sudoersセキュリティポリシー(たとえば、1つ以上の列挙定義を含むCmnd_Aliasファイル)を作成すると、システムのセキュリティが大幅に向上するかどうかを尋ねました。みんなディレクトリの実行可能ファイルの前にはSHA-2チェックサムが付いています/usr/bin。/usr/sbin
信頼できるソースのパッケージでシステムを更新した後、セキュリティポリシーを再作成します。
これが良いアイデアか悪いアイデアかについての洞察力はありますか?
ベストアンサー1
私には途方もない痛みのように聞こえます。私はまた、セキュリティの観点から実際には何も取得できないと思います。なぜなら(a)rootとしてのみ書くことができるので、誰かがここに書くことができれば、おそらくゲームは終わり、(b)未確認の共有ヒープをロードできるからです。図書館。
sudoersのマンページには、このオプションは、「sudoを呼び出すユーザーがコマンドまたは親ディレクトリへの書き込みアクセス権を持っている状況で役立ちます」と説明しています。誰がこの設定を良いアイデアだと思ったのかわかりません。または、sudo競争条件なしで実行する前にチェックサムはどうですか?
代わりに、ホストベースのIDS(samhain、tripwireなど)を使用することをお勧めします。これは、誰かがsudoを試しているかどうかに関係なく、システムバイナリ(共有ライブラリを含む)へのすべての変調をすばやく検出して報告しようとします。