我正在ssh使用我使用的某个计算系统。我试图遵循一些涉及 的 Linux 说明sudo,并尝试了几次输入密码但未成功,然后才意识到我输入的密码不正确,因为我是在 ssh 终端中输入的。
然后我收到了一封非常指责的电子邮件,内容是我的尝试sudo对系统构成了威胁。即使我解释说这是一次意外,语气仍然持续。
我的具体问题是:未经许可多次尝试 sudo 被视为严重违反系统安全的威胁模型是什么?
注:我明白了原则为什么有这个规则。我的猜测是,您不希望人们编写自动化脚本来尝试破解密码 - 或者我想尝试输入通过社会工程获得的密码。但是对一些愚蠢的命令的一些不成功的猜测......威胁模型是什么?
答案1
首先,sudo除了将不成功的尝试记录到日志中之外,它本身不会发送任何电子邮件或创建警告消息。观察这些日志并关联事件的人(很可能使用脚本化日志观察程序)会发现,这次恰好是您的某个用户 ID 正试图在不允许他/她的情况下获得 root 访问权限。因此,自动化过程会向罪犯发送一封电子邮件。即使您认为自己可能是在回复某个人,但十有八九,您的回复都会进入邮箱,而该邮箱要么不被观察,要么很少检查。
如果你认为你已经收到了一个真实的人对你的解释的回应,在你明确这是一个错误并且你不在正确的服务器上之后,他一直在指责你,那么他要么太无聊了,正在寻找一些事情做,要么有严格的命令来吓跑人们。
sudo据我所知,除了暴力破解尝试之外,目前没有其他威胁媒介可以攻击受保护的服务器。
另外,考虑在信息安全堆栈交换部分。
答案2
我试图遵循一些涉及 sudo 的 Linux 指令
这就是威胁。如果用户不知道或不明白他或她使用 sudo 权限进入终端时可能会导致非常糟糕的事情很快发生。看来管理员并没有真正向你解释这一点试sudo 并不是真正的问题,(理论上,您可以尝试对所有内容进行 sudo,直到您脸色发青,但如果您没有 sudo 访问权限,则任何操作都不会执行任何操作)。他关心的是潜力。如果您确实拥有 sudo 权限,并且输入了在互联网上找到的恰好具有破坏性的命令,该怎么办?
答案3
我无法谈论你的具体情况;你必须询问你的系统管理员为什么他们选择对你大喊大叫。
但我可以告诉你为什么sudo要报告这些事件:因为有无正当理由让他们发生。你没有root。您应该知道您没有 root (如果不知何故没有,您可以使用 进行检查sudo -l)。您无权尝试执行系统管理员选择禁止的操作。在计算机安全中,你经常会发现“凡是不允许的事情都是被禁止的”。由于当您没有适当的权限时没有正当理由运行 sudo 命令,因此应该将其报告给人工审核。它可能表明软件配置错误、帐户受损或系统存在任何数量的其他安全或非安全问题。
答案4
我怀疑系统会将每个失败的 sudo 尝试报告给系统管理员,系统管理员将它们视为单独的操作项。对你大喊大叫可以让系统管理员将其从他/她的待办事项列表中划掉。
威胁模型不是针对系统,而是针对系统管理员。系统管理员认为有必要对这些事件做出反应,以证明他/她没有在开车时睡着了。
如果是这种情况,解决方案是获取 VirtualBox 或类似产品,并停止打扰系统管理员。