Почему сделал обновление повреждения терминала гнома мои системные цвета и как я фиксирую его?

Как msv указанный в комментариях, целая предпосылка походит на экземпляр проблемы XY и очень мудрой безопасности кошмара, но я попытаюсь рассмотреть вопрос получения полномочий пользователя root без пароля.

Прежде всего echo "password" | su не будет работать потому что su не читает пароль из stdin, но открывается /dev/tty непосредственно для чтения. В то время как существуют инструменты (те, которые ожидают), который может использоваться для автоматизации интерактивных программ, подхода автоматического получения корневой оболочки для вызова определенной команды, поскольку корень является плохим с точки зрения безопасности, поскольку это нарушает принцип наименьшего количества полномочия.

Тем не менее аутентификация с su мог быть автоматизирован с expect использование чего-то как следующее:

#!/usr/bin/expect -f
spawn su
expect "Password:"
send "password\n";
interact

Если цель состоит в том, чтобы позволить вызов определенной команды как корень, не требуя корневых учетных данных, правильный инструмент для задания sudo. Например, если это требовало позволить пользователям войти wheel группа к выполнению useradd не вводя пароль, это может быть достигнуто путем добавления следующей строки файла конфигурации к /etc/sudoers с sudoedit команда:

%wheel    ALL = NOPASSWD: /usr/sbin/useradd

При установке таких полномочий благоразумно по крайней мере удостовериться, что возможность ограничивается конкретным пользователем или эксклюзивной группой.

Что касается использования этого метода для добавления пользователей с помощью сценария CGI или подобный, обычно не было бы желательно предоставить такие полномочия непосредственно стоящему с сетью программному обеспечению, но добавить уровень промежуточного разделения полномочия. Фактические полномочия можно было предоставить отдельному компоненту программного обеспечения, такому как демон, который веб-приложение попросит (через IPC) выполнять привилегированную операцию от своего лица. Таким образом, контроль ввода мог быть сделан и привилегированным процессом и веб-приложением, для уменьшения рисков годных для использования дефектов в веб-приложении, позволяющем вызов привилегированной операции (useradd в этом случае) с произвольными параметрами, или хуже, такими как выполнение произвольного кода с поднятыми полномочиями.

3
25.04.2014, 10:04
1 ответ
[116050] Установили ли вы гном-терминал на использование темной темы в своих предпочтениях? [116051]
4
27.01.2020, 21:19

Теги

Похожие вопросы