残念ながらいくつかの解決が困難な問題のせいで今やUnix/LinuxよりWindowsのほうが遥かにセキュアだからな。
被害が少ないのはただ単に狙われてないからってだけ。
1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント
http://www.openwall.com/lists/owl-users/2004/10/22/2
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.
http://www.openwall.com/lists/owl-users/2004/10/20/6
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.
suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。
Linuxセキュリティ総合スレ [無断転載禁止]©2ch.net
18login:Penguin
2016/07/28(木) 14:39:09.27ID:vgMn1AfMレスを投稿する
ニュース
- 橋本愛が所属の芸能事務所が声明発表「フジテレビ社による報道が事実との認識」中傷を警察に相談★2 [muffin★]
- 佐藤二朗「精神的に落ち込み、静養に」関係者が明かすハラスメント騒動の影響 ★6 [muffin★]
- 「乳首おじさん」は男だからいいのか「すね毛、パーカー、ハーフパンツより乳首ビンビン透け透けおじさんの方が1万倍気持ち悪い」 [七波羅探題★]
- 【牛丼】すき家30円値上げ 8日から並盛480円に [蚤の市★]
- 箕輪厚介が痛烈指摘 「サッカー日本代表、なにかを成し遂げたみたいな会見の雰囲気だな」「二大会連続で目標達成してない以上…」★3 [冬月記者★]
- 町の洋菓子店が大ピンチ 値上げしても売り上げ減 倒産過去最多 ★4 [蚤の市★]