Как пользователь может подключить зашифрованный контейнер файлов в VeraCrypt?
У меня есть несколько внешних носителей с зашифрованными файловыми контейнерами VeraCrypt, и я хотел бы, чтобы пользователи смонтировали и использовали их, не предоставляя пользователям права root.
Однако на данный момент VeraCrypt всегда запрашивает пароль пользователя / администратора, который, по-видимому, работает с sudo-ing:
Как может пользователь, который не находится в sudoers файл монтирует файл .hc?
5 ответов
Я сделал это. Решение адаптировано здесь: https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user и из моего другого вопроса относительно современной конфигурации sudoers: добавление локального содержимого в /etc/sudoers.d/ вместо прямого изменения файла sodoers через visudo
Создайте новую группу с именем say veracryptusers и дайте ей необходимые разрешения для использования VeraCrypt без пароля root. Любой пользователь, принадлежащий этой группе, сможет использовать VeraCrypt.Примечание: этот https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user увеличивает поверхность атаки для повышения прав пользователя, поэтому обязательно добавляйте только доверенных пользователей к этой группе.
# groupadd veracryptusers
Также убедитесь, что veracrypt и /usr/bin имеют соответствующие разрешения и НЕ записываются группами а также другие:
$ ls -al /usr/bin/vera* -rwxr-xr-x 1 root root 6341016 paź 17 2016 /usr/bin/veracrypt $ ls -ald /usr/bin drwxr-xr-x 2 root root 69632 lip 25 10:09 /usr/binВ противном случае злоумышленник может заменить исполняемый файл и получить полный корень прямо по его желанию.
Теперь перезагрузите (или переустановите), чтобы переоценить членство в группах, а voilà - вы можете монтировать и отключать свои любимые тома.
Кто сейчас гуру, он?
-
1Связано: security.stackexchange.com/questions/178610/… – Tom K. 7 February 2018 в 18:46
-
2Том, спасибо за ценный вклад – Pawel Debski 8 February 2018 в 21:30
-
3Этот ответ неверен и приведет к тривиальной эскалации привилегий. Как я ответил в ссылке @TomK. при условии, что это решение не обеспечивает защиты и предоставит кому-либо доступ к полноправному доступу к группе veracryptusers. Не делай это. – forest 17 February 2018 в 08:47
Я сделал это. Решение адаптировано здесь: https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user и из моего другого вопроса относительно современной конфигурации sudoers: добавление локального содержимого в /etc/sudoers.d/ вместо прямого изменения файла sodoers через visudo
Создайте новую группу с именем say veracryptusers и дайте ей необходимые разрешения для использования VeraCrypt без пароля root. Любой пользователь, принадлежащий этой группе, сможет использовать VeraCrypt.Примечание: этот https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user увеличивает поверхность атаки для повышения прав пользователя, поэтому обязательно добавляйте только доверенных пользователей к этой группе.
# groupadd veracryptusers
Создайте новую группу с именем say veracryptusers и дайте ей необходимые разрешения для использования VeraCrypt без пароля root. Любой пользователь, принадлежащий к этой группе, сможет использовать VeraCrypt.
$ sudo visudo -f /etc/sudoers.d/veracrypt
GNU nano 2.5.3 File: /etc/sudoers.d/veracrypt.tmp
# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt
Также убедитесь, что veracrypt и /usr/bin имеют соответствующие разрешения и НЕ записываются группами а также другие:
$ ls -al /usr/bin/vera* -rwxr-xr-x 1 root root 6341016 paź 17 2016 /usr/bin/veracrypt $ ls -ald /usr/bin drwxr-xr-x 2 root root 69632 lip 25 10:09 /usr/binВ противном случае злоумышленник может заменить исполняемый файл и получить полный корень прямо по его желанию.
Теперь перезагрузите (или переустановите), чтобы переоценить членство в группах, а voilà - вы можете монтировать и отключать свои любимые тома.
Кто сейчас гуру, он?
Я сделал это. Решение адаптировано здесь: https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user и из моего другого вопроса относительно современной конфигурации sudoers: добавление локального содержимого в /etc/sudoers.d/ вместо прямого изменения файла sodoers через visudo
Создайте новую группу с именем say veracryptusers и дайте ей необходимые разрешения для использования VeraCrypt без пароля root. Любой пользователь, принадлежащий этой группе, сможет использовать VeraCrypt.Примечание: этот https://wiki.archlinux.org/index.php/TrueCrypt#Mount_volumes_as_a_normal_user увеличивает поверхность атаки для повышения прав пользователя, поэтому обязательно добавляйте только доверенных пользователей к этой группе.
# groupadd veracryptusers
Создайте новую группу с именем say veracryptusers и дайте ей необходимые разрешения для использования VeraCrypt без пароля root. Любой пользователь, принадлежащий к этой группе, сможет использовать VeraCrypt.
$ sudo visudo -f /etc/sudoers.d/veracrypt
GNU nano 2.5.3 File: /etc/sudoers.d/veracrypt.tmp
# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt
Также убедитесь, что veracrypt и /usr/bin имеют соответствующие разрешения и НЕ записываются группами а также другие:
$ ls -al /usr/bin/vera* -rwxr-xr-x 1 root root 6341016 paź 17 2016 /usr/bin/veracrypt $ ls -ald /usr/bin drwxr-xr-x 2 root root 69632 lip 25 10:09 /usr/binВ противном случае злоумышленник может заменить исполняемый файл и получить полный корень прямо по его желанию.
Теперь перезагрузите (или переустановите), чтобы переоценить членство в группах, а voilà - вы можете монтировать и отключать свои любимые тома.
Кто сейчас гуру, он?
Предупреждение: используйте только решение @Pawel Debski, если согласитесь:
Любой пользователь или хакер, получающий доступ к учетной записи пользователя в группе veracryptusers, может запускать любые команды с правами root, загружая подготовленный файл контейнера, содержащий вредоносный код работает от имени root.Поэтому, используя это решение, вы можете использовать специальный профиль пользователя для veracrypt. В результате sodo проще в использовании.
Шаги для проверки проблемы безопасности:
Создать файл контейнера (ext2-4) Скопировать или создать двоичный файл (например, whoami) Изменить владельца двоичного файла на root. Добавить setuid в двоичный. Вызвать двоичный код с учетной записью без root.. Бинарный файл будет запускаться с привилегиями root.
Подсказка: я добавил это решение как предупреждение в Pawel Debski незаметно. Риск намного больше, чем польза, если система имеет подключение к Интернету.
Предупреждение: используйте только решение @Pawel Debski, если согласитесь:
Любой пользователь или хакер, получающий доступ к учетной записи пользователя в группе veracryptusers, может запускать любые команды с правами root, загружая подготовленный файл контейнера, содержащий вредоносный код работает от имени root.Поэтому, используя это решение, вы можете использовать специальный профиль пользователя для veracrypt. В результате sodo проще в использовании.
Шаги для проверки проблемы безопасности:
Создание файла контейнера (ext2-4) Копирование или создание двоичного файла (например, whoami) Изменить владельца двоичного файла на root. Добавить setuid в двоичный код. Вызовите двоичный файл с учетной записью без пользователя root. Бинарный файл будет работать с привилегиями root.
Подсказка: я добавил это решение как предупреждение в Pawel Debski незаметно. Риск намного больше, чем польза, если система имеет подключение к Интернету.
-
1