最后更新于2022年3月15日星期二15:56:41 GMT
与吉米·坎西拉合作
登录到网络上的资产的凭据是可以提供给漏洞评估的最关键的输入之一. 为了捕捉和报告资产的全部风险, 扫描引擎必须能够访问资产,以便它能够收集重要的信息片段, 例如安装了什么软件以及如何配置系统. 用于UNIX和类UNIX系统, 对目标的访问主要是通过安全外壳协议(SSH)实现的。. 因此,访问这些系统的扫描引擎应该能够访问适当的SSH凭据.
但是,这就提出了一个问题:什么是合适的SSH凭据? 为了使脆弱性或政策评估能够提供准确和全面的结果, 理想情况下,扫描引擎应该能够获得对正在评估的系统的根级别访问. 这是可以理解的, 许多安全团队对于向扫描引擎提供其所有系统的根凭据持谨慎态度. 而不是, 安全团队更喜欢提供一组能够提升为根用户的非根用户凭据. 在这种情况下, 凭据提升意味着使用一组具有较少特权的凭据登录到系统,然后将该凭据提升为获得根级特权. 这样,IT管理员就可以提供 服务用户 它可以被监控,并在必要时很容易被禁用.
在下一节中,我们将研究提升凭据的不同方式.
高度的选择
sudo
的 sudo 命令允许用户以其他用户的安全权限执行命令, 默认情况下恰好是根用户(超级用户). 使用的能力 sudo 命令提升为根用户是系统管理员提供的特权. 管理员显式地授予用户(或组)使用的权限 sudo 命令—这通常通过修改/etc/sudoers文件在基于linux的系统上完成.
能接触到的好处 sudo 命令意味着用户不需要知道根密码就可以获得根级别的特权. 但是,如果用户试图通过 sudo 可能仍然需要通过提供 他们自己的密码. 这与动物的行为不同 su 命令,稍后将讨论.
这在配置方面意味着什么 sudo 在安全控制台中 权限提升密码 在“添加凭据”页面必须设置为 试图升级到根用户的密码.
su
就像 sudo comm和, 使用su命令,用户可以使用其他用户的安全权限执行命令, 默认情况是作为根用户(超级用户)运行命令。. 然而,与 sudo 命令, su 命令通常不需要系统管理员提供使用该命令的显式权限. 相反,用户可以使用 su 命令切换到系统上的任何其他用户,但必须提供目标用户的密码. 这里的含义是,为了使用 su 命令来提升到根级别的权限,用户必须通过提供 根密码.
这在配置方面意味着什么 su 在安全控制台中,那是 权限提升密码 在“添加凭据”页面必须设置为 根用户的密码.
sudo +苏
如果你已经读了上面的章节 sudo 和 su,您可能会问自己为什么需要组合这两个命令. 答案可以归结为两个命令之间微妙但重要的区别, 即调用这些命令的环境上下文. 当使用 sudo 要以根权限执行另一个命令, 该命令在当前用户的环境中运行. 这意味着任何特定于环境的属性(例如, 环境变量)被保留. 当使用 su 要以根权限执行另一个命令, su 会调用根使用的默认shell,然后在该环境中运行命令吗. 这意味着将设置登录到根用户时默认加载的任何特定于环境的属性.
有了这个解释,结合 sudo 和 su 命令提供了两全其美的情况:它允许用户通过提供 他们自己的用户密码, 它将在根环境的上下文中(与用户环境相反)执行该命令。. 这是怎么回事??
执行的第一个命令是 sudo,它将提示用户通过输入自己的密码来验证自己. 然后, su 命令将被执行。. 然而, 因为它是以根权限运行的, 它不会提示输入另一个密码,而是执行根环境上下文中的任何命令. 总结一下, sudo +苏 允许在根环境的上下文中使用根级特权执行命令,但不需要知道根密码.
这在配置方面意味着什么 sudo +苏 在安全控制台中,那是 权限提升密码 在“添加凭据”页面必须设置为 试图升级到根用户的密码.
关于sudo, su和sudo +苏的重要注意事项
的 权限提升用户 应该是 根. 在配置权限提升时,一个常见的错误配置是将此值设置为用户的用户名. 这将导致扫描引擎作为初始用户登录, 然后使用权限提升来尝试提升到同一用户! 凭据状态将报告为成功, 但是,扫描结果将不具有具有根权限的正确配置扫描的相同准确性.
pbrun
的 pbrun 命令是Beyond信任提供的PowerBroker应用程序中的一个实用程序. 它的工作原理与 sudo 命令,因为它允许用户在不提供根密码的情况下提升到根级别的特权.
配置特权升级 pbrun 在安全控制台中是相当简单的, 因为它不需要任何额外的密码,除了用户的密码.
思科启用/特权执行
此选项特别允许用户在某些Cisco设备上使用 启用 comm和. 思科设备的管理员需要配置一个 启用密码 允许特权提升.
在安全控制台中配置思科启用/特权执行提升意味着什么, 是吗? 权限提升密码 在“添加凭据”页面必须设置为 设备上配置的Cisco Enable密码.
不提升的危险
提升对于准确评估资产的漏洞和系统配置至关重要. 有几个关键的信息片段只能用根级别的特权收集. 不正确配置凭据提升是导致评估结果不准确或不完整的最常见原因之一. 下表概述了一些需要根权限的关键操作和数据片段. 需要注意的是,这是一个需要根权限的非详尽列表操作和数据—随着新的数据收集技术不断被添加到产品中,详尽列表很快就会过时.
结论
当涉及到漏洞管理时, 检索准确和全面的结果对于降低组织内的风险至关重要. 当扫描引擎对它正在扫描的系统具有根级访问权限时,收集最准确的数据. 但是,并不是所有组织都能够为这些系统提供根密码.
在这种情况下, 最佳实践是为漏洞管理软件提供一个能够将其权限提升到根权限的服务帐户. 这允许系统管理员更容易地管理谁能够提升到根和根级别, 如果有必要的话, 撤销访问. 但是,有几种不同的方法可以提高帐户的权限. 每种方法都有细微但重要的区别. 理解这些差异对于确保成功提升到正确的权限级别至关重要.
更多的阅读
- InsightVM扫描引擎:了解MAC地址发现
- InsightVM和expose的新功能:回顾2021年第四季度
- 在InsightVM中分发报表到电子邮件地址
- InsightVM扫描诊断:身份验证扫描的凭据问题故障排除