6

環境変数を ssh シェルに渡すためPermitUserEnvironmentのファイルの使用に関するかなりの数の投稿を読みました。~/.ssh/environment公式のsshd ドキュメントと他のいくつかのリソースは、これを行うことのセキュリティ リスクをほのめかしています。

Enabling environment processing may enable users to bypass access restrictions in some configurations using mechanisms such as LD_PRELOAD.

をアクティベートする際に考えられるセキュリティ上の問題は何PermitUserEnvironmentですか? これらの環境変数で DB 接続の詳細を保持しようとしていましたが、これは賢明ですか?

ありがとう

4

1 に答える 1

4

これは、カスタム シェルを使用して何らかの方法でユーザーを制限する場合です。ユーザーが LD_PRELOAD を設定できる場合、標準ライブラリ呼び出しをインターセプトすることにより、リモート マシンでユーザーとしてコードを実行できます。

これの簡単な例は、シェルを動的にリンクされた /bin/false に設定して SFTP のみのユーザーのログインを無効にする場合です - ユーザーが ~/.ssh/environment または ~/.ssh/authorized_keys を変更できる場合次に、LD_PRELOAD=nefarious.so を追加できます。

于 2014-02-21T14:47:20.353 に答える