면책조항: 가끔 *nix 사용자만 해당됩니다. 그냥 궁금해서요.
내가 읽고있다https://security.stackexchange.com/questions/232924/is-sudo-almost-useless질문이 핵심 포인트를 제기하는 곳
공격자가 sudoer 사용자로 셸을 갖게 되면(또는 로컬 프로세스를 손상시킨 경우) 공격자는 다양한 권한 상승 도구 중 하나를 사용할 수 있습니다.
그리고답변 전시하다사용자 계정 을 손상시키는 공격자가 어떻게 쉽게 손상시키 sudo거나 sudo.~/.bashrc
하나의 답변 상태
가짜와의 상호작용을 피할 수 있는 한로그인 화면, 별도의 관리 사용자 계정과 관리자가 아닌 사용자 계정을 가짐으로써 이 문제를 완화할 수 있습니다.
sudo이로 인해 권한 에스컬레이션 메커니즘이나 실제로 권한 에스컬레이션 메커니즘을 사용하여 동일한 사용자 권한을 사용하여 위조할 수 없다면 sudoer를 통해 루트를 손상시키는 것이 훨씬 더 어려울 것이라는 생각이 들었습니다.
그렇다면 사용자로서 내가 사용하는 권한 에스컬레이션 메커니즘이 사전 권한 에스컬레이션 없이 변경되지 않는다는 것을 어떻게 보장할 수 있습니까?
노트:xkcd/1200물론 적용됩니다.
답변1
특정 위반으로부터 계정을 보호하려면 해당 권한을 제거하십시오. .bashrc및 기타 파일( bash및 기타 셸의 경우)을 /etc/shells변경할 수 없도록 설정합니다 .
또는 Apparmor/SELinux를 사용하여 이러한 파일에 대한 쓰기 액세스를 제한하세요.