Tuneando SUDO 2: Problemas de seguridad

Publicado: octubre 7, 2013 en Seguridad, System
Etiquetas:, , ,

En el artículo anterior, vimos cómo configurar sudo. En ese artículo hablé de cómo se pueden especificar qué comandos puede ejecutar un usuario y configuración básica de /etc/sudoers.conf. En éste vamos a ver algunos problemas de seguridad que podemos tener en la configuración de sudo.

El primer problema es la utilización del modificador ! (negación) de uno o varios comandos. Por ejemplo, supongamos que creamos la siguiente regla:

zodiac ALL= (ALL) ALL, !passwd root


Esta regla, en principio, permite al usuario zodiac ejecutar todos los comandos, a excepción de passwd root. En principio funciona pero, si el usuario copia a otra ruta el /usr/bin/passwd, podrá ejecutarlo, con lo que no tiene mucho sentido añadir utilizar la negación para evitar la utilización de un comando en particular, si estamos utilizando ALL (todos los comandos).

Otro problema es la utilización de la opción fast_glob que, en determinadas circunstancias, agiliza la búsqueda de rutas y, por tanto, la ejecución de sudo, si estamos utilizando comodines en las rutas. En el caso de utilizar la !(negación), podemos saltarnos esta restricción igual que en el caso anterior, copiando el binario a otro lugar. Por suerte, esta opción está deshabilitada por defecto.

Además de esto, podemos tener algún problema con ciertos editores, u otras utilidades que permiten salidas a shell, como el caso del editor vi. Damos permisos para ejecutar esta utilidad como root (o cualquier otro usuario), por ejemplo, con la intención de que un usuario determinado pueda modificar archivos. A la vez, al hacer una salida al shell, estará como si fuese el usuario root, o el respectivo, y quizás esto no nos interese. Para evitar esto, podemos utilizar la opción noexec:

zodiac ALL= NOEXEC: /usr/bin/more, /usr/bin/vi

Espero que esto os sirva de ayuda a la hora de configurar vuestro sistema.

Fuente:

http://www.gratisoft.us/sudo/sudoers.man.html

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s