Tengo una cantidad de medios externos con contenedores de archivos encriptados VeraCrypt y me gustaría que los usuarios los monten y los usen sin otorgar privilegios de root a los usuarios.
Sin embargo, en este momento, VeraCrypt siempre está solicitando la contraseña de usuario/administrador, aparentemente la operación de montaje sudo:
¿Cómo puede un usuario que no está en el archivo sudoers montar un archivo .hc?
Respuesta aceptada:
Advertencia :Solo use la solución de @Pawel Debski si está de acuerdo con lo siguiente:
- Cualquier usuario o hacker que obtenga acceso a una cuenta de usuario en veracryptusers grupo puede ejecutar cualquier comando como root , descargando un archivo contenedor preparado que contiene un código malicioso que se ejecuta como root.
Entonces, al usar esa solución, podría considerar usar un perfil de usuario especial para veracrypt. Como resultado, sodo es más fácil de usar.
Pasos para probar el problema de seguridad:
- Cree un archivo contenedor (ext2-4)
- Copiar o crear un archivo binario (por ejemplo, whoami)
- Cambiar propietario binario a raíz
- Añadir setuid al binario
- Llamar al binario con una cuenta de usuario que no sea root
El binario se ejecutará con privilegios de root.
Sugerencia:agregué esta solución porque la advertencia en Pawel Debski pasa desapercibida. El riesgo es mucho mayor que el beneficio siempre que el sistema tenga conexión a Internet.