Ich habe eine Reihe von externen Medien mit VeraCrypt-verschlüsselten Dateicontainern und möchte, dass die Benutzer sie mounten und verwenden, ohne den Benutzern Root-Rechte zu geben.
Im Moment fragt VeraCrypt jedoch immer nach dem Benutzer-/Admin-Passwort, anscheinend sudo-ing mount operation:
Wie kann ein Benutzer, der nicht in der sudoers-Datei ist, eine .hc-Datei mounten?
Akzeptierte Antwort:
Warnung :Verwenden Sie die Lösung von @Pawel Debski nur, wenn Sie Folgendes vereinbaren:
- Jeder Benutzer oder Hacker, der Zugriff erhält zu einem Benutzerkonto in veracryptusers Gruppe kann alle Befehle als root ausführen , indem Sie eine vorbereitete Containerdatei herunterladen, die schädlichen Code enthält, der als root ausgeführt wird.
Wenn Sie also diese Lösung verwenden, sollten Sie erwägen, ein spezielles Benutzerprofil für Veracrypt zu verwenden. Dadurch ist sodo einfacher zu verwenden.
Schritte zum Testen des Sicherheitsproblems:
- Erstellen Sie eine Containerdatei (ext2-4)
- Kopieren oder erstellen Sie eine Binärdatei (z. B. whoami)
- Ändern Sie den Eigentümer der Binärdatei zu root
- setuid zur Binärdatei hinzufügen
- Rufen Sie die Binärdatei mit einem Nicht-Root-Benutzerkonto auf
Die Binärdatei wird mit Root-Rechten ausgeführt.
Hinweis:Ich habe diese Lösung hinzugefügt, da die Warnung bei Pawel Debski unauffällig ist. Das Risiko ist viel größer als der Nutzen, solange das System über eine Internetverbindung verfügt.