Làm thế nào root có thể bắt đầu một quá trình mà chỉ root mới có thể giết chết?

Thật dễ dàng để bắt đầu một quá trình ở chế độ nền hoặc biến nó thành hệ thống dịch vụ.

Tuy nhiên, nếu tôi muốn bắt đầu một quá trình giám sát các hoạt động trên máy Linux, thì nó sẽ trở thành mục tiêu của các cuộc tấn công.Nếu bất kỳ người dùng nào muốn làm điều gì đó xấu, trước tiên nó sẽ giết quá trình này, ngay cả khi họ chỉ sudoers hoặc bánh xe người dùng, bằng cách thực hiện đơn giản giết chết hoặc dừng systemctl.

Có cách nào để thực thi một quy trình chỉ nguồn gốc có thể giết?

Các bạn, chỉ để nghĩ rằng thậm chí rsyslog service có thể bị giết, bạn nên thừa nhận Linux thực sự dễ bị tổn thương như thế nào. Nó giống như một phi công có thể tắt hộp đen. Có hãng hàng không nào cho phép điều này xảy ra không? Hay có ai đưa cho phi công một danh sách cho phép để cản trở họ làm bất cứ điều gì có thể để cứu máy bay không? Tất nhiên phi công có thể làm rơi máy bay nhưng hộp đen sẽ ghi lại điều đó.

Đề xuất của tôi về danh sách cấm là hợp pháp từ góc độ bảo mật, mặc dù nó có thể khiến bạn lo lắng. Vì vậy, đừng cố đổ lỗi cho người đã đặt câu hỏi, được chứ?

Có các đặc quyền sudo/wheel không giới hạn, bất kỳ ai cũng có thể hoàn tác bất kỳ điều gì bạn đã làm. Ngay cả khi bạn quản lý để đạt được điều này bằng cách loại bỏ khả năng giết quá trình trực tiếp, ví dụ:. với sudo giết, điều này vẫn có thể bị phá vỡ bằng cách sử dụng các lệnh sudoed khác hoặc bạn cũng tự khóa quyền quản trị của mình.

Hãy tự hỏi bản thân, tại sao những người dùng không đáng tin cậy lại có đặc quyền sudo không hạn chế ngay từ đầu? Họ không nên. Chỉ dành những đặc quyền như vậy cho những người bạn hoàn toàn tin tưởng. Nếu có một số lệnh đặc quyền vẫn cần được thực thi, chỉ bật sudo cho các lệnh đó:

+netmgr /usr/sbin/ifup, /usr/sbin/ifdown

(sử dụng visudo -f /etc/sudoers.d/netmgr để đưa cái này vào tệp bổ trợ sudoers).

Bằng cách này, bạn có thể cho phép người dùng chỉ chạy sudo /usr/sbin/ifup và sudo /usr/sbin/ifdown, nhưng không có lệnh sudo nào khác. Rất nhiều ví dụ, hướng dẫn và cân nhắc về bảo mật khác có trong người đàn ông sudoers. Đọc nó!

Kiểm toán được thực hiện thường theo cách khác. Đặc biệt, bạn thiết lập nữa máy, hãy định cấu hình nhật ký hệ thống của nó để chấp nhận nhật ký từ các trạm từ xa. Trên máy được đề cập, bạn thiết lập ghi nhật ký để nó gửi tất cả nhật ký vào máy ghi, ngoài việc lưu trữ cục bộ. Ngay cả khi ai đó vô hiệu hóa việc gửi nhật ký này, hành động vô hiệu hóa chính nó sẽ được ghi lại, vì vậy ít nhất bạn sẽ biết ai là thủ phạm.

Bạn không thể trao cho ai đó quyền lực và sau đó ngăn cản họ sử dụng nó. Bạn phải tập trung một cách hẹp quyền lực mà bạn trao cho họ để chỉ bao gồm những gì bạn muốn họ có.

Trong một bình luận, bạn đã nói:

Tôi phải cho phép họ sử dụng giết chết hoặc dừng systemctl bởi vì có một số ứng dụng cần những đặc quyền này để làm công việc của họ

Điều đó không có nghĩa là những người dùng cần truy cập vào các lệnh đó, chỉ những lệnh đó các ứng dụng. Người dùng có quyền hạn chế để chạy sudo ./someprogram và một khi chương trình đó đang chạy với quyền root, nó có thể sử dụng giết chết, vv khi cần thiết. Tuy nhiên, người dùng không có quyền truy cập trực tiếp vào các lệnh nội bộ đó.

Về cơ bản, người dùng không cần truy cập vào mệnh lệnh, họ cần truy cập vào chức năng. Nếu giết chết quá rủi ro, hãy chặn quyền truy cập vào nó và cung cấp một số cách khác an toàn hơn để đạt được kết quả tương tự. Có lẽ bạn tạo một tiện ích nhỏ tiêu diệt an toàn hoạt động như giết chết nhưng từ chối yêu cầu giết một số tiến trình. Cấp cho người dùng của bạn quyền truy cập sudo vào tiêu diệt an toàn nhưng không phải là thật giết chết. Nếu người dùng luôn sử dụng các lệnh này để thực hiện cùng một việc, hãy gói gọn toàn bộ quy trình đó trong một chương trình nhỏ và yêu cầu họ sử dụng thay vì thực hiện thủ công (ví dụ: họ sẽ chạy sudo khởi động lại_máy chủ web thay vì tắt và khởi động lại tất cả các quy trình máy chủ khác nhau). Người dùng của bạn vẫn có quyền truy cập vào chức năng họ cần, nhưng họ không thể trực tiếp sử dụng vũ khí nguy hiểm.

Có một cơ chế thực thi khác, cực đoan hơn có thể khả dụng tùy thuộc vào thiết lập cụ thể của bạn. Một số bộ vi xử lý có đồng hồ bấm giờ có sẵn. Sửa đổi chương trình giám sát hoạt động của bạn để khởi động cơ quan giám sát và đặt lại chương trình sau mỗi vài giây. Nếu ai đó cố gắng giết màn hình của bạn, bộ đếm thời gian giám sát sẽ hết hạn và hệ thống sẽ tự khởi động lại, khởi chạy lại chương trình màn hình khi khởi động. Điều này sẽ không hoàn toàn ngăn màn hình bị vô hiệu hóa, nhưng nó sẽ cấm bất kỳ ai làm bất cứ điều gì có ý nghĩa sau khi vô hiệu hóa nó. Điều này cũng sẽ tạo ra những lá cờ đỏ lớn đẹp mắt trong nhật ký hệ thống của bạn. Hầu hết các hệ thống có cơ quan giám sát sẽ báo cáo khi cơ quan giám sát kích hoạt một lần khởi động lại cụ thể. Việc khởi động lại do cơ quan giám sát kích hoạt xảy ra trong khi người dùng đã đăng nhập vào trình bao sẽ được coi là rất khả nghi.

Linux noob ở đây. Bạn có thể cân nhắc việc viết các chương trình hoặc tập lệnh chỉ thực hiện những gì mà những người này dự định làm, sau đó biến chúng thành chủ sở hữu gốc và thêm bit setuid cho chúng không? Tất nhiên, một vấn đề lớn là bạn có thể không muốn người khác chạy các lệnh này. Tôi không chắc liệu bạn có thể lấy thông tin người dùng ban đầu hay không. Và tất nhiên, luôn cần phải cẩn thận hơn với setuid/setgid.

Nếu bạn trao cho người dùng quyền cai trị miễn phí với quyền root, thì người dùng đó có thể giết hầu hết mọi thứ. Đối với một số cuộc thảo luận chuyên sâu và cách giải quyết có thể xem: thảo luận sigkill ngăn xếp unix.

Ngoài ra, giải pháp giám sát được đề cập bởi @bta rất thú vị. Trên thực tế, có sẵn một gói cơ quan giám sát phần mềm, có thể được định cấu hình để theo dõi việc thay đổi tệp hoặc thực thi tập lệnh người dùng. Tuy nhiên, trên hầu hết các hạt nhân tiêu chuẩn, cơ quan giám sát này có thể bị dừng bởi người dùng root hoặc bạn có thể thay đổi cấu hình của nó. Nhưng những người dùng khác sẽ phải nhận thức được điều này để tránh nó. Nhìn thấy: https://linux.die.net/man/8/watchdog

Nhưng nếu bạn không phải cho phép toàn quyền truy cập root mà có thể quản lý quyền truy cập của họ bằng cơ chế sudo, thì bạn có thể đặt một số lệnh với đối số rõ ràng để họ thực thi và không cho phép bất kỳ thứ gì khác ngoài quyền người dùng mặc định của họ.

Ví dụ, bạn có thể đặt /bin/giết bên trong /etc/sudoers tệp, nhưng chỉ cho phép các đối số cụ thể.

bob TẤT CẢ=(root) /bin/kill -sigTERM [1-9][0-9][0-9][0-9]

Điều này sẽ cho phép người dùng bồng bềnh để thực hiện /bin/giết, nhưng chỉ hủy các tiến trình có PID trong khoảng từ 1000 đến 9999. Nếu bạn thực thi trình theo dõi của mình đủ sớm, nó sẽ có PID thấp và không thể hủy theo cách này. Người dùng bồng bềnh Tất nhiên, vẫn có thể gây rối với bạn bằng cách giết chết các quy trình người dùng của chính bạn .... và những gì với gói PID, điều này có thể không quá hữu ích.

Có thể trừ một số tùy chọn nhất định khỏi một bộ đầy đủ. Ví dụ: hủy tất cả PID không âm, nhưng không cho phép báo hiệu PID chứa 1337 và không cho phép hủy -1.

bob ALL=(root) /bin/kill -sigTERM *,!/bin/kill *1337*,!bin/kill *-1*

Nhưng điều đó sẽ hơi khó xử và bạn sẽ rất chắc chắn rằng chương trình không bao gồm các số nguyên của nó. Procps kill không xa như tôi có thể thấy, nhưng ví dụ này vẫn cho phép hủy một quy trình với pid 1337 nếu nó là một phần của nhóm quy trình mà nó không phải là thủ lĩnh. Vì vậy, điều này cho thấy việc làm việc với các phủ định hoặc danh sách đen phức tạp như thế nào.

Tùy chọn tốt hơn, chỉ cho phép hủy một số quy trình nhất định theo tên

bob ALL=(root) /usr/bin/pkill -sigTERM -f name process

Hoặc chỉ khởi động lại dịch vụ cụ thể

bob ALL=(root) /bin/systemctl khởi động lại dịch vụ

Người dùng có thể xem các lệnh sudo có sẵn với sudo -l

Điều quan trọng là nếu bạn cho phép một số chương trình chỉ định chúng sẽ có đường dẫn đầy đủ. Và người dùng cũng không được có quyền hủy liên kết hoặc chỉnh sửa trên chương trình đó, nếu không chương trình có thể bị thay thế bằng một thứ khác.

Tôi đã nghĩ ra A Start!

nguồn gốc có thể đặt MẶC ĐỊNH MẶC ĐỊNH cho người dùng như thế này:

useradd [someuser] -s [một tệp thực thi nào đó]

Sau đó, nếu tệp thực thi nhất định = Tập lệnh kiểm duyệt:

1. Tự động kiểm duyệt các lệnh nhất định không được thực thi. Thích dừng lại & rsyslog cộng lại.

2. cấm các lệnh để thoát khỏi trình bao này và sử dụng trình bao khác ngay cả bản gốc đánh đập

3. cấm các lệnh để ngăn người dùng giành được vai trò nguồn gốc như những gì @ user253751 đã đề cập ở trên.

4. Truyền phần còn lại của lệnh cho /bin/bash

Sau đó, chỉ cần thiết lập nó r+x cho bất kỳ người dùng nào.

Bất kỳ đề nghị được đánh giá cao dưới câu trả lời này. Đặc biệt đối với 2 & 3 dường như có nhiều phương tiện khác nhau.

Bash sẽ tải các cài đặt trong /etc/hồ sơ và /etc/bashrc đầu tiên. Tôi đã nhận thấy các thỏa thuận sau với PROMPT_COMMAND Biến đổi. Có thể chiếm đoạt điều này ở dòng cuối cùng của nó để thêm vào tập lệnh kiểm duyệt, nhưng tên người dùng được miễn trừ là cần thiết đối với một số hệ thống vì theo mặc định, không ai có quyền root để thay đổi lại tên người dùng đó.

Một kiểm duyệt hoàn chỉnh đáp ứng 4+1 ở trên sẽ được đánh dấu là câu trả lời hợp pháp.

Tôi sẽ không bao giờ đánh dấu câu trả lời "bạn sẽ từ bỏ nó" là hợp pháp.

câu hỏi liên quan là:

Làm cách nào tôi có thể ghi lại các lệnh bash của người dùng?

Làm cách nào tôi có thể tạo bash để ghi các lệnh shell vào nhật ký hệ thống?

Đăng nhập mà không cần chạy bash_profile hoặc bashrc