляет никаких электронных писем и не создает предупреждающих сообщений, кроме регистрации вашей неудачной попытки журнал. Люди, которые наблюдают за этими журналами и сопоставляют события (скорее всего, используя скрипт-наблюдатель журналов), видят, что какой-то идентификатор пользователя, который на этот раз оказался вашим, пытается получить root-доступ там, где ему / ей не разрешено.В результате автоматический процесс отправляет злоумышленнику электронное письмо. Даже если вы думаете, что отвечаете человеку 9 из 10 раз, ваш ответ попадает в почтовый ящик, который либо не наблюдается, либо проверяется очень редко.
Если вы думаете, что получили ответ на свое объяснение от настоящего человека, который продолжает обвинять вас после того, как вы дали понять, что это была ошибка, и что вы не были на правильном сервере, то ему либо слишком скучно, и он что-то ищет делать или иметь строгие приказы, чтобы отпугнуть людей.
Кроме попыток взлома методом «грубой силы», в настоящее время не существует другого вектора угрозы, атакующего sudo защищенные серверы, насколько мне известно.
Также рассмотрите возможность задавать вопросы такого рода в разделе Информационная безопасность Stack Exchange.
Я пытался следовать некоторым инструкциям Linux, связанным с sudo
Это угроза.Пользователь, который не знает или не понимает, что он или она вводит в свой терминал с привилегиями sudo, может очень быстро привести к очень плохим вещам. Похоже, администратор на самом деле не объяснил вам, что попытка sudo на самом деле не проблема (теоретически вы можете попробовать sudoing все, пока не посинете в лицо, но если вы не нет доступа к sudo, ничего из этого не будет). Его беспокоит потенциал. Что, если бы у вас были привилегии sudo и вы ввели команду, которую нашли в Интернете, которая оказалась разрушительной?
Если sudo настроен на отправку электронной почты и если файл почтового ящика гипотетически отказал, электронная почта sudoers отправляется (или если MTA сломан, очередь почты) не или редко отслеживается, и если злонамеренному локальному пользователю дается достаточно времени, и если использование диска на / var не отслеживается, то злонамеренный локальный пользователь может заполнить этот раздел почтовыми ящиками или записями почтовой очереди из-за к неудачному входу в систему, что может быть плохо. Но это много, и, вероятно, в таком плохо управляемом магазине были бы более привлекательные цели.
Я не могу говорить о вашей конкретной ситуации; вам придется спросить своего системного администратора, почему они решили на вас кричать.
Но я могу сказать вам, почему sudo сообщает об этих инцидентах: Потому что нет законной причины для их возникновения. У тебя нет рута. Вы должны знать, что у вас нет root (и если по какой-то причине вы этого не сделаете, вы можете проверить с помощью sudo -l ). Вам не нужно делать что-то, что сисадмин решил запретить. В области компьютерной безопасности вы часто обнаруживаете, что «все, что не разрешено, запрещено». Поскольку нет веских причин для запуска команд sudo, когда у вас нет соответствующих привилегий, об этом следует сообщить человеку для проверки. Это может указывать на неправильно настроенное программное обеспечение, взломанную учетную запись или любое количество других проблем безопасности или не связанных с безопасностью системы.
Я подозреваю, что система сообщает о каждой неудачной попытке sudo сисадмину, который воспринимает их как отдельные действия. Крики на вас позволяют сисадмину вычеркнуть их из своего списка дел.
Модель угрозы направлена не на систему, а на сисадмина. Сисадмин чувствует необходимость реагировать на эти инциденты, чтобы доказать, что он/она не спит за рулем.
Если это так, решение - приобрести VirtualBox или аналогичную программу и перестать беспокоить системного администратора.
Угроза неоднократных неудачных попыток доступа sudo заключается в том, что злоумышленник может подобрать пароль и тем самым повысить свои привилегии. Поскольку данный пользователь фактически не имеет доступа к sudo, это висящая угроза - угроза, не имеющая уязвимости для использования. Однако система мониторинга может активировать тревогу для этого как часть стратегии обнаружения вторжений или потому, что это стандартная рабочая процедура для администраторов.
Проблема с ложными срабатываниями в системах сигнализации в целом заключается в том, что они могут привести к тому, что сигнал тревоги потеряет свою значимость для людей, которые следят за ним, в стиле «Мальчик, который плакал Волк». Таким образом, администраторы справедливо озабочены минимизацией количества ложных срабатываний в своих системах мониторинга / сигнализации.
Тем не менее, это похоже на предварительное электронное письмо от администратора в ответ на сработавшую тревогу, и стиль общения этого администратора по умолчанию кажется «несоразмерно раздражающим». Я бы не стал об этом беспокоиться.
(Кстати, я побеспокоился бы о вашей практике безрассудного системного администрирования копирования / вставки, особенно , когда команды, которые вы копируете / вставляете, являются командами sudo.)