มีเชลล์ที่ตรวจสอบเพื่อให้แน่ใจว่ารหัสถูกเซ็นชื่อหรือไม่?

ฉันยุ่งกับ PowerShell ในสัปดาห์นี้และพบว่าคุณต้องลงชื่อสคริปต์ของคุณเพื่อให้สามารถทำงานได้ มีฟังก์ชั่นความปลอดภัยที่คล้ายกันใน Linux ที่เกี่ยวข้องกับการป้องกันสคริปต์ bash ไม่ให้ทำงานหรือไม่?

ฟังก์ชั่นเดียวที่คล้ายกับสิ่งนี้ที่ฉันรู้ว่าเป็นของ SSH ที่ต้องการรหัสบางอย่าง

หากคุณล็อคความสามารถของผู้ใช้ในการเรียกใช้สคริปต์ผ่านทางsudoคุณสามารถใช้digestฟังก์ชันการทำงานได้
คุณสามารถระบุแฮชของสคริปต์ / ไฟล์เรียกทำงานsudoersที่จะตรวจสอบsudoก่อนที่จะถูกดำเนินการ ดังนั้นแม้ว่าจะไม่เหมือนกับการเซ็นชื่อ แต่ก็ให้การรับประกันขั้นพื้นฐานว่าอย่างน้อยสคริปต์ไม่ได้รับการแก้ไขหากไม่มี sudoers ก็กำลังถูกแก้ไข

หากชื่อคำสั่งถูกขึ้นต้นด้วย Digest_Spec คำสั่งจะจับคู่สำเร็จเท่านั้นหากสามารถตรวจสอบได้โดยใช้การแยกย่อย SHA-2 ที่ระบุ สิ่งนี้อาจเป็นประโยชน์ในสถานการณ์ที่ผู้ใช้ที่เรียกใช้ sudo มีสิทธิ์เข้าถึงการเขียนไปยังคำสั่งหรือไดเรกทอรีหลัก สนับสนุนรูปแบบสรุปย่อยต่อไปนี้: sha224, sha256, sha384 และ sha512 สตริงอาจถูกระบุในรูปแบบ hex หรือ base64 (base64 มีขนาดเล็กกว่า) มียูทิลิตี้หลายตัวที่สามารถสร้างการแยกย่อย SHA-2 ในรูปแบบฐานสิบหกเช่น openssl, shasum, sha224sum, sha256sum, sha384sum, sha512sum

http://www.sudo.ws/man/1.8.13/sudoers.man.html

ใช่และไม่.

การแจกจ่ายซอฟต์แวร์ Linux นั้นค่อนข้างแตกต่างจากการกระจายซอฟต์แวร์ Windows ในโลกลินุกซ์ (ไม่ฝัง) วิธีการหลักในการเผยแพร่ซอฟต์แวร์คือการแจกจ่าย (Ubuntu, Debian, RHEL, Fedora, Arch ฯลฯ ) การแจกจ่ายที่สำคัญทั้งหมดได้ลงนามในแพ็คเกจของพวกเขาอย่างเป็นระบบมาประมาณสิบปีแล้ว

เมื่อซอฟต์แวร์ถูกแจกจ่ายอย่างอิสระขึ้นอยู่กับผู้ขายว่าจะตัดสินใจว่าจะจัดส่งซอฟต์แวร์อย่างไร ผู้จำหน่ายที่ดีจะให้แหล่งที่มาของแพคเกจที่เข้ากันได้กับการแจกแจงหลัก (ไม่มีกลไกการกระจายแบบครบวงจรสำหรับ Linux ทั้งหมด: การแจกจ่ายซอฟต์แวร์เป็นหนึ่งในประเด็นหลักของความแตกต่างระหว่างการกระจาย) และที่ลงนามด้วยคีย์ของผู้ขาย ลีนุกซ์ดิสทริบิวชันไม่ค่อยทำหน้าที่เป็นผู้มีอำนาจลงนามสำหรับผู้จำหน่ายบุคคลที่สาม (Canonical ทำสิ่งนี้กับพันธมิตร Ubuntu แต่ครอบคลุมผู้ค้าน้อยมาก) และฉันคิดว่าดิสทริบิวชันหลักทั้งหมดใช้เว็บ PGP เชื่อถือได้มากกว่าโครงสร้างคีย์สาธารณะ TLS ขึ้นอยู่กับผู้ใช้ในการค้นหาว่าพวกเขาต้องการเชื่อถือคีย์หรือไม่

ไม่มีกลไกพิเศษที่แยกแพคเกจซอฟต์แวร์ที่ประกอบด้วยสคริปต์เดียวจากชุดซอฟต์แวร์ที่ประกอบด้วยไฟล์ปฏิบัติการดั้งเดิมไฟล์ข้อมูลหรือไฟล์หลายไฟล์ หรือการตรวจสอบลายเซ็นใด ๆ ที่สร้างขึ้นในล่ามสคริปต์ทั่วไปเพราะการตรวจสอบแพคเกจซอฟต์แวร์นั้นเป็นข้อกังวลอย่างสมบูรณ์จากการรันสคริปต์

ฉันคิดว่า Windows ใส่คำอธิบายประกอบไฟล์ที่มีต้นกำเนิดของพวกเขาและต้องการการยืนยันจากผู้ใช้ในการเรียกใช้ไฟล์ที่มีต้นกำเนิด "ดาวน์โหลด" แทนที่จะเป็น "ท้องถิ่น" Linux ไม่มีกลไกคล้ายกันจริงๆ สิ่งที่ใกล้เคียงที่สุดคือการอนุญาตให้ดำเนินการ: ไฟล์ที่ดาวน์โหลดไม่มีสิทธิ์ดำเนินการผู้ใช้จำเป็นต้องเปิดใช้งานอย่างชัดเจน ( chmod +xบนบรรทัดคำสั่งหรือการดำเนินการเทียบเท่าในตัวจัดการไฟล์)

Linux ไม่ได้ให้ความสามารถในการ จำกัด การดำเนินการของสคริปต์ทุบตีตามลายเซ็นดิจิทัล

มีงานบางส่วนในการตรวจสอบความถูกต้องของโปรแกรมเรียกทำงานแบบไบนารี ดูhttps://lwn.net/Articles/488906/สำหรับข้อมูล

ในคำว่า "ไม่"

Linux ไม่ได้แยกความแตกต่างระหว่างโปรแกรมเรียกใช้งานและสคริปต์ #!ที่จุดเริ่มต้นคือวิธีที่จะบอกเคอร์เนลว่าโปรแกรมที่จะเรียกใช้ในการประเมินการป้อนข้อมูล แต่มันไม่ได้เป็นวิธีเดียวที่สคริปต์สามารถดำเนินการได้

ตัวอย่างเช่นถ้าฉันมีสคริปต์

$ cat x
#!/bin/sh 
echo hello

จากนั้นฉันก็สามารถรันสิ่งนี้ได้ด้วยคำสั่ง

$ ./x

ที่จะทำให้เคอร์เนลลองและดำเนินการให้ตรวจหาจุด#!แล้วรันอย่างมีประสิทธิภาพ/bin/sh xแทน

อย่างไรก็ตามฉันยังสามารถเรียกใช้ตัวแปรเหล่านี้เช่นกัน:

$ sh ./x
$ bash ./x
$ cat x | sh
$ cat x | bash
$ sh < x

หรือแม้กระทั่ง

. ./x

ดังนั้นแม้ว่าเคอร์เนลพยายามบังคับใช้การลงชื่อที่ execเลเยอร์เราสามารถเลี่ยงสิ่งนี้ได้โดยการเรียกใช้ล่ามโดยใช้สคริปต์เป็นพารามิเตอร์เท่านั้น

ซึ่งหมายความว่ารหัสการลงนามจะต้องอยู่ในล่ามเอง และสิ่งใดที่จะหยุดผู้ใช้ไม่ให้รวบรวมเชลล์ของตนเองโดยไม่มีรหัสการลงนาม?

วิธีการแก้ปัญหามาตรฐานในการนี้จะไม่ใช้การลงนาม แต่จะใช้การควบคุมบังคับ Access (MAC) SELinuxเช่น ด้วยระบบ MAC คุณสามารถระบุสิ่งที่ผู้ใช้แต่ละคนได้รับอนุญาตให้เรียกใช้และเลเยอร์การเปลี่ยนแปลง ตัวอย่างเช่นคุณสามารถพูดว่า "ผู้ใช้ปกติสามารถเรียกใช้อะไรก็ได้ แต่กระบวนการเว็บเซิร์ฟเวอร์และกระบวนการ CGI สามารถเข้าถึงสิ่งต่าง ๆ จาก/var/httpdไดเรกทอรีเท่านั้นทุกอย่างถูกปฏิเสธ"

distros ลินุกซ์มักจะมีGnuPG ฟังดูแล้วว่าฉันชอบทุกอย่างที่คุณต้องการคือเสื้อคลุมทุบตีเรียบง่ายที่ตรวจสอบลายเซ็น gpg ที่แยกออกมากับสคริปต์อาร์กิวเมนต์และดำเนินการเพื่อเรียกใช้สคริปต์เท่านั้นหากการตรวจสอบสำเร็จ:

#!/bin/sh
gpgv2 $1.asc && bash "$@"

คำถามที่คำนึงถึงทันทีคือ "ทำไมคุณต้องการป้องกันผู้ใช้จากการรันโปรแกรมที่พวกเขาเขียน? " มีความเป็นไปได้หลายอย่าง:

1. แท้จริงมันเป็นไปไม่ได้เลยที่จะตรวจสอบว่าใครเป็นผู้เขียนรหัสตั้งแต่แรก เจ้าของไฟล์สคริปต์คือใครก็ตามที่บันทึกเนื้อหาของไฟล์นั้นโดยไม่คำนึงว่ามาจากที่ใด ดังนั้นการบังคับใช้ลายเซ็นจึงเป็นเพียงสิ่งทดแทนที่ซับซ้อนสำหรับกล่องโต้ตอบการยืนยัน: "คุณแน่ใจหรือว่าต้องการทำสิ่งนี้?" ใน Linux ส่วนหนึ่งของปัญหานี้ได้รับการแก้ไขอย่างโปร่งใสด้วยแพ็คเกจที่ลงนามและบรรเทาผลกระทบจากความจริงที่ว่าผู้ใช้มีการ จำกัด การเข้าถึงตามค่าเริ่มต้น ผู้ใช้คาดหวังว่าจะรู้ว่าการใช้รหัสของผู้อื่นอาจเป็นอันตรายได้ *
2. ในหลอดเลือดดำเดียวกันการลงนามสคริปต์เป็นการดำเนินการที่ซับซ้อนกว่าการบันทึกไฟล์ ในกรณีที่ดีที่สุดจะทำให้ผู้ใช้ทราบว่าพวกเขากำลังดำเนินการคล้ายกับการลงนามในเอกสารและควรตรวจสอบสิ่งที่กล่าวก่อนที่จะดำเนินการต่อ เป็นไปได้มากว่ามันจะช่วยให้มั่นใจว่าความเชี่ยวชาญทางเทคนิคในระดับน้อยที่สุดในส่วนของผู้ใช้ที่ได้รับอนุญาตให้เรียกใช้สคริปต์ ในกรณีที่เลวร้ายที่สุดมันแสดงให้เห็นถึงความเต็มใจที่จะกระโดดผ่านชุดยาวของห่วงเพื่อเรียกใช้สิ่งที่พวกเขาต้องการ ความเชี่ยวชาญด้านเทคนิคถูกใช้บน Linux *
3. มีโอกาสมากขึ้นที่คนจะตรวจจับรหัสอันตรายอย่างชัดเจนเมื่อพิมพ์ / วางชุดคำสั่งในบรรทัดคำสั่งของพวกเขา ตัวอย่างข้อความธรรมดาหมายถึงการคัดลอกและวางมักจะมีขนาดเล็กกว่าชุดคำสั่งที่จำเป็นในการทำสิ่งที่เลวร้ายอย่างถูกต้อง ผู้ใช้ยังสามารถคัดลอกและวางทุกบรรทัดแยกจากกันอย่างระมัดระวังเข้าใจว่าเกิดอะไรขึ้น ด้วยสคริปต์เป็นไปได้ที่ผู้ใช้ไม่เคยดูรหัสเลย นี่อาจเป็นแอปพลิเคชันที่มีประโยชน์ของสคริปต์ที่เซ็นชื่อด้วยค่าใช้จ่ายทั้งหมดของความพึงพอใจหลังจากที่คุณต้องทำ

* นี่อาจเป็นจริงน้อยลงเมื่อผู้คนจำนวนมากเริ่มใช้ Linux

เหตุผลที่ระบบมีการพัฒนาที่แตกต่างกันคือ Linux มีคุณลักษณะไฟล์ 'exec' และ Windows ใช้ส่วนขยายของไฟล์เพื่อพิจารณาความสามารถในการปฏิบัติงาน

ดังนั้นใน Windows มันเป็นเรื่องง่ายที่จะหลอกลวงให้ผู้ใช้ในการดาวน์โหลดไฟล์ที่มี ".exe", "ค้างคาว" ขยาย ".scr" ซึ่งจะถูกซ่อนไว้โดยค่าเริ่มต้น การคลิกสองครั้งที่ไฟล์นั้นจะทำให้คุณเรียกใช้รหัสโดยเจตนา ดังนั้นกลไกขนาดใหญ่ของการติดตามต้นทางและการลงนามในการเรียกทำงาน / สคริปต์จึงถูกสร้างขึ้นเพื่อลดความเสี่ยงนี้

บน Linux คุณอาจได้รับไฟล์ให้กับผู้ใช้ แต่คุณไม่สามารถบังคับให้บิต 'exec' ถูกตั้งค่าได้อย่างง่ายดาย นอกจากนี้ยังเป็นไปได้ที่จะทำให้ระบบไฟล์ทั้งหมด 'noexec'

คุณสามารถเรียกใช้สคริปต์อย่างชัดเจนในทุกกรณีโดยการเรียกล่าม คุณสามารถสร้างเชลล์สคริปต์ที่รันไทม์และไพพ์มันลงใน "sh" หรือเรียกใช้ "sh -c"

โดยกำหนดเองโปรแกรมเก็บถาวรจำนวนมากจะไม่เก็บรันคำสั่งบิตบนไฟล์ที่มีอยู่ สิ่งนี้ทำให้เป็นไปไม่ได้ที่จะเรียกใช้โปรแกรมเรียกทำงานโดยอำเภอใจ ก็เกือบแล้ว

bashประเด็นก็คือสิ่งที่ได้อธิบายไว้ในคำตอบที่ขาดการดำเนินการอีกนิดไม่ได้ป้องกันคุณจากการผ่านสคริปต์ดังกล่าวโดยตรงกับ แม้ว่าสคริปต์ดังกล่าวส่วนใหญ่จะเป็นbashสคริปต์ แต่ shebang สามารถระบุโปรแกรมใด ๆ เป็นล่ามได้ ซึ่งหมายความว่าขึ้นอยู่กับผู้ใช้ในการใช้ล่ามที่เหมาะสมหากพวกเขาตัดสินใจที่จะเพิกเฉยต่อซีแมนทิกส์ที่ปฏิบัติการได้

ขณะนี้ไม่มากนี้การป้องกันครอบคลุมสวยมากของการทำงานที่ไม่น่าเชื่อถือใน executables nixes * มีเพียงเคอร์เนลและเปลือก

ดังที่ฉันได้กล่าวถึงหนึ่งในความคิดเห็นมีอีกชั้นหนึ่งของการป้องกันSeLinux- ซึ่งติดตามที่มาของไฟล์ตามชุดของกฎ การตั้งค่าSeLinuxจะไม่อนุญาตให้รูทรันไฟล์เรียกทำงานด้วยชุดบิตที่รันได้ซึ่งดาวน์โหลดจากอินเทอร์เน็ตแม้ว่าคุณจะคัดลอกและย้ายไฟล์ไปรอบ ๆ ก็ตาม หนึ่งสามารถเพิ่มกฎที่ไฟล์ดังกล่าวสามารถทำงานผ่านไบนารีอื่นที่จะตรวจสอบลายเซ็นไม่เหมือนกับสิ่งที่คุณกล่าวถึงในคำถามของคุณ

ดังนั้นในท้ายที่สุดมันก็เป็นเรื่องของการกำหนดค่าของเครื่องมือที่ติดตั้งปกติและคำตอบคือใช่