Ho appena scoperto che il mio sysadmin ha creato una scappatoia che mi dà accesso root. Cosa dovrei fare?

3

Nella nostra azienda l'amministrazione del sistema Linux è gestita dal team di sicurezza. Il ragazzo assegnato al mio progetto è stato un grande dolore e mi è sembrato in diversi punti di discutibile competenza. (Forse è qualificato per essere un sysadmin junior, ma non un esperto di sicurezza che gestisce anche l'amministrazione del sistema Linux. Forse è bravo con altri aspetti della sicurezza o qualcosa di cui non sono a conoscenza, ma ha detto cose che mi fanno dubitare della sua competenza questo particolare ruolo.)

Blocca le cose in un modo che rende il mio lavoro molto difficile, e senza alcuna buona ragione che io possa vedere o che possa spiegarmi. (Ad esempio, non posso usare chown o chgrp sui file che possiedo, e lui sostiene che darmi quell'abilità sarebbe un buco di sicurezza.) Se mi fossi fidato della sua competenza generale, più assumerei che capisse semplicemente le cose che ho non capisco.

Una cosa che è una spina nel mio lato è che devo usare sudo prima di drush (uno script usato per l'accesso da riga di comando ai server Drupal) e questo interrompe la capacità di drush di comunicare con altri server, dal momento che è non funziona sotto le mie credenziali e quindi l'uso delle chiavi SSH è rovinato.

Mi è venuto in mente, però, dal momento che

  1. drush può eseguire alias di comandi arbitrari
  2. drush è in esecuzione con i privilegi di root

Ora posso eseguire un codice arbitrario su quella casella. Ho provato con un alias su whoami e ha restituito root , quindi sembra che ora abbia effettivamente la possibilità di ottenere i privilegi di root.

Che cosa dovrei fare?

Sebbene (in effetti) mi abbia dato l'accesso come root, penso che usarlo sarebbe una pessima idea. (Anche se è davvero allettante: potrei essere in grado di fare un po 'di lavoro adesso!)

È mia responsabilità fare di più che segnalare questo problema? E a chi ???

Sono responsabile di segnalare (quello che penso possa essere) il problema dietro del problema? In altre parole, la sua mancanza di idoneità per questo particolare ruolo? Anche se mi piacerebbe davvero non averlo sul mio progetto, non voglio che gli costi il suo lavoro.

O c'è qualcos'altro che dovrei fare a cui non sto nemmeno pensando?

UPDATE : avrei dovuto dire che questo sysadmin è in vacanza oggi, quindi non posso segnalarlo a lui fino a lunedì al più presto. Non so se questo cambia qualcosa, o suggerisce la necessità di riferire a qualcuno oggi?

    
posta iconoclast 05.10.2012 - 20:21
fonte

2 risposte

7

Sebbene dipenda dalla politica locale della tua organizzazione, la configurazione abituale è che dovrebbe segnalare il problema; in realtà, rendilo obbligatorio poiché la tua chiamata sudo con whoami è stata registrata (sudo conserva i registri per impostazione predefinita) e ciò dimostra che eri a conoscenza del problema. Hai varcato la soglia, ora devi andare alla fine.

Se consideri che il buco sia un errore sincero, allora dovresti segnalarlo al sysadmin stesso. D'altra parte, se hai ragioni razionali per credere che il sysadmin abbia piazzato un buco intenzionalmente , dovresti segnalare il problema al suo manager.

In ogni caso, il sysadmin ti odierà per questo.

    
risposta data 05.10.2012 - 20:31
fonte
3

È un buco di sicurezza. Segnalalo al primo membro del team di sicurezza disponibile. Se è in vacanza, spediscilo via e inoltralo al suo supervisore o copialo. "Mi dispiace disturbarla in una giornata di vacanza ma" ..... potrebbe essere un buon inizio. Buona fortuna.

    
risposta data 06.10.2012 - 00:21
fonte

Leggi altre domande sui tag