Все самое интересное из мира кибербезопасности /** с моими комментариями
1) Министерство юстиции предлагает расширить уголовную ответственность за DDoS-атаки заявилЧитать полностью »
Рубрика «sudo»
Новости кибербезопасности за неделю с 19 по 25 мая 2025
2025-05-25 в 9:31, admin, рубрики: ddos, sudo, WSL, информационная безопасность, НовостиКратко
suexиsushявляются упрощёнными альтернативамиsuиsudo.Эти инструменты облегчают выполнение команд с различными привилегиями без сложных настроек.
Установка требует создания группы
suexс минимальной конфигурацией.Более подробная информация доступна в репозитории suex на GitHub: https://github.com/mobydeck/suex
В мире Linux инструменты, такие как su и sudoЧитать полностью »
Дайджест новостей из мира программирования #2
2023-04-30 в 20:35, admin, рубрики: arduino, flipper, flipper zero, jetbrains, kotlin, Rust, sudo, дайджест, Программирование, разработкаНачались майские праздники, но это не значит, что дайджест новостей из мира программирования ушёл на второй план. В этой подборке пройдёмся по важным новостям IT-мира за прошедшую неделю: разработчики Arduino выпустили обновление Arduino IDE 2.1, команда Flipper Zero добавила режим сна для своего устройства, а проект Prossimo начал переписывать sudo и su на Rust.
Читать полностью »
Некоторые аспекты управления VDS-сервером под Linux
2020-09-02 в 8:00, admin, рубрики: Debian, df, find, linux, netcat, nginx, sudo, supervisord, vds, Блог компании VDSina.ru — хостинг серверов, Настройка Linux, Серверное администрирование, хостингVDS (Virtual Dedicated Server) — услуга, в рамках которой пользователь получает виртуальный выделенный сервер с максимальными привилегиями. Это эмуляция реального физического сервера, у него есть рутовый доступ, возможность установки произвольных операционных систем и любого софта. При этом он обходится значительно дешевле аренды сопоставимого по мощности физического сервера.
На сервер можно поставить ОС со своего образа или воспользоваться готовым образом в панели управления.
Предположим, мы поставили Debian 10 и веб-сервер Nginx, который идёт в стандартном репозитории (apt install nginx). Давайте посмотрим, какие полезные утилиты и команды помогут в управлении сервером под Linux. Рассмотрим и отдельно Nginx, и сам VDS-сервер в целом.
Читать полностью »
На сцене вновь лауреаты международных конкурсов SSH и sudo. Под рукодством заслуженного дирижера Active Directory
2019-04-30 в 16:07, admin, рубрики: active directory, bash, linux, powershell, security, ssh, sudo, windows server 2012 r2, Настройка Linux, Серверное администрирование, системное администрированиеИсторически сложилось, что sudo права регулировались содержимым файлов из /etc/sudoers.d и visudo, а авторизация по ключам велась с использованием ~/.ssh/authorized_keys. Однако с ростом инфраструктуры возникает желание управлять этими правами централизованно. На сегодняшний день вариантов решения может быть несколько:
- Система управления конфигурацией — Chef, Puppet, Ansible, Salt
- Active Directory + sssd
- Разнообразные извращения в виде скриптов и ручного редактирования файлов
На мой субъективный взгляд, оптимальным вариантом централизованного управления является все-таки связка Active Directory + sssd. Преимущества данного подхода вот в чем:
- Действительно Единый централизованный каталог пользователей.
- Раздача прав sudo сводится к добавлению пользователя в определенную группу безопасности.
- В случае различных Linux-систем возникает необходимость вводить дополнительные проверки на определение ОС при использовании систем конфигурации.
Сегодняшняя сюита будет посвящена именно связке Active Directory + sssd для управления правами sudo и хранением ssh ключей в едином репозитории.
Итак, зал застыл в напряженном молчании, дирижер поднял палочку, оркестр приготовился.
Поехали.
Читать полностью »
Непривилегированные пользователи Linux с UID> INT_MAX могут выполнить любую команду
2018-12-10 в 22:57, admin, рубрики: linux, root, sudo, безопасность, взлом, информационная безопасность, Настройка Linux, привелегииПрисядьте, у меня есть новость, которая вас сейчас шокирует…
В операционных системах Linux есть неприкрытая уязвимость, позволяющая пользователю с низкими привилегиями санкционировано выполнить любую команду systemctl (и даже стать root — прим. переводчика), если его UID больше 2147483647.
Ansible не так прост
2018-04-02 в 9:46, admin, рубрики: Ansible, devops, sudo, vagrant, грабли, каску на стройке нашёл, Серверное администрирование, системное администрированиеУ меня есть три сервера, но я не профессиональный сисадмин. Это означает, что несмотря на четыре базы данных и стопяцот приложений, бэкапы нигде не ведутся, к любой проблеме на сервере я подхожу, шумно вздохнув и бросив тарелку в стену, а операционные системы там достигли EOL два года назад. Я бы рад обновить, но на это нужно выделить, наверное, неделю, чтобы всё забэкапить и переставить. Проще забыть про yum update и apt-get upgrade.
Конечно, это неправильно. Я давно присматривался к chef и Puppet, которые, как я думал, решат все мои проблемы. Но я смотрел на конфиги знакомых проектов и откладывал. Это же нужно изучать, разбираться с ruby, бороться с многочисленными, по отзывам, косяками и ограничениями. Две недели назад статья Георгия amarao стала животворящим пинком. Даже не сама статья, а перечисление систем управления конфигурацией. После чтения комментариев и лёгкого гугления решил: возьму Ansible. Потому что питон, и на проблемы никто не жалуется.
Что ж, тогда я первым буду.
Читать полностью »
Так ли безопасно использование абсолютного пути в *nix системах, как мы привыкли считать?
2017-02-21 в 14:04, admin, рубрики: pentest, privilege escalation, sudo, Блог компании BI.ZONE, информационная безопасность, повышение прав, Разработка под Linux
Идея редактирования переменных окружения пользователя для повышения прав при тестировании на проникновение стара как мир. По этой теме написано множество статей, и даже в книгах начали появляться советы по использованию абсолютного пути вместо относительного. Вот пример такого совета из довольно известной книги Unix и Linux. Руководство системного администратора (4 издание):
…
Рекомендуем взять за правило при вводе команды указывать полное имя, например /bin/su или /usr/bin/su, а не просто su. Это послужит определенной защитой от тех программ с именем su, которые преднамеренно были прописаны в переменной среды path злоумышленником, намеревавшимся собрать хороший “урожай” паролей.
…Но так ли это безопасно? Если вы тоже задавались этим вопросом, то добро пожаловать под кат.
Не доверяйте SUDO, она может вас подвести
2017-02-19 в 19:16, admin, рубрики: awk, Git, linux, man, pico, privilege escalation, python, rbash, root-me, rvim, scp, script, ssh, sudo, tar, zip, информационная безопасность, метки: root-me
Всем доброго времени суток, в этой статье постараюсь описать некоторые способы обхода ограничений на исполнение команд в ОС Linux, советы по использованию которых можно часто встретить на различных форумах. Демонстрация будет проведена на примере задания Restricted shells с сайта Root-Me. И так, начнём.Читать полностью »
Первые 10 минут на сервере
2016-06-17 в 6:45, admin, рубрики: 2fa, deploy, fail2ban, linux, root, ssh, sudo, Ubuntu, безопасность, Блог компании Rootwelt, букварь, двухфакторная аутентификация, информационная безопасность, Настройка Linux, привилегии, принцип минимальный привилегий, сервер, Серверное администрирование, системное администрирование, метки: принцип минимальный привилегийАзбука безопасности Ubuntu
«Мои первые 5 минут на сервере» Брайана Кеннеди — отличное введение, как быстро обезопасить сервер от большинства атак. У нас есть несколько исправлений для этой инструкции, чтобы дополнить ею наше полное руководство. Также хочется подробнее объяснить некоторые вещи для более юных инженеров.
Каждое утро я проверяю почтовые уведомления logwatch и получаю основательное удовольствие, наблюдая несколько сотен (иногда тысяч) безуспешных попыток получить доступ. (Многие довольно прозаичны — попытки авторизоваться как root с паролем 1234 снова и снова). Приведённая здесь общая методика подходит для серверов Debian/Ubuntu, которые лично мы предпочитаем всем остальным. Они обычно служат только хостами для контейнеров Docker, но принципы те же.
На больших масштабах лучше использовать полностью автоматические установки с инструментами вроде Ansible или Shipyard, но иногда вы просто поднимаете единственный сервер или подбираете задачи для Ansible — для таких ситуаций предназначена инструкция.
Примечание: Эта справка создана как базовая азбука. Её следует расширить и дополнить в соответствие с вашими потребностями.
Читать полностью »