Grande problema de segurança no Nautilus 3.28.1

Navegue suas respostas
0

Na minha instalação do Arch Linux com o Gnome 3.28, notei recentemente que posso entrar com o Nautilus no diretório privado / root e ver os arquivos dentro enquanto o Nautilus é iniciado sem direitos de root. Além disso, posso criar diretórios em todos os lugares no sistema de arquivos como um usuário não-root quando eu inicio o nautilus assim:

$ nautilus admin:///

Como é possível enquanto o Nautilus não possui direitos de root? No momento, é uma falha de segurança muito estranha para mim ...

    
por daiSKeul 27.04.2018 / 14:56

2 respostas

0

Meu problema foi causado por uma configuração insegura do sistema sudo. Quando eu instalei meu sistema Arch Linux e tive a habilidade de executar comandos sem a conta root, adicionei diretamente meu nome de usuário no arquivo sudoers assim: 

martin ALL=(ALL) ALL

Funcionou muito bem com o sudo, mas não com o polkit. Com essa configuração, quando eu acabei de digitar pkexec no meu shell, ele abriu um shell de root sem me pedir nenhuma senha. Mas quando o Nautilus tenta acessar o diretório /root , ele executa o comando pkexec . Para que eu pudesse ir nesse diretório sem nenhuma senha com minha conta de usuário normal.

Para corrigir o problema, coloco meu usuário no grupo wheel e descomenteço esta linha no arquivo sudoers 

# %wheel ALL=(ALL) ALL

Em conclusão, não é uma violação de segurança no Nautilus, mas uma configuração insegura que eu fiz ... me desculpe.

    
por 20.05.2018 / 14:01
1

Linx / Unix funcionando como deveria. Os arquivos root do sistema não são invisíveis, mas eles devem estar fora dos limites para gravação. E alguns arquivos que você pode ver, mas não lê (por exemplo, /etc/shadow ).

    
por 17.05.2018 / 20:05

Tags

Remover usuário de ACLs para um diretório específico Quando é necessária a biblioteca dinâmica [duplicada]