기본 Centos7 설치:
[root@teszt ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 100G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 99G 0 part
├─cl-root 253:0 0 50G 0 lvm /
├─cl-swap 253:1 0 2G 0 lvm [SWAP]
└─cl-home 253:2 0 47G 0 lvm /home
sr0 11:0 1 56.6M 0 rom
[root@teszt ~]# ls -lah /dev/sda1
brw-rw----. 1 root disk 8, 1 Mar 12 09:25 /dev/sda1
[root@teszt ~]# useradd -m tesztuser
[root@teszt ~]# id tesztuser
uid=1000(tesztuser) gid=1000(tesztuser) groups=1000(tesztuser)
[root@teszt ~]# usermod -a -G disk tesztuser
[root@teszt ~]# id tesztuser
uid=1000(tesztuser) gid=1000(tesztuser) groups=1000(tesztuser),6(disk)
[root@teszt ~]# su - tesztuser
[tesztuser@teszt ~]$ id
uid=1000(tesztuser) gid=1000(tesztuser) groups=1000(tesztuser),6(disk) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[tesztuser@teszt ~]$ dd if=/dev/sda1 of=copy-of-boot-fs
2097152+0 records in
2097152+0 records out
1073741824 bytes (1.1 GB) copied, 5.33951 s, 201 MB/s
[tesztuser@teszt ~]$ ls -lah copy-of-boot-fs
-rw-rw-r--. 1 tesztuser tesztuser 1.0G Mar 12 09:28 copy-of-boot-fs
[tesztuser@teszt ~]$
질문: "일반" 사용자를 "디스크" 그룹에 할당해야 하는 경우 권한 상승과 같은 공격을 어떻게 방어합니까? 사용자는 RAW 디스크를 읽고 쓸 수 있으므로 원하는 대로 무엇이든 할 수 있습니다. 예를 들어 다음 재부팅 시 커널을 트로이 목마화하거나 uid/gid를 god 0/0으로 변경합니다.
일반 사용자를 디스크 그룹에 추가해야 합니다. 예를 들어 일반 사용자는 VirtualBox를 사용하고 있으며 성능상의 이유로 FS의 파일 대신 게스트에 RAW LV를 사용하려고 합니다.
답변1
"일반" 사용자를 "디스크" 그룹에 할당해야 하는 경우 권한 상승과 같은 공격을 어떻게 방어합니까?
당신은 할 수 없습니다. 해결책은 사용자를 disk그룹에 넣지 않는 것입니다. 이것은 아닙니다.
사용자에게 원래 볼륨에 대한 액세스 권한을 부여하려면 다음을 입력하십시오.저것다른 그룹의 볼륨, 해당 볼륨만. 이를 수행하는 방법은우데브규칙. 바라보다특정 장치에 그룹 권한 부여,Udev 규칙이 그룹을 설정하지 않습니다.,루트가 아닌 사용자가 /dev 파일을 읽고 쓸 수 있도록 허용,…