Вход в систему без паролей
У нас есть несколько учетных записей пользователей с назначенной им оболочкой / bin / bash. Еще одно приложение «su» для этих учетных записей для управления статусами их служб и целей мониторинга. Однако пароли для этих пользователей не установлены. Что мне делать, чтобы обезопасить этих пользователей.
Ссылка doc Еще одно приложение "su" для этих учетных записей для управления их статусами обслуживания и целей мониторинга. Однако пароли для этих пользователей не установлены. Что мне делать, чтобы обезопасить этих пользователей.
Ссылка doc Еще одно приложение «su» для этих учетных записей для управления статусами их служб и целей мониторинга. Однако пароли для этих пользователей не установлены. Что мне делать, чтобы обезопасить этих пользователей.
Ссылка doc https://unix.stackexchange.com/questions/113754/allow-user1-to-su-user2-without-password
не будет ли это окно потенциального эксплойта, если учетная запись пользователя может войти в систему с помощью pam модули. т.е. без sudo и без паролей. Что с этим можно сделать?
Каждый раз, когда у вас есть граница безопасности, которая не требует аутентификации, у вас есть потенциальная уязвимость. Можно ли превратить это в эксплойт на практике - это другая проблема, но в этом случае, если вы понижаете привилегии, все будет в порядке.
В выбранном ответе на вопрос, на который вы указали ссылку, объяснение нет. менее безопасен, чем любой другой вариант, и на самом деле даже не требует наличия каких-либо других средств для аутентификации в качестве соответствующих пользователей. Для чего-то, что является только локальным, это, вероятно, то, что я сделал бы сам, хотя я бы сделал это с sudo вместо su (su изначально небезопасен из-за того, как он разработан).
В качестве альтернативы вы также можете добиться того же, используя SSH и аутентификацию с открытым ключом, вы просто создаете пару ключей для учетной записи, которая выполняет мониторинг,и потребуйте, чтобы у других ваших учетных записей был открытый ключ для этой учетной записи в ~ / .ssh / authorized_keys . Однако, если другие учетные записи используются реальными людьми, это, вероятно, не лучшая идея, потому что они могут взломать и заставят нервничать любого, кто разумно настроен на безопасность.