web-dev-qa-db-ja.com

私のsysadminがrootアクセスを許可する抜け穴を作成したことを発見しました。私は何をすべきか?

当社では、Linuxシステムの管理はセキュリティチームが担当しています。私のプロジェクトに割り当てられた男は非常に大きな苦痛であり、いくつかの点で私には疑わしい能力があるように見えました。 (おそらく彼はジュニアシステム管理者になる資格がありますが、Linuxシステム管理も扱うセキュリティの専門家ではありません。おそらく彼はセキュリティの他の側面や私が知らないことには長けていますが、彼の能力に疑問を投げかけるようなことを言っていますこの特定の役割。)

彼は私の仕事を非常に困難にする方法で物事を封鎖し、私が見ることができる、または彼が私に説明することができる正当な理由はありません。 (たとえば、私が所有するファイルでchownまたはchgrpを使用することはできません。彼は、その能力を与えることはセキュリティホールになると主張しています。)彼の一般的な能力をもっと信頼した場合、私は推測します。彼は私が理解していないことを単に理解しているということです。

私の側のとげがあることの1つは、Sudo(Drupalサーバー)へのコマンドラインアクセスに使用されるスクリプト)の前にdrushを使用する必要があることです。これは、drushが他のサーバーと通信する機能を壊します。これは、drushが私の資格情報で実行されていないため、sshキーの使用が台無しになっているためです。

それ以来、私はそれを思いついた

  1. drushは任意のコマンドエイリアスを実行できます
  2. drushはroot権限で実行されています

これで、そのボックスで任意のコードを実行できます。 whoamiのエイリアスでテストしたところ、rootが返されました。そのため、実際にはroot権限を取得できるようになりました。

私は何をすべきか?

(事実上)彼はgave私にrootアクセスを与えましたが、実際にはそれを使用するは本当に悪い考えだと思います。 (それは本当に魅力的ですが:私は実際に今いくつかの仕事を成し遂げることができるかもしれません!)

この問題を報告する以上のことをするのは私の責任ですか?そして誰に?

私は問題を報告する責任がありますか(私が思うに)背後問題ですか?言い換えれば、この特定の役割に対する彼の適性の欠如?私は本当に彼を私のプロジェクトに参加させたくないのですが、私は彼に彼の仕事を犠牲にしたくありません。

それとも、私が考えもしないことを他にやるべきことはありますか?

[〜#〜] update [〜#〜]:このシステム管理者は今日休暇中であるため、月曜日まで報告できません。最古の。これが何かを変えるのか、それとも今日誰かに報告する必要があるのか​​わかりません。

3
iconoclast

組織のローカルポリシーによって異なりますが、通常の設定では、問題を報告する必要があります。実際には、Sudoでのwhoami呼び出しがログに記録されたため(Sudoはデフォルトでログを保持します)、mustにします。これは、問題を認識していたことを証明します。あなたはしきい値を超えました、今あなたはそれの終わりに行かなければなりません。

穴が正直な間違いであると考える場合は、システム管理者自身に報告する必要があります。一方、システム管理者が意図的に穴をあけたと信じる合理的な理由がある場合は、その問題をマネージャーに報告する必要があります。

いずれにせよ、システム管理者はあなたを嫌うでしょう。

7
Thomas Pornin

それはセキュリティホールです。利用可能な最初のセキュリティチームメンバーに報告してください。彼が休暇中の場合は、彼にメールを送り、そのメールを上司に転送するか、コピーしてください。「休暇中にご迷惑をおかけして申し訳ありませんが」.....良いスタートかもしれません。幸運を。

3
Mix