sudo chown – prevenire ../

È necessario consentire a un utente di copiare i file sotto una particolare directory usando sudo. Questo fa il trucco:

user1 ALL= NOPASSWD: /bin/chown -[RPfchv] user2\:user2 /opt/some/path/[a-zA-Z0-9]* 

Ma, non impedisce all'utente di essere sneaky e di fare qualcosa di simile:

  • dovrebbe essere consentito l'accesso anonimo alla quota IPC su Windows 2008 r2
  • exec sudo e / o submit un segnale a un bambino
  • Confermando che yum-cron sia configurato correttamente su un server CentOS 7
  • Come posso limitare il plugin java per eseguire solo su determinati siti di Internet Explorer?
  • Perché / dev / urandom è solo leggibile da root da Ubuntu 12.04 e come posso "correggerlo"?
  • sudo: deve essere root setuid (Mac OS X)
  • [user1 @ rhel ~] sudo / bin / chown -v user2: user2 /opt/some/path/../../../etc/shadow

    Qualsiasi modo per proteggere da questo?
    La macchina sta eseguendo Linux (Red Hat)

  • Le voci di registro dispari e l'utilizzo insignificante della width di banda
  • Come proteggere NFS in ambienti di client non attendibili
  • Le cattive abitudini di Sysadmin
  • Apache Probes - cosa stanno dopo?
  • Come limitare il danno del danneggiamento di dominio
  • Come consentire all'amministratore locale di accedere a SQL Server?
  • 2 Solutions collect form web for “sudo chown – prevenire ../”

    sudo presenta rischi di sicurezza intrinseci ed è generalmente mal consigliato di dare agli utenti che non hanno elevati livelli di fiducia.

    Perché non limitare semplicemente a chown ricorsivo per la directory padre?

    i sudoers utilizzano principalmente globbing. Secondo il manpage, non corrisponde a / sui caratteri jolly. Maggiori dettagli nella manpage.

    Per quanto riguarda una soluzione più avanzata, uno script dovrebbe fare il trucco.

     [root@server wmoore]# egrep '^wmoore' /etc/sudoers wmoore ALL= NOPASSWD: /bin/chown -[RPfchv] wmoore\:wmoore /home/wmoore/[a-zA-Z0-9]* [wmoore@server ~]$ sudo -l User wmoore may run the following commands on this host: (root) NOPASSWD: /bin/chown -[RPfchv] wmoore:wmoore /home/wmoore/[a-zA-Z0-9]* [wmoore@server ~]$ sudo chown -R wmoore:wmoore /home/wmoore/../../tmp/test Sorry, user wmoore is not allowed to execute '/bin/chown -R wmoore:wmoore /home/wmoore/../../tmp/test' as root on server. 

    Oh giusto. pacchetto sudo:

     Name : sudo Relocations: (not relocatable) Version : 1.6.9p17 Vendor: CentOS Release : 3.el5_3.1 Build Date: Tue 24 Mar 2009 07:55:42 PM EDT 

    CentOS5.

    Provi a fare uno script di sostituzione del chroot, che validation l'input prima di fare la cosa chown (). Quindi aggiungere questo script invece di / bin / chown al file sudoers. Puoi quindi impostare l'alias "chown" per gli utenti se necessario.

    D'altra parte, sei sicuro che i tuoi utenti devono fare chown con privilegi di root? Forse i bit sgid o suid sulle directory risolveranno il tuo problema?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.