Как root может запустить процесс, который может убить только root?

Легко запустить процесс в фоновом режиме или сделать его как системад оказание услуг.

Однако, если я хочу запустить процесс, который отслеживает действия на компьютере с Linux, он становится целью атак.Если какой-либо пользователь захочет сделать что-то плохое, он сначала убьет этот процесс, даже если он всего лишь судоили колесо пользователей, просто выполнив убийство или же системная остановка.

Есть ли способ обеспечить выполнение процесса, который корень может убить?

Ребята, подумать только, что даже rsyslog service может быть убит, вы должны признать, насколько на самом деле уязвим Linux. Это как пилот может отключить черный ящик. Любая авиакомпания допускает такое? Или кто-нибудь дает пилоту список разрешений, чтобы помешать ему сделать все возможное для спасения самолета? Конечно, пилот может разбить самолет, но черный ящик запишет это.

Мое предложение по черному списку законно с точки зрения безопасности, даже если оно может вас напугать. Так что не пытайся винить того, кто задал этот вопрос, хорошо?

Имея неограниченные привилегии sudo/wheel, любой сможет отменить все, что вы сделали. Даже если вам удастся добиться этого, удалив возможность напрямую убить процесс, например. с судо убить, либо это все еще можно обойти с помощью других команд sudoed, либо вы также заблокируете себя от администрирования.

Спросите себя, почему ненадежные пользователи вообще имеют неограниченные привилегии sudo? Они не должны. Дайте такие привилегии только тем, кому вы полностью доверяете. Если есть некоторые привилегированные команды, которые все еще необходимо выполнить, включите sudo только для этих команд:

+netmgr /usr/sbin/ifup, /usr/sbin/ifdown

(использовать visudo -f /etc/sudoers.d/netmgr чтобы поместить это в файл надстройки sudoers).

Таким образом, вы можете разрешить пользователю запускать только судо /usr/sbin/ifup и sudo /usr/sbin/ifdown, но никаких других команд sudo. Множество других примеров, инструкций и соображений безопасности см. человек судоерс. Прочитайте это!

Аудит обычно делается другим способом. В частности, вы установили Другая машине, настройте ее системный журнал для приема журналов с удаленных станций. На рассматриваемой машине вы настроили ведение журнала, чтобы все журналы отправлялись на машину регистрации, в дополнение к локальному хранению. Даже если кто-то отключит эту отправку журнала, само действие по отключению будет зарегистрировано, так что, по крайней мере, вы будете знать, кто виноват.

Вы не можете дать кому-то силу, а затем помешать им использовать ее. Вы должны сфокусировать власть, которую вы им даете, чтобы включать только то, что вы хотите, чтобы они имели.

В комментарии вы сказали:

Я должен разрешить им использовать убийство или же системная остановка так как есть некоторые приложения, которым нужны эти привилегии для делать свою работу

Это не значит, что те пользователи нужен доступ к этим командам, только те Приложения. Пользователь имеет ограниченные права на запуск судо ./какая-то программа и как только эта программа запускается от имени пользователя root, она может использовать убийствои т. д. по мере необходимости. Однако у пользователя нет прямого доступа к этим внутренним командам.

По сути, пользователям не нужен доступ к команды, им нужен доступ к функциональность. Если убийство слишком рискованно, заблокируйте доступ к нему и предоставьте другой, более безопасный способ добиться того же результата. Возможно, вы создадите небольшую утилиту сейфкилл это действует как убийство но отказывается от запросов на уничтожение определенных процессов. Предоставьте своим пользователям sudo доступ к сейфкилл но не настоящий убийство. Если пользователи всегда используют эти команды для выполнения одних и тех же действий, инкапсулируйте весь этот процесс в небольшую программу и попросите их использовать ее вместо того, чтобы делать это вручную (например, они будут запускать sudo restart_websservers вместо того, чтобы убивать и перезапускать все различные серверные процессы по отдельности). Ваши пользователи по-прежнему имеют доступ к необходимым им функциям, но они не могут использовать опасное оружие напрямую.

Существует еще один, более экстремальный механизм принудительного применения, который может быть доступен в зависимости от вашей конкретной настройки. Некоторые процессоры имеют сторожевые таймеры имеется в наличии. Измените свою программу мониторинга активности, чтобы запускать сторожевой таймер и сбрасывать его каждые пару секунд. Если кому-то удастся убить ваш монитор, сторожевой таймер истечет, и система перезагрузится, перезапустив программу монитора при запуске. Это не будет строго препятствовать отключению монитора, но запретит кому-либо делать что-либо значимое после его отключения. Это также создаст хорошие большие красные флажки в ваших системных журналах. Большинство систем с сторожевыми таймерами будут сообщать, когда сторожевой таймер инициировал конкретную перезагрузку. Перезагрузка, инициируемая сторожевым таймером, которая происходит, когда пользователь вошел в оболочку, должна рассматриваться как очень подозрительный.

Нуб линукс здесь. Не могли бы вы написать программы или сценарии, которые делают только то, для чего предназначены эти ребята, а затем сделать их root-владельцами и добавить бит setuid? Конечно, одна большая проблема заключается в том, что вы можете не захотеть, чтобы другие люди запускали эти команды. Я не уверен, что вы можете получить исходную информацию о пользователе. И, конечно же, с setuid/setgid всегда необходимо проявлять особую осторожность.

Если вы дадите пользователю полную свободу действий как root, то он сможет убить почти что угодно. Для более подробного обсуждения и возможных обходных путей см.: обсуждение стека unix sigkill.

Также интересно решение сторожевого таймера, упомянутое @bta. На самом деле доступен программный сторожевой пакет, который можно настроить для отслеживания изменения файлов или выполнения пользовательского сценария. Однако на большинстве стандартных ядер этот сторожевой таймер может быть остановлен пользователем root, или вы можете изменить его конфигурацию. Но другие пользователи должны были бы знать об этом, чтобы избежать этого. Видеть: https://linux.die.net/man/8/watchdog

Но если вам не нужно разрешать полный root-доступ, но вы можете управлять их доступом с помощью механизма sudo, то вы можете установить некоторые команды с явными аргументами для их выполнения и не разрешать ничего, кроме их прав пользователя по умолчанию.

Например, вы можете поставить /бен/убить в /etc/sudoers файл, но разрешать только определенные аргументы.

bob ALL=(root) /bin/kill -sigTERM [1-9][0-9][0-9][0-9]

Это позволит пользователю боб выполнить /бен/убить, но уничтожайте только процессы с PID от 1000 до 9999. Если вы запустите свой монитор достаточно рано, у него будет низкий PID, и его нельзя будет убить таким образом. Пользователь боб конечно, вы все еще можете связываться с вами, убивая ваши собственные пользовательские процессы ...., и что с оберткой PID, это все равно может быть не слишком полезно.

Из полного набора можно вычесть определенные опции. Например, убить все неотрицательные PID, но не разрешать сигнализировать PID, содержащий 1337, и не разрешать уничтожение -1.

bob ALL=(root) /bin/kill -sigTERM *,!/bin/kill *1337*,!bin/kill *-1*

Но это было бы немного неудобно, и вы были бы уверены, что программа не переносит свои целые числа. Насколько я понимаю, Procps kill не работает, но в этом примере все равно можно было бы убить процесс с pid 1337, если бы он был частью группы процессов, в которой он не был лидером. Итак, это показывает, насколько сложно работать с негативами или черными списками.

Лучший вариант, разрешить убивать только определенные процессы по имени

bob ALL=(root) /usr/bin/pkill -sigTERM -f namedprocess

Или только перезапустить конкретную службу

bob ALL=(root) /bin/systemctl перезапустить службу

Пользователь может просмотреть доступные команды sudo с помощью судо -л

Важно, если вы разрешаете определенным программам указывать для них полный путь. А также у пользователя не должно быть прав на удаление или редактирование этой программы, иначе она может быть заменена чем-то другим.

Я придумал Старт!

корень можно установить DEFAULT SHELL для пользователя следующим образом:

useradd [someuser] -s [определенный исполняемый файл]

Затем, если определенный исполняемый файл = скрипт цензуры, который:

1. Автоматически запрещает выполнение определенных команд. Нравиться останавливаться & rsyslog комбинированный.

2. запрещает командам выйти из этой оболочки и использовать другую, даже оригинальную бить

3. запрещает команды, чтобы пользователь не мог получить роль корень как то, что @user253751 упомянул выше.

4. Передайте остальные команды /бин/баш

Тогда просто установите его г+х для любого пользователя.

Любое предложение приветствуется в этом ответе. Специально для 2 и 3 кажутся различные средства.

Bash загрузит настройки в /etc/профиль и /etc/bashrc первый. Я заметил, что последний имеет дело с PROMPT_COMMAND переменная. Можно перехватить это в последней строке, чтобы добавить в сценарий цензуры, но для некоторых систем требуется имя пользователя-исключение, поскольку по умолчанию ни у кого нет привилегий root, чтобы изменить его обратно.

Полная цензура, удовлетворяющая вышеуказанным 4+1, будет помечена как законный ответ.

Я никогда не буду отмечать ответ «вы должны отказаться от этого» как законный.

сопутствующие вопросы:

Как я могу регистрировать команды bash пользователей?

Как я могу заставить bash регистрировать команды оболочки в системном журнале?

Войти без запуска bash_profile или bashrc