Sobre vulnerabilidades no sistema (SUDO, principalmente)

homemsemnome
(usa Debian)

Enviado em 30/04/2017 - 13:00h

Uma dúvida que eu tenho em relação a esse assunto é se fica mais fácil para o invasor quebrar a senha do sudo em comparação com a senha de root. Supondo que o cara de alguma maneira tenha se infiltrado na sua rede e "dibrado" o seu firewall, seria mais fácil para ele crackear a senha do sudo e escalonar privilégios? Geralmente as senhas de usuário são ridículas. Nego coloca o nome do cachorro, data de aniversário, nome da namorada (até parece que quem é linuxer tem uma né), etc., visto que ninguém quer digitar uma senha de 50 dígitos na hora do login e tal né.

Até hoje ninguém me respondeu isso.

Giovanni_Menezes
(usa Devuan)

Enviado em 30/04/2017 - 15:16h

Primeiro que a senha de root não é para ser banalizada, se tem várias pessoas usando ela, ou com privilégios adm, para mim já tem algo errado logo ai.

Segundo, qual é essa tarefa mega importante que o usuário comum tanto precisa de privilégios administrativos ?

Terceiro, servidor ou máquinas em geral, são configurados pelo administrador uma vez de modo que os demais possam usar as estações sem precisar usar privilegio administrativo, que foi feito para o administrador, não para o usuário comum, uma vez configurado o cara só tem o trabalho de fazer a manutenção.

Apesar do que você levanto ser interessante, é muito questionável na pratica, alguém aqui confiaria um servidor com projeto secreto na casa dos bilhões a senha/privilegio (limitado ou não) de admin para 5, 10 pessoas ???


--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3
http://www.anahuac.eu/contrarrevolucao-osi/

Carlos_Cunha
(usa Linux Mint)

Enviado em 30/04/2017 - 15:46h

Estou tratando que a pergunta dele seja a amplo cenário, mas voltado a parte de "insegurança" e argumentos que usam, os quais rebati.
Se for eu ainda, não obtive nada que que prove que o SUDO seja "ruim", pensando mais , agora considero até melhor.

Agora se for a nível "caseiro" , ai é outros 500...
Em caso se quiser pode ter login automático, em casa é para usuário normal, se quiser usar ou não o sudo, e realmente a gosto.


Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

Carlos_Cunha
(usa Linux Mint)

Enviado em 30/04/2017 - 15:48h

Para min não muda.
Se vc colocar senha fraca no seu cartão do banco, ele será tão fácil "quebrada" quanto qualquer outra coisa, que tenha uma senha fraca.

Abraço
#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

Freud_Tux
(usa Outra)

Enviado em 30/04/2017 - 21:10h

Concordo que só a existência do SUDO é um erro.

Ele dá privilégios administrativos a um usuário comum... Ótimo a besteria tá feita!
Esse usuário já abre a sessão dele com um pedacinho do sistema com privilégios administrativos. Vamos supor, que ele use o Libreoffice com o Java... E vamos supor, que esse Java tenha uma falha que possibilite dar acesso a sessão do usuário...
Vamos supor então, que alguém com bastante tempo livre, ache essa falha nesse Java e dispara um ataque.
Logo, temos uma máquina com semi-poderes de adm nas mãos de terceiros, e pra ele ter acesso a todo o sistema é questão apenas de tempo.

O sudo não é uma boa ideia e nunca foi, se for pra ter sudo, é melhor usar janelas logo.
A ideia é subir o root apenas quando for necessário e pronto, deixar um usuário comum com poderes de adm em qualquer máquina não é uma boa ideia.

T+
-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

removido
(usa Nenhuma)

Enviado em 30/04/2017 - 21:15h

Mas isto funciona se o SUDO da máquina estiver configurado para pedir obrigatoriamente senha quando for usado?
Ou liberar SUDO para não pedir senha mesmo que seja máquina de 1 user só já é uma falha de segurança?

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

ricardogroetaers
(usa Linux Mint)

Enviado em 01/05/2017 - 01:24h

https://images.duckduckgo.com/iu/?u=http%3A%2F%2Ffarm6.static.flickr.com%2F5536%2F10992480703_390865...

Freud_Tux
(usa Outra)

Enviado em 01/05/2017 - 09:45h

Ai que tá!
Para o SUDO pedir a senha para um usuário, ele tem que estar ativado para esse usuário, ou seja, ele está lá na sessão. Se algum arquivo do sistema tiver uma brecha explorada, o primeiro lugar que vai pro espaço é o arquivo do /etc/sudoers e as outras configurações relacionadas ao sudo, justamente por possibilitarem alterações que são um atalho para tomar controle da máquina, e até alterações remotamente. Muitas máquinas domésticas podem ser usadas como zumbis por exemplo.
Pode demorar, claro que pode, mas se uma brecha de segurança pode ser evitada, então, é melhor o fazer.

Já ativar o SUDO ara não pedir senha dentro de uma sessão de um usuário já é um erro, pois ele vai está ativado e rodando... Se o cara fica baixando coisas de tudo que é lugar, nem precisa de muito pra máquina rodar.

T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

removido
(usa Nenhuma)

Enviado em 07/05/2017 - 21:22h

Sudo: Permite Escalonamento de Privilégios


http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sudo

https://www.cvedetails.com/product-search.php?vendor_id=0&search=sudo

http://www.linuxmint.com.br/discussion/23032/sudo-vulnerabilidade-permite-escalonamento-de-privilegi...

removido
(usa Nenhuma)

Enviado em 08/05/2017 - 00:35h

Isto aqui é um exemplo hipotético de SUDOERS. Quebrei um pouco a cabeça para imaginar um cenário.
É meia-boca. Talvez vocês entendam. O caso é que foi feito às pressas.
Ele funciona. Fiz um exemplo com scripts em /opt que seriam para atualizar.
Quem quiser pode "inventar" outras coisas para melhorar o exemplo.

#

# This file MUST be edited with the 'visudo' command as root.

#

# Please consider adding local content in /etc/sudoers.d/ instead of

# directly modifying this file.

#

# See the man page for details on how to write a sudoers file.

#

Defaults        env_reset

Defaults        mail_badpass

Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"



Cmnd_Alias      SHELLS  = /usr/bin/chsh, /usr/bin/ssh, /bin/bash, /bin/dash, /bin/rbash, /bin/sh



Cmnd_Alias	NOT	= /usr/sbin/visudo, /usr/bin/vim, /usr/bin/vi, /usr/bin/nano, /bin/sed



Cmnd_Alias	CONTROLE = /usr/bin/apt-get



Cmnd_Alias	SERVS	= /opt/store/apache, /opt/store/mysql



Cmnd_Alias      UTILS	= /opt/store/update, /opt/store/upgrade



User_Alias      ADMINS  = k48s3c



User_Alias	USERS	= usermax



ADMINS          ALL     = !SHELLS, !NOT, CONTROLE, SERVS



USERS		ALL	= !NOT, UTILS 

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

pekman
(usa Outra)

Enviado em 08/05/2017 - 03:28h

O SUDO possui problemas, inclusive o OpenBSD criou o DOAS.

https://www.openbsd.org/faq/faq10.html#doas

Configurar o DOAS e muito mais simples que o SUDO.

removido
(usa Nenhuma)

Enviado em 08/05/2017 - 03:42h

O mais perto que Debian tem de DOAS é /usr/share/zsh/functions/Completion/Unix/_doas

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)