Zagrożenia bezpieczeństwa związane z PermitUserEnvironment w ssh

Przeczytałem sporo postów dotyczących użycia PermitUserEnvironmenti pliku ~/.ssh/environmentw celu przekazania zmiennych env do powłoki ssh. Oficjalne dokumenty sshd i kilka innych zasobów wskazują na pewne ryzyko związane z bezpieczeństwem.

Włączenie przetwarzania środowiska może umożliwić użytkownikom ominięcie ograniczeń dostępu w niektórych konfiguracjach przy użyciu mechanizmów takich jak LD_PRELOAD.

Jakie są prawdopodobne problemy z aktywacją związane z bezpieczeństwem PermitUserEnvironment? Chciałem zachować szczegóły połączenia DB w tych zmiennych środowiskowych, czy jest to wskazane?

Przede wszystkim, jeśli nie próbujesz robić nic wymyślnego z ograniczeniami dostępu użytkownika - to znaczy, jeśli oferujesz interaktywny dostęp do powłoki - prawdopodobnie nie ma żadnych dodatkowych zagrożeń bezpieczeństwa, umożliwiając korzystanie z .ssh/environmentpliku, ponieważ cokolwiek użytkownik może osiągnąć ten plik, może także wykonywać interaktywnie w swojej powłoce.

Włączenie przetwarzania środowiska może umożliwić użytkownikom ominięcie ograniczeń dostępu w niektórych konfiguracjach przy użyciu mechanizmów takich jak LD_PRELOAD.

Jeśli używasz poleceń SSH wymuszonych, aby ograniczyć możliwości osób korzystających z ssh (na przykład, jeśli ograniczasz ludzi tylko do używania sftplub scp), zezwolenie komuś na ustawienie zmiennych środowiskowych, takich jak LD_PRELOAD(a może nawet PATH), pozwoli na przejęcie twojego ograniczenia, zastępując podstawowe wywołania biblioteki własnym kodem. Z drugiej strony, jeśli tworzysz .ssh/environmentw imieniu swoich użytkowników, którzy w inny sposób nie byliby w stanie nimi zarządzać, ryzyko jest stosunkowo niewielkie.

Bez wiedzy na temat konkretnego przypadku użycia trudno jest udzielić ostatecznej odpowiedzi.