من سعی می کنم از افزایش امتیازات از حساب های غیر مجاز مانند www-data جلوگیری کنم.
اساسا، اگر وب سرور من به خطر بیافتد، کراکر ها ممکن است راه هایی برای افزایش پیدا کند (آسیب پذیری های یافت شده در sudo root root سرور؟) من می خواهم راه دیگری برای این کار را بیاورم و متوجه شدم که قرار دادن www-data در user_t نمایه سلینکس این اثر را دارد.
با این حال، با نگاهی به ممیزی فایل زمانی که www-data تلاش می کند تا sudo یا su این را نشان دهد:
برای sudo:
type = AVC msg = audit (1533818833.807: 318): avc: setted برای pid = 1417 comm = "sudo" capability = 7 scontext = user_u: user_r: user_t: s0 tcontext = user_u: user_r: user_t: s0 tclass = capability
توسط:
selinuxuser_use_ssh_chroot boolean اشتباه تنظیم شد
شرح:
اجازه دهید selinuxuser از ssh chroot استفاده کند
اجازه دسترسی با اجرای:
# setsebool -P selinuxuser_use_ssh_chroot 1
برای su:
type = AVC msg = audit (1533818282.076: 263): avc: denied {write} برای pid = 1354 comm = su su نام = "btmp" dev = "dm-0" ino = 8428621 scontext = user_u: user_r: user_t: s0 tcontext = system_u: object_r: faillog_t: s0 tclass = file
توسط:
عدم اجرای نوع (TE) اجازه می دهد که قانون باشد
شما می توانید از audit2allow برای تولید یک ماژول قابل بارگیری برای این دسترسی استفاده کنید.
بنابراین، برای sudo ، به نظر می رسد بیش از یک اشکال (به همین دلیل selinuxuser_use_ssh_chroot ؟؟!) و برای su ، انکار است از حقوق کافی در / var / log / wtmp
آیا این روش برای جلوگیری از افزایش احتمالی کاربران از کاربران نامناسب مفید است؟ یا این به نظر شما بیش از یک هک است؟ آیا این کافی است برای جلوگیری از دسترسی کاربر ریشه ای به رمز عبور ریشه برای دسترسی ریشه؟
بسیاری از تشکر
