免責事項:時々* nixユーザーのみ。ただ気になりました。
私が読んでいるhttps://security.stackexchange.com/questions/232924/is-sudo-almost-useless質問が重要なポイントを提起する場所
攻撃者がsudoerユーザーとしてシェルを持っている場合(またはローカルプロセスを破損した場合)、攻撃者はさまざまな特権昇格ツールの1つを使用する可能性があります。
そして回答 展示するユーザーアカウントを損傷する攻撃者がどのように簡単に破損するsudo
かsudo
。~/.bashrc
1つの回答ステータス
偽物との相互作用を避けることができる限りログイン画面別の管理ユーザーアカウントと管理者以外のユーザーアカウントを持つことで、この問題を軽減できます。
sudo
これにより、特権エスカレーションメカニズムまたは実際に特権エスカレーションメカニズムを使用して同じユーザー権利を使用して偽造できない場合は、sudoerを介してルートを破損するのがはるかに困難になると思いました。
それでは、ユーザーとして私が使用する権限エスカレーションメカニズムが事前権限エスカレーションなしで変更されないことをどのように保証できますか?
メモ:xkcd/1200もちろん適用されます。
答え1
特定の違反からアカウントを保護するには、その権限を削除してください。.bashrc
その他のファイル(bash
および他のシェルの場合)を/etc/shells
変更できないように設定します。
または、Apparmor / SELinuxを使用してこれらのファイルへの書き込みアクセスを制限します。