Acabo de descubrir que mi administrador de sistemas creó una brecha que me da acceso a la raíz. ¿Qué tengo que hacer?

Navega tus respuestas
3

En nuestra empresa, la administración del sistema Linux está a cargo del equipo de seguridad. El tipo asignado a mi proyecto ha sido un gran dolor, y me ha parecido en varios puntos que es de una competencia cuestionable. (Tal vez esté calificado para ser un administrador de sistemas junior, pero no un experto en seguridad que también se encargue de la administración del sistema Linux. Tal vez sea bueno en otros aspectos de seguridad o algo de lo que no estoy al tanto, pero dice cosas que me hacen cuestionar su competencia en este rol en particular.)

Bloquea las cosas de una manera que dificulta mucho mi trabajo, y sin ninguna buena razón que pueda ver o que me pueda explicar. (Por ejemplo, no puedo usar chown o chgrp en los archivos que poseo, y él dice que darme esa habilidad sería un agujero de seguridad). Si confiara más en su competencia general, asumiría que simplemente entiende las cosas que no entiendo.

Una cosa que es una espina en mi lado es que tengo que usar sudo antes de drush (una secuencia de comandos utilizada para el acceso de la línea de comandos a los servidores Drupal) y esto rompe la capacidad de Drush para comunicarse con otros servidores, ya que no se ejecuta bajo mis credenciales y, por lo tanto, el uso de las claves ssh está mal.

Se me ocurrió, sin embargo, que desde

  1. drush puede ejecutar alias de comandos arbitrarios
  2. drush se está ejecutando con privilegios de root

Ahora puedo ejecutar código arbitrario en ese cuadro. Probé con un alias a whoami y me devolvió root , por lo que parece que, de hecho, ahora tengo la capacidad de obtener privilegios de root.

¿Qué debo hacer?

Aunque (en efecto) él me dio acceso a la raíz, creo que realmente usarlo sería una muy mala idea. (Aunque es realmente tentador: ¡podría ser capaz de terminar un trabajo ahora!)

¿Es mi responsabilidad hacer más que informar este problema? Y a quien ???

¿Soy responsable de informar (lo que creo que puede ser) el problema detrás del problema? En otras palabras, su falta de idoneidad para este papel en particular? Aunque realmente me gustaría no tenerlo en mi proyecto, no quiero costarle su trabajo.

¿O hay algo más que deba hacer y ni siquiera estoy pensando?

UPDATE : Debería haber mencionado que este administrador de sistemas está de vacaciones hoy, por lo que no puedo reportarlo hasta el lunes como muy pronto. No sé si esto cambia algo, o sugiere una necesidad de informar a alguien hoy?

    
pregunta iconoclast 05.10.2012 - 20:21
fuente

2 respuestas

7

Aunque depende de la política local de su organización, la configuración habitual es que debería informar del problema; en realidad, conviértalo en un must ya que se registró su llamada sudo con whoami (sudo mantiene los registros de manera predeterminada) y esto demuestra que estaba al tanto del problema. Has cruzado el umbral, ahora debes ir hasta el final.

Si considera que el agujero es un error honesto, debe informarlo al administrador del sistema. Por otro lado, si tiene razones racionales para creer que el administrador del sistema ha plantado un agujero intencionalmente , debe informar el problema a su gerente.

De cualquier manera, el administrador de sistemas te odiará por eso.

    
respondido por el Thomas Pornin 05.10.2012 - 20:31
fuente
3

Es un agujero de seguridad. Informe al primer miembro del equipo de seguridad disponible. Si está de vacaciones, envíelo por correo y reenvíelo a su supervisor o cópielo. "Lamento molestarlo en un día de vacaciones, pero" ..... podría ser un buen comienzo. Buena suerte.

    
respondido por el Mix 06.10.2012 - 00:21
fuente

Lea otras preguntas en las etiquetas

¿Puede un dispositivo USB leer datos desde el disco duro interno de una PC cuando está apagado? BOTs C&C channel