У меня установлен VeraCrypt на сервере, и я хочу подумать о том, чтобы сделать его доступным для пользователей на сервере для создания зашифрованных файлов в их домашних каталогах. О каких уязвимостях в безопасности стоит подумать?
Например, для запуска VeraCrypt требуются права суперпользователя даже для создания локального файла, и я не хочу, чтобы пользователи могли ввертывать том системы сервера. Я также не хочу рисков повышений привилегий как упомянутые здесь .
Корневые разрешения для VeraCrypt можно сделать доступными для пользователей, добавив в /etc/sudoers.tmp
следующее:
%veracrypt ALL=(root) NOPASSWD:/usr/bin/veracrypt
Могут ли пользователи использовать VeraCrypt без этих рисков повышения привилегий и без возможности изменить компьютер в любом случае? места, кроме их домашних каталогов?
Краткий ответ: Нет
Более подробный ответ: это зависит от того, насколько вы доверяете своим пользователям и действуют ли они с добрыми намерениями.
Разрешение обычным пользователям монтировать тома VeraCrypt открывает множество векторов атак, таких как монтирование злонамеренно созданных томов.
Например, внимательно просмотрите следующий ответ и комментарии:
Если вы доверяете своим пользователям, вы можете разрешить им монтировать тома_
Как пользователь может смонтировать зашифрованный файловый контейнер в VeraCrypt?
, но, пожалуйста, просмотрите комментарии.