Ich bin mit den Antworten bisher überhaupt nicht einverstanden, deshalb habe ich eine andere Perspektive hinzugefügt. Mein Lösungsansatz basiert grob auf einem der Kommentare von @ Cyclic3, wird jedoch nach Bedarf geändert.
Der tatsächliche Angriffsvektor:
Wenn bereits eine root shell, warum die Nutzdaten per Paketmanager liefern? apt-get
ist nicht das Hauptproblem (da es nicht unbedingt erforderlich ist, Software zu installieren), aber eine unangemessene Softwarebereitstellung durch nicht autorisierte Benutzer, die besser die Installation der Pakete für sie anfordern sollte. Wenn Sie sie mit einem root
-Konto im Internet surfen lassen, wäre dies aus Sicherheitsgründen ungefähr dieselbe Idiotie.
Nebenbei bemerkt, unabhängig von apt -get
, sie könnten immer wget
einen 0-Tage-Exploit ausführen, der eine Eskalation von Berechtigungen durchführt. Dies würde erfordern, dass White-Listing-Ziele in der Firewall verhindert werden, was die Benutzer im Allgemeinen nicht amüsiert, da hierdurch die gesamte zufällige Internetnutzung (die auch berufsbezogene Webrecherchen umfassen kann) abgeschaltet wird. Dieser Aspekt wird häufig völlig ignoriert.
Eine einfache Self-Service-Lösung:
Da niemand den Server-Serf spielen möchte ... warum nicht eine einfache Web-Benutzeroberfläche schreiben? , welche können sie die Pakete auswählen und sie dann auf dem Computer bereitstellen, von dem sie angefordert haben? Dann einfach ssh
in und apt-get
ausführen. Dies ist eine Methode der weißen Auflistung (ich kenne yum
nur im Detail, die die schwarze Auflistung unterstützt, aber keine weiße Auflistung). Im Allgemeinen ist dies ein sehr einfacher Weg, um nahezu kein Risiko zu gewährleisten, da die root
-Shell & apt-get install
außerhalb ihrer Reichweite gehalten wird. Wenn Sie dies als Batch-Job über die root
crontab auslösen (vorausgesetzt, die root
SSH-Schlüssel stimmen auf allen Computern überein), müssen Sie nicht einmal das Benutzerkonto wechseln, um dies zu tun . Drücken Sie einfach eine Benachrichtigung
, wenn Sie fertig sind, und sie werden begeistert sein.
Wie ich immer sagte, wenn sie in der Benutzerunterstützung arbeiten: Was sie nicht anklicken können, können sie nicht durcheinander bringen.