web-dev-qa-db-ja.com

ユーザーのパスワードとパスフレーズをrootから保護するにはどうすればよいですか?

Sudo権限を持っているが、管理者は当然リモートルートアクセスも持っているコンピューターで「自分の」Webサービスとアカウントに安全にアクセスするにはどうすればよいですか?

詳細

(大規模な)閉鎖/制限付きLANに接続されているdekstopを使用しています。システムへのログインでさえ、LANに接続されている場合にのみ成功します。

もちろん、管理者はリモートルートアクセス権を持っています(パスワードなしのsshキーベースの認証を変更して選択することをお勧めします)。同様に、私のユーザーIDはsudoersグループに割り当てられています。つまり、/etc/sudoersファイルには次のものがあります。

userid ALL=(ALL) NOPASSWD: ALL

ウェブメールクライアントとFirefoxアカウントにアクセスするためにパスワードを使用することを躊躇しています。もっと。

質問

  • 外部のWebサービスにアクセスするためのパスワードを、私以外の人から確実に保護するにはどうすればよいですか?

  • たとえば、私にはSudo権限があるので、キーロガーが実行されていないことを確認するにはどうすればよいですか?

  • SSHキーのさまざまなサービスに基づいてパスワードなしでアクセスします。パスフレーズがログに記録されないようにするにはどうすればよいですか?

  • このようなユースケースでは、2FAは外部サービスに安全にアクセスできますか?

  • 「他の人がrootとしてリモートでアクセスできるLinuxベースのコンピューターを使用した安全な方法」のコレクションはありますか?

5

できません。

Rootユーザーは、マシンへのフルアクセス権を持っています。これには、キーロガーの実行、ファイルの読み取り、実行するプログラムがユーザーインターフェイスに表示せずに何かを実行する可能性が含まれます...これが可能性が高いかどうか発生するかどうかは環境によって異なるため、そのことはお伝えできません。 2FAでさえ、セッションハイジャックの可能性があるため、安全ではありません。

一般に、マシンが安全でないと思われる場合は、そのマシンを使用してサービスにアクセスしないでください。

26
dr_

受け入れられた答えは技術的に正しく、今日使用されているUnix/Linuxマシンの通常の作物の約99%でおそらく大丈夫だと思います。それでも、もう少し差別化されたビューで問題に取り組み、実際の質問に的を絞ることができます(これは、正確には「自分のマシンですべてをルートできる」ではなく、「どうすれば自分自身を保護できるか」です)。

@ ceph3usリンク https://security.stackexchange.com/questions/7801/keeping-secrets-from-root-on-linux コメント内。その質問とその回答は、今日利用可能なrootから物事を秘密にする可能性について語っています。あなたが本当に妄想的で、おそらくマシンを再インストールする必要がある場合は、そのようなもののいくつかを試すことができます。つまり、設定が非常に制限されたSELinuxです。

SELinuxには、あなたのシナリオでは大きな欠点があります。リモート管理者はリモート管理者です。なぜなら、彼らはあなたのマシンを管理することになっているからです。つまり、彼らはneed絶対にすべてを完全に制御し、最初から安全にすることを含め、基本的にはマシンで何でもする必要があります。技術的な問題ではなく、組織的な問題です。 SELinuxをインストールした場合でも、ジョブを実行するにはフルアクセス権が必要です。

rootの質問を超越するために、次のように問題を言い換えましょう。リモート管理者が行う必要のあるすべてのことを実行するのに十分な権限を持つリモート管理者(システムのセキュリティ面の構成と強化まで)システムのセキュリティ面の外にあります。定義により。技術的な手段でこれを変えることはできません。

したがって、実際には、私があなたに見ている唯一の角度はこれです:最初から、あなた自身のインストールでマシンを再インストールしてください。今、私を聞いてください。 2つのシナリオがあり、どちらも私はさまざまな会社で経験しました。ある種類の会社は、ほとんどの人(主に非Unixの人)はあまり気にしないが、some人がいることを認めています自分のマシンを処理することができ、信頼できます。あなたがそれらの人の一人であるならば、あなたはあなたの自由のために彼らの潜在的なサービスを交換します。彼らは通常、あなたがそれを引き継いだ後、あなたのマシンに関するどんな助けも拒否します。それはまさにあなたが望むものです。

そうすれば、好きなだけ強化することができ、以前の管理者は、他のスクリプトキディと比較して、マシンをハッキングする可能性が特に高くなることはありません。

この種の企業は、内部LAN自体が特に安全な場所ではないことを理解しています。つまり、LAN上のすべてのマシンを(おそらく会社の管理者チームによって強化されていても)攻撃者の可能性があるものとして処理します。このシナリオでは、彼らはあなたがあなた自身のものをインストールすることについてあまり気にしないかもしれません。

他のシナリオは、あなたの会社が単にそれを禁止しているというものです。次に、なぜそうなるのかを調べる時が来ました。彼らはあなたがあなたのマシンを台無しにしてから彼らに助けを求めるかもしれないことを恐れていますか?それは彼らにとって難しいでしょう?あなたがあなた自身を扱うことを彼らに保証してください。ライセンスの問題はありますか? Linuxでは?そうは思わないでください。彼らはあなたが悪意のあるコードを実行したり、インターネットから何かをインストールしたりできることを恐れていますか?あなたはすでにそれを行うことができます、あなたはすでにルートを持っています。彼らはあなたが彼らのキーロガー/スクリーンロガーがそれを見ることなく悪意のあることをするためにあなたがマシンをすることができると思いますか?次に、おそらくNSAで作業し、彼らは自分の男を監視します(冗談ですが、NSA内部;)についてはわかりません)。

あなたは私がどこに行くのか分かります、私は願っています。あなたが彼らのインストールを使用している(あなた自身が完全なルートアクセス権を持っている)とあなたがあなた自身のインストールを使用して彼らがアクセスできないよりも安全であると仮定する実際的な理由はありません。

彼らを説得するか、彼らが説得されない理由を見つけてください。多分それはあなたに何かを教えてくれるはずです。

1
AnoE