ユーザーがディスクグループを使用している場合に特権の昇格を守るには?

ユーザーがディスクグループを使用している場合に特権の昇格を守るには?

基本Centos7のインストール:

[root@teszt ~]# lsblk
NAME        MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sda           8:0    0  100G  0 disk 
├─sda1        8:1    0    1G  0 part /boot
└─sda2        8:2    0   99G  0 part 
  ├─cl-root 253:0    0   50G  0 lvm  /
  ├─cl-swap 253:1    0    2G  0 lvm  [SWAP]
  └─cl-home 253:2    0   47G  0 lvm  /home
sr0          11:0    1 56.6M  0 rom  
[root@teszt ~]# ls -lah /dev/sda1
brw-rw----. 1 root disk 8, 1 Mar 12 09:25 /dev/sda1
[root@teszt ~]# useradd -m tesztuser
[root@teszt ~]# id tesztuser
uid=1000(tesztuser) gid=1000(tesztuser) groups=1000(tesztuser)
[root@teszt ~]# usermod -a -G disk tesztuser
[root@teszt ~]# id tesztuser
uid=1000(tesztuser) gid=1000(tesztuser) groups=1000(tesztuser),6(disk)
[root@teszt ~]# su - tesztuser
[tesztuser@teszt ~]$ id
uid=1000(tesztuser) gid=1000(tesztuser) groups=1000(tesztuser),6(disk) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[tesztuser@teszt ~]$ dd if=/dev/sda1 of=copy-of-boot-fs
2097152+0 records in
2097152+0 records out
1073741824 bytes (1.1 GB) copied, 5.33951 s, 201 MB/s
[tesztuser@teszt ~]$ ls -lah copy-of-boot-fs 
-rw-rw-r--. 1 tesztuser tesztuser 1.0G Mar 12 09:28 copy-of-boot-fs
[tesztuser@teszt ~]$ 

質問:「一般」ユーザーを「ディスク」グループに割り当てる必要がある場合、特権の昇格などの攻撃をどのように防御しますか?ユーザーはRAWディスクを読み書きできるので、好きなように何でもできます。たとえば、次の再起動時にカーネルをトロイの木馬にしたり、uid/gidをgod 0/0に変更したりします。

一般ユーザーをディスクグループに追加する必要があります。たとえば、一般ユーザーは VirtualBox を使用しており、パフォーマンス上の理由から、FS のファイルではなくゲストに RAW LV を使用したいとします。

答え1

「一般」ユーザーを「ディスク」グループに割り当てる必要がある場合、特権の昇格などの攻撃をどのように防御しますか?

あなたはできません。解決策は、ユーザーをdiskグループに入れないことです。これはありません。

ユーザーに元のボリュームへのアクセス権を付与するには、次のように入力します。それ他のグループのボリューム、そのボリュームのみ。これを行う方法はウデブルール。バラより特定のデバイスにグループを許可するUdevルールはグループを設定しません。root以外のユーザーが/ devファイルを読み書きできるようにする、…

関連情報