nosuid 옵션을 사용하여 모든 FS를 마운트하고 모든 파일에서 suid/sgid 비트를 제거했습니다.
문제: sudo를 깨뜨린 것 같습니다. /etc/sudoers에 무엇을 설정하려고 해도 더 이상 작동하지 않습니다. sudo에 suid 비트가 필요한 것이 정상입니까, 아니면 뭔가 빠졌습니까?
답변1
수퍼유저 액세스가 없으면 어떤 사용자/그룹으로도 전환할 수 없습니다. 유틸리티는 suid 비트를 su통해 루트로 전환한 다음 제공하도록 설계된 모든 특권 시스템을 강제하는 것을 좋아합니다 . sudosuid/sgid 비트가 있는 파일이 필요하지 않을 가능성이 높으므로 전반적으로 문제가 발생합니다. 루트에 대한 조잡한 suid(예: ping) 대신 함수(setcap)를 사용하는 바이너리가 여전히 있을 수 있지만 nosuid이로 인해 작동하지 않을 수도 있습니다.
실제로 Suid 바이너리는 이러한 도구 중 하나 내의 취약성을 통한 코드 실행이 보안 모델 외부의 권한을 상승시키기 때문에 보안 위험을 나타냅니다. 그러나 그것은 이유가 있기 때문에 존재합니다 ...