我们有多个用户帐户,每个帐户都分配有 /bin/bash shell。另一个应用程序“su”到这些帐户,用于控制其服务状态和监控目的。但是这些用户的密码尚未设置。我该怎么做才能保护这些用户的安全。
参考文档 https://unix.stackexchange.com/questions/113754/allow-user1-to-su-user2-without-password
如果可以使用 pam 模块登录用户帐户,那么这不是一个潜在的漏洞窗口吗?即无需 sudo 和密码。对此可以做些什么?
答案1
只要您有一个不需要身份验证的安全边界,就有可能被利用。在实践中,这是否会变成一种利用又是另外一个问题,但在这种情况下,如果您降低权限,应该没什么问题。
您链接的问题的所选答案中给出的解释并不比任何其他选项更不安全,实际上甚至不需要您使用任何其他方式来验证相关用户的身份。对于仅限本地的东西,这可能是我自己会做的事情,尽管我会使用 sudo 而不是 su(su 本质上是不安全的,因为它的设计方式)。
或者,您也可以使用 SSH 和公钥身份验证来实现相同的目的,只需为进行监控的帐户创建一个密钥对,并要求您的其他帐户拥有该帐户的公钥~/.ssh/authorized_keys。但是,如果其他帐户由实际人员使用,这可能不是最好的主意,因为它很容易被破解,并且会让任何有安全意识的人感到紧张。