Como o usuário pode montar um contêiner de arquivos criptografados no VeraCrypt?

Navegue suas respostas
1

Eu tenho uma série de mídias externas com contêineres de arquivos criptografados VeraCrypt e gostaria que os usuários montassem e usassem os mesmos sem dar privilégios de root aos usuários.

No entanto, no momento, o VeraCrypt está sempre solicitando senha de usuário / admin, aparentemente executando uma operação de montagem:

Como um usuário, que não está no arquivo sudoers, pode montar um arquivo .hc?

    
por Pawel Debski 30.06.2017 / 16:46

2 respostas

0

Eu fiz isso. A solução é adaptada daqui: link e da minha outra pergunta sobre configuração de sudoers modernos: adicionando conteúdo local em /etc/sudoers.d/ em vez de modificar diretamente o arquivo sodoers via visudo

  1. Crie um novo grupo chamado say veracryptusers e conceda as permissões necessárias para usar o VeraCrypt sem senha de root. Qualquer usuário que pertença a esse grupo poderá usar o VeraCrypt.

Observação: este dramaticamente aumenta a superfície de ataque para a elevação de direitos do usuário, por isso, adicione somente usuários confiáveis a esse grupo. 

# groupadd veracryptusers
  1. Agora vamos dar a este grupo permissões sudo limitadas a VeraCrypt: 
$ sudo visudo -f /etc/sudoers.d/veracrypt
  GNU nano 2.5.3        File: /etc/sudoers.d/veracrypt.tmp                      

# Users in the veracryptusers group are allowed to run veracrypt as root.
%veracryptusers ALL=(root) NOPASSWD:/usr/bin/veracrypt

Além disso, certifique-se de que veracrypt e /usr/bin tenham as permissões adequadas e NÃO sejam graváveis por grupos nem por outras: 

$ ls -al /usr/bin/vera*
-rwxr-xr-x 1 root root 6341016 paź 17  2016 /usr/bin/veracrypt
$ ls -ald /usr/bin
drwxr-xr-x 2 root root 69632 lip 25 10:09 /usr/bin

Caso contrário, um usuário mal-intencionado pode substituir o executável e obter a raiz total exatamente de acordo com seu desejo.

Agora reinicialize (ou relogie) para ter a associação de grupos reavaliada e voilà - você pode montar e desmontar seus volumes favoritos.

Quem é o guru agora, ele?

    
por Pawel Debski 29.07.2017 / 14:00
3

Aviso : use a solução @Pawel Debski somente se concordar com o seguinte:

  • Qualquer usuário ou hacker que acesse acesso a uma conta de usuário em veracryptusers group pode executar qualquer comando como root , baixando um arquivo contêiner preparado contendo código malicioso em execução como root.

Portanto, usando essa solução, você pode considerar usar um perfil de usuário especial para vercriptografia. Como resultado, o sodo é mais fácil de usar.

Etapas para testar o problema de segurança:

  1. Crie um arquivo contêiner (ext2-4)
  2. Copie ou crie um arquivo binário (por exemplo, whoami)
  3. Alterar o proprietário do binário para a raiz
  4. Adicionar setuid ao binário
  5. Chame o binário com uma conta de usuário não raiz

O binário será executado com privilégio de root.

Dica: eu adicionei esta solução porque o aviso em Pawel Debski é discreto. O risco é muito maior do que o benefício, desde que o sistema tenha uma conexão com a Internet.

    
por User8461 15.07.2018 / 15:42
Executando o script upstart em 17.04? Como programar um indicador de um clique (adicionar funcionalidade de clique do meio)?