残念ながらいくつかの解決が困難な問題のせいで今やUnix/LinuxよりWindowsのほうが遥かにセキュアだからな。
被害が少ないのはただ単に狙われてないからってだけ。
1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント
http://www.openwall.com/lists/owl-users/2004/10/22/2
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.
http://www.openwall.com/lists/owl-users/2004/10/20/6
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.
suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。
Linuxセキュリティ総合スレ [無断転載禁止]©2ch.net
18login:Penguin
2016/07/28(木) 14:39:09.27ID:vgMn1AfMレスを投稿する
ニュース
- 佐藤二朗「精神的に落ち込み、静養に」関係者が明かすハラスメント騒動の影響 ★4 [muffin★]
- 佐藤二朗「精神的に落ち込み、静養に」関係者が明かすハラスメント騒動の影響 ★5 [muffin★]
- 「乳首おじさん」は男だからいいのか「すね毛、パーカー、ハーフパンツより乳首ビンビン透け透けおじさんの方が1万倍気持ち悪い」 [七波羅探題★]
- 佐藤二朗 ハラスメント報道にコメント「大変残念。全ての事実が明らかになることを望みます」所属事務所「到底受け入れられない」★41 [Ailuropoda melanoleuca★]
- 【サッカー】塩貝健人のインスタがブラジル国旗まみれ!賀来賢人には注意喚起、桃田賢斗にまで飛び火の“ケントパンデミック” [ゴアマガラ★]
- 【朝日社説】皇室典範改正 強行すれば禍根を残す ★3 [蚤の市★]
- やばい。もうすぐ安倍晋三の命日なのに全然準備してない。どうしよう [163661708]
- 【高市悲報】税収1年で12%も増加してしまう!84.2兆円に達した!との事。財政赤字解消も絵空事では無くなる [219241683]
- 高市がまんえんの笑みでインドと義兄妹の盃を交わしたんだが、君たちは「インド兄さん」と呼べるの?私は嫌だね [358195575]
- 【悲報】佐藤二朗さん(60)、潔白を訴えていたのに無期限静養WMWMWMWMWMWMWMW [517459952]
- ヤニねこのお🏡👊🐱👊
- 【悲報】「橋本愛、まじでどゆこと?」1500万バズwwwwwwwwwwwwwwwwwwwwww [398059782]