Início / user-100178

Altay_H's questions

Martin Hope
Altay_H
Asked: 2019-08-17 11:27:47 +0800 CST
  • 20

Eu tenho um servidor headless que está conectado remotamente por vários usuários. Nenhum dos outros usuários está no arquivo sudoers, então eles não podem obter root via sudo. No entanto, como as permissões suestão -rwsr-xr-xativadas, não há nada que os impeça de tentar forçar a senha do root.

Pode-se argumentar que, se um usuário souber a senha do root, ele pode comprometer o sistema de qualquer maneira, mas não acho que seja esse o caso. O OpenSSH está configurado com PermitRootLogin noe PasswordAuthentication no, e nenhum dos outros usuários tem acesso físico ao servidor. Até onde eu sei, a permissão de execução do mundo /usr/bin/sué o único caminho para os usuários que tentam obter root no meu servidor.

O que é mais intrigante para mim é que nem parece útil. Ele me permite executar sudiretamente em vez de precisar fazer sudo su, mas isso dificilmente é um inconveniente.

Estou negligenciando alguma coisa? A permissão de execução do mundo está suapenas lá por razões históricas? Existem desvantagens em remover essa permissão que ainda não encontrei?

sudo su
Martin Hope
Altay_H
Asked: 2018-01-06 09:16:13 +0800 CST
  • 3

Configurei o shadowsocks-libev e o executei com o seguinte serviço systemctl:

[Unit]
Description=Shadowsocks-Libev Manager Service
Wants=network-online.target
After=network-online.target

[Service]
Type=simple
User=nobody
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
ExecStart=/usr/bin/ss-manager -c /etc/shadowsocks/%i.json

[Install]
WantedBy=multi-user.target

Recentemente, notei que meu arquivo de configuração shadowsocks ( /etc/shadowsocks/manager.json) tinha permissões globais de leitura, então mudei para 600 e verifiquei se o proprietário era nobody. Por algum motivo, isso faz com que o processo falhe ao ler o arquivo de configuração ao iniciar.

systemctl start [email protected]

ss-manager[1357]: 2018-01-05 11:41:00 ERROR: Invalid config path.

Este é o mesmo erro que vejo quando revogo todos os privilégios de leitura desse arquivo.

No entanto, funciona bem se eu iniciar shadowsocks usando exatamente o mesmo comando na linha de comando:

sudo -u nobody /usr/bin/ss-manager -c /etc/shadowsocks/manager.json

Da mesma forma, não tenho problemas para ler o arquivo nobodyusando catou less.

Quando eu verifico o processo iniciado por ele systemctl, psele mostra que está sendo executado como nobody, e quando o processo gera arquivos, o proprietário é definido como nobody. Por que não pode acessar este arquivo? Por que há uma diferença entre executá-lo através do systemctl e executá-lo a partir do terminal?

Meu problema parece semelhante a esta pergunta , mas não tenho aspas em meu ExecStart, portanto essa solução não é aplicável ao meu caso.

systemd shadowsocks