2011年7月19日

設定 sudo 時要記得禁止一般權限使用者執行 sudo sudo

在設定一般權限使用者可用 sudo 執行何種指令時,有以下兩種作法 (參考鳥哥的文章):

  • 白名單:明確列出使用者可以執行哪些指令,如:
    Cmnd_Alias USERADM = /bin/more, /bin/cat
    user     ALL=USERADM
    使用者只能以 sudo 執行 more 和 cat 指令。
  • 黑名單:明確列出使用者不可執行哪些指令,如:
    Cmnd_Alias NSU = /bin/su
    
    user     ALL=ALL, !NSU
    使用者不可以 sudo 執行 su 指令,其他指令都可以。
sudo sudo 問題只會發生在使用黑名單時,因為除了黑名單中所列的指令,其他指令都可以執行,而 OS 中的指令很多,有時候會發生漏擋的現象,而造成意想不到的結果。

上禮拜中無意發現,原本的黑名單中只有禁止 su 和 visudo 等指令,沒有禁止 sudo 指令,因此若執行「sudo passwd root」會出現「Sorry, user xxx is not allowed to execute '/usr/bin/passwd root' as root on server.」的訊息,這跟預料中的一樣,顯示黑名單有正確發揮作用。

但是若執行「sudo sudo passwd root」(因為當時眼殘,沒注意到已經打了一次 sudo,就重複了),則可以成功變更 root 密碼!因此若要使用黑名單,除了禁止 su、visudo、passwd root、userdel root 等等指令以外,還要記得禁止 sudo 指令,才不會留下漏洞!

由此可知,使用白名單是比較安全的作法,畢竟使用者可以執行哪些指令都清楚的寫在設定檔中,一目了然,就不會有忘記禁止哪些指令的問題了。

2012-04-13更新:
目前使用的黑名單如下:

Cmnd_Alias NSUREAD = /bin/su,/usr/bin/sudo,/usr/sbin/visudo,/usr/bin/passwd root,/usr/sbin/userdel,/sbin/sysctl -w *

比較特別的是最後加上去的「/sbin/sysctl -w *」,主要是禁止一般 user 以 sudo 的方式變更任何系統參數 (例如 net.ipv4.tcp_keepalive_time ),但若只設定「/sbin/sysctl -w」,沒有加上「*」的話,還是可以變更成功 (因為 -w 之後要加上參數的 key=value,例如 /sbin/sysctl -w net.ipv4.tvp_keepalive_time=300),只是不能執行「sudo /sbin/syscrl -w」(不帶任何參數) 而已,但這樣是沒有意義的,因為 -w 後面必定要接欲變更的參數。因此要加上「*」才能禁止一般 user 透過 sudo /sbin/stsctl -w 變更「任何」系統參數。

雖然目前暫時只有針對 sysctl 指令做這樣的限制,但其他需要參數的指令,以及參數內容可能會任意變化的指令,用「*」去擋就對啦!

2011年7月14日

Openfind 2011 Solution Day 筆記

上週四(7/7)去參加 Openfind 2011 Solution Day,活動辦的還不錯。昨天收到行銷寄來的 mail,說是完整的 session 投影片和錄影可以到他們家網站線上觀看,分為影片欣賞簡報下載

我覺得最精采的是第二個 session:CEH (白帽駭客) OpenBlue 雲端入侵-郵件攻擊與密碼竊取,在現場講師直接用 VM demo 受害人打開惡意的電子郵件,點了惡意的 URL 或者圖片以後,電腦就被植入後門,此時攻擊者便可為所欲為,包括鍵盤側錄、即時螢幕擷取、web cam 擷取等等。現場看到 demo 真的非常 high 阿!

以下列出一些心得:
  • 由於 GPGPU 愈來愈盛行,加上 CPU 的運算能力仍在持續提高,現在長度在 16 位以下的密碼都不夠安全,很容易被暴力破解。參考:T客邦-iPhone 密碼被公開、GPU 極速破解密碼,教你建立高強度密碼。(看來近期內要趕快研究一下怎樣用 LastPass 或者 KeePass Password Safe 之類的解決方案了,重點是要支援 SmartPhone 阿!在 SmartPhone 上面要輸入複雜密碼實在太困難了。)
  • 社交工程電子郵件攻擊非常難擋,郵件內容看來完全沒有異狀,被植入後門之後電腦也完全不覺的有任何異常,真的是無聲無息。另一點是,印象中 demo 的時候受害的 pc 都是 Win XP,如果可以的話應該盡量避免使用這款全世界最危險的 OS
  • web cam 平常關閉是沒用的,一旦被入侵,攻擊者可以直接由遠端下指令啟動 web cam,因此除了把網路線拔掉,從此只用電腦玩單機遊戲這種超激進的作法以外,最好的作法就是 web cam 沒有用的時候要用厚的黑紙貼起來,這樣才不會被偷拍,而且使用 web cam 的時候要衣著整齊。當然如果愛用 web cam 玩一些很刺激的視訊的人就只好自求多福了。家中有女性的人一定要特別注意這一點。
    2011-07-15:毛哥在 buzz 的回應提醒我,web cam 應該分為外接式和內建的兩種。外接式的web cam沒有使用就應該拔掉,內建的 web cam 沒用的時候最好要貼起來。
  • 2011-07-15:現在很多駭客會把病毒/木馬放到 Dropbox,因為 Dropbox 不會對用戶上傳的檔案進行掃毒。因此除了 email 中的 MS Office 附件 (e.g., .doc, .ppt, 圖檔) 可能很毒以外,在 Dropbox 上公開 share 出來的檔案也可能很毒。我覺得以後這些檔案最好都用 Google Docs 來打開會比較保險,畢竟每個 tab 都是跑在一個 sandbox 裡面,萬一真的開到有毒、又沒有被防毒軟體偵測到的檔案也比較不會造成系統被感染。
再來是第三個 session:導入零負擔,個資防護及訊息保全大揭密,也不錯。講師講的很流利,對個資法也蠻熟的,等到法令正式頒佈實施以後對於軟體廠商來講會產生很多商機,所有公司都應該及早全面檢視相關的議題,這種東西突然要趕工是做不完也做不好的。

以上是今年參加 Openfind Solution Day 的簡單心得,希望明年有機會再去參加 :D

Google Spreadsheet 裡用規則運算式

最近因為工作關係,遇到要用 Google Form 及 Google Sheet 所以研究了 Google Sheet 裡的一些 function 怎麼用 首先,分享一下如何在 Google Sheet 裡用規則運算 :D