/etc/sudoers를 읽을 수 없는 이유는 무엇입니까?

Question 1

불필요한 정보 공개; 계정이나 프로세스가 손상된 경우 공격자는 sudoers 구성을 읽고 해당 정보를 사용하여 다음 대상(계정, 허용된 프로그램 등)을 파악할 수 있습니다.
불필요하게 누구나 읽을 수 있는 파일은 Sendmail 파일 및 잠금 메커니즘과 같은 서비스 거부 공격에 대한 조건을 만들 수 있습니다.https://securitytracker.com/id/1004368(세계적으로 읽을 수 있는 파일은 여러 프로세스에서 열릴 수도 있습니다. 이로 인해 파일의 I/O 성능이 저하될 수 있으며 이는 sudo데이터베이스나 로그 데몬과 관련이 없지만 해로울 수 있습니다.)
알려지지 않은 취약점으로 인해 공격자는 ioctl대부분 잊혀지거나 버그가 있는 오디오 인터페이스를 사용하여 정말 영리한 작업을 수행할 수 있으며, 세계에서 읽을 수 있는 불필요한 파일은 공격자가 등반할 수 있는 충분한 발판을 제공합니다.

Answer

불필요한 정보 공개; 계정이나 프로세스가 손상된 경우 공격자는 sudoers 구성을 읽고 해당 정보를 사용하여 다음 대상(계정, 허용된 프로그램 등)을 파악할 수 있습니다.
불필요하게 누구나 읽을 수 있는 파일은 Sendmail 파일 및 잠금 메커니즘과 같은 서비스 거부 공격에 대한 조건을 만들 수 있습니다.https://securitytracker.com/id/1004368(세계적으로 읽을 수 있는 파일은 여러 프로세스에서 열릴 수도 있습니다. 이로 인해 파일의 I/O 성능이 저하될 수 있으며 이는 sudo데이터베이스나 로그 데몬과 관련이 없지만 해로울 수 있습니다.)
알려지지 않은 취약점으로 인해 공격자는 ioctl대부분 잊혀지거나 버그가 있는 오디오 인터페이스를 사용하여 정말 영리한 작업을 수행할 수 있으며, 세계에서 읽을 수 있는 불필요한 파일은 공격자가 등반할 수 있는 충분한 발판을 제공합니다.

Question 2

짧은 질문 답변:

긴 답변:

당신의 주장은 완벽하게 받아들여집니다. GNU/Linux는 모호함에 의한 보안을 염두에 두고 설계되지 않았습니다. 몇 가지 예:

/etc/passwd- 기본적으로 존재하는 모든 사용자 및 그룹은 시스템의 모든 사람이 검색할 수 있습니다. 유일한 비밀은 존재가 아니라 비밀번호이기 때문에 이것은 좋습니다.
/etc/ssh/sshd_config- 시스템의 모든 사람이 SSH 서버 구성 방법을 분석할 수 있습니다. 유일한 비밀은 SSH 사용자의 비밀번호와 개인 키이지 SSH 서버 작동 방식이나 공개 키가 아니기 때문에 이는 좋습니다.

아마도 sudo 개발자는 국가를 더욱 안전하게 만들기 위해 의회를 숨기고 싶어할 수도 있습니다. 누가 알아.

Answer

짧은 질문 답변:

긴 답변:

당신의 주장은 완벽하게 받아들여집니다. GNU/Linux는 모호함에 의한 보안을 염두에 두고 설계되지 않았습니다. 몇 가지 예:

/etc/passwd- 기본적으로 존재하는 모든 사용자 및 그룹은 시스템의 모든 사람이 검색할 수 있습니다. 유일한 비밀은 존재가 아니라 비밀번호이기 때문에 이것은 좋습니다.
/etc/ssh/sshd_config- 시스템의 모든 사람이 SSH 서버 구성 방법을 분석할 수 있습니다. 유일한 비밀은 SSH 사용자의 비밀번호와 개인 키이지 SSH 서버 작동 방식이나 공개 키가 아니기 때문에 이는 좋습니다.

아마도 sudo 개발자는 국가를 더욱 안전하게 만들기 위해 의회를 숨기고 싶어할 수도 있습니다. 누가 알아.

Question 3

권한이 있는 사용자를 표적으로 삼는 기능은 sudo손상을 더 쉽게 만듭니다. 같은 이유로 /etc/shadow읽기 전용이며 루트만 액세스할 수 있습니다. 모호함을 통한 보안은 생각보다 더 많은 공격을 방지합니다.

Answer

권한이 있는 사용자를 표적으로 삼는 기능은 sudo손상을 더 쉽게 만듭니다. 같은 이유로 /etc/shadow읽기 전용이며 루트만 액세스할 수 있습니다. 모호함을 통한 보안은 생각보다 더 많은 공격을 방지합니다.

관련 정보