سؤال كيف يمكن للمستخدم تحميل حاوية ملف مشفر في VeraCrypt؟


لديّ عدد من الوسائط الخارجية التي تحتوي على حاويات ملف مشفرة VeraCrypt وأود أن يقوم المستخدمون بتحميلها واستخدامها دون منح امتيازات الجذر للمستخدمين.

ولكن في الوقت الحالي يطلب VeraCrypt دائما كلمة مرور المستخدم / المشرف على ما يبدو sudo-ing mount operation:

VeraCrypt fails to mount pdebski not in sodoers

كيف يمكن للمستخدم الذي ليس في ملف sudoers تحميل ملف .hc؟


1
2018-06-30 14:46


الأصل




الأجوبة:


تحذير: استخدم فقطPawel Debski الحل إذا وافق على ما يلي:

  • أي مستخدم أو قراصنة الحصول عليها التمكن من إلى حساب مستخدم في veracryptusers مجموعة يمكن تشغيل أي أوامر كجذر، عن طريق تنزيل ملف حاوية معدة يحتوي على شفرة خبيثة تعمل كجذر.

لذلك باستخدام هذا الحل قد تفكر في استخدام ملف تعريف مستخدم خاص لـ veracrypt. ونتيجة لذلك ، فإن sodo أسهل في الاستخدام.

خطوات لاختبار مشكلة الأمان:

  1. إنشاء ملف حاوية (ext2-4)
  2. نسخ أو إنشاء ملف ثنائي (على سبيل المثال whoami)
  3. تغيير مالك الثنائي إلى الجذر
  4. أضف setuid إلى الثنائي
  5. استدعاء ثنائي مع حساب مستخدم غير الجذر

سيتم تشغيل الثنائي مع امتياز الجذر.

تلميح: أضفت هذا الحل لأن التحذير في Pawel Debski غير واضح. الخطر أكبر بكثير من الفائدة طالما أن النظام لديه اتصال بالإنترنت.


3
2017-07-15 13:42



إنها فكرة جيدة للغاية لإضافة هذا كإجابة. تكساس. - Pawel Debski


أنا فعلت هذا. تم تكييف الحل من هنا: https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user ومن سؤالي الآخر بخصوص تكوين sudoers الحديث: إضافة المحتوى المحلي في /etc/sudoers.d/ بدلاً من تعديل ملف sodoers مباشرة عبر visudo 

  1. أنشئ مجموعة جديدة تسمى say veracryptusers وأعطها الأذونات اللازمة لاستخدام VeraCrypt دون كلمة مرور الجذر. أي مستخدم ينتمي إلى هذه المجموعة سيتمكن من استخدام VeraCrypt.

لاحظ هذا بشكل كبير يزيد من سطح الهجوم لرفع حقوق المستخدم ، لذلك تأكد من إضافة المستخدمين الموثوق بهم فقط إلى هذه المجموعة.

# groupadd veracryptusers
  1. الآن دعونا نعطي هذه الأذونات sudo مجموعة محدودة ل VeraCrypt:
sudo visudo -f /etc/sudoers.d/veracrypt
  GNU nano 2.5.3 ملف: /etc/sudoers.d/veracrypt.tmp

يسمح للمستخدمين # في مجموعة veracryptusers لتشغيل veracrypt كجذر.
٪ veracryptusers ALL = (root) NOPASSWD: / usr / bin / veracrypt

كما يرجى التأكد من ذلك veracrypt و /usr/bin لديك الأذونات المناسبة وغير قابلة للكتابة من قبل مجموعات أو غيرها:

$ ls -al / usr / bin / vera *
-rwxص-XR-س 1 root root 6341016 paź 17 2016 / usr / bin / veracrypt
$ ls -ald / usr / bin
drwxص-XR-س 2 جذر 69632 شفة 25 10:09 / usr / bin

وبخلاف ذلك ، قد يحل المستخدم الخبيث محل الملف القابل للتنفيذ ويكسب إجمالي الجذر في رغبته.

الآن إعادة تشغيل (أو relogin) لإعادة تقييم عضوية المجموعة و voilà - يمكنك تحميل وإلغاء تحميل مجلداتك المفضلة.

من هو المعلم الآن ، هو؟


0
2017-07-29 12:00



ذات صلة: security.stackexchange.com/questions/178610/... - Tom K.
توم ، شكرا لإدخال قيمة - Pawel Debski
هذه الإجابة غير صحيحة وستؤدي إلى تصعيد تافه مميز. كما أجبت في الرابطTomK. المقدمة ، وهذا الحل لا يوفر أي حماية ، وسوف يعطي أي شخص في veracryptusers المجموعة وصول الجذر الكامل. لا تفعل هذا. - forest