私が許すサーバーA助けるサーバーB、どのサーバーも他のサーバーを変更できません。
root 以外のユーザー zfsbackup@サーバーA許可される項目 zfs send
:
# serverA: /etc/sudoers.d/zfsbackup
zfsbackup ALL = (root) NOPASSWD: /sbin/zfs send *
これが可能になるサーバーBバックアップの実行サーバーAこのように:
root@serverB~:# ssh zfsbackup@serverA sudo zfs send -i tank/vol@yesterday tank/vol@today | zfs receive tank/vol
問題は次のとおりです。
悪意のあるユーザーは
zfs send *
このコマンドを使用してダメージを与える可能性がありますか?それともこのコマンドは完全に読み取り専用ですか?
答え1
悪意のあるユーザーが zfs send* コマンドを使用してダメージを受ける可能性はありますか?それともこのコマンドは完全に読み取り専用ですか?
このzfs send
コマンドはファイルシステムの内容を変更しませんが、悪意のあるユーザーがどのように邪悪な方法を選択したかに応じて、ファイルシステム(時にはネットワーク)を飽和させてシステムをDoS攻撃するために使用できます。