Quelle est la menace d'un user essayant de sudo sans permission?

Je ssh dans un certain système informatique que j'utilise. J'essayais de suivre quelques instructions de Linux qui impliquaient sudo et j'essayais à plusieurs resockets d'entrer le mot de passe sans succès avant de me rendre count que je devenais incorrect parce que je tapais dans mon terminal ssh.

J'ai ensuite reçu un courriel très accusateur sur la façon dont mon tentative de sudo constituait une menace pour le système. Le ton a été soutenu même après que j'ai expliqué que c'était un accident.

Ma question concrète est la suivante: quel est le model de menace selon lequel l'essai de deux ou trois fois sans autorisation est considéré comme une violation grave de la security du système?

Note: Je comprends en principe pourquoi la règle est là. Je suppose que vous ne voulez pas que les gens écrivent des scripts automatisés en essayant de déchiffrer le mot de passe – ou j'essaie d'entrer un mot de passe obtenu via l'ingénierie sociale. Mais quelques suppositions infructueuses pour une command stupide … quel est le model de menace?

Tout d'abord, sudo tout seul, n'envoie pas d'e-mails ou crée des messages d'avertissement, autre que la connection de votre tentative infructueuse au journal. Les personnes qui observent ces journaux et corrèlent les events (probablement en utilisant un observateur de journal scripté), voient que certains identifiants d'users, qui se trouvaient à vous cette fois-ci, essaient d'get un access root là où il n'est pas autorisé. Par conséquent, le process automatisé envoie un courriel au contrevenant. Même si vous pensez que vous répondez à un être humain, 9 fois sur 10, votre réponse est transmise dans une boîte aux lettres, qui n'est pas observée ou est rarement vérifiée.

Si vous pensez que vous avez reçu une réponse de votre part d'un humain qui continue à vous accuser après avoir clairement établi que c'était une erreur et que vous n'étiez pas sur le bon server, il s'ennuie ou cherche quelque chose à faire avoir des ordres ssortingcts pour effrayer les gens.

En dehors des tentatives de fissuration par force brute, il n'y a pas d'autre vector de menace dans la nature en ce moment, attaquant les servers protégés par sudo , que je connais.

En outre, envisagez de poser des questions de cette nature dans la section Sécurité de l' information de Stack Exchange.

J'essayais de suivre quelques instructions linux qui impliquaient sudo

C'est la menace. Un user qui ne sait pas ou ne comprend pas ce qu'il ou elle entre dans son terminal avec des privilèges sudo peut provoquer de très mauvaises choses très rapidement. On dirait que l'administrateur ne t'a pas vraiment expliqué qu'essayer de sudo n'est pas vraiment le problème, (en théorie tu pourrais essayer de tout sudo jusqu'à ce que tu sois bleu en face, mais si tu n'as pas access à sudo de cela fera n'importe quoi). C'est le potentiel qu'il est concerné. Que se passe-t-il si vous avez eu des privilèges sudo et que vous avez entré une command que vous avez trouvée sur Internet et qui est devenue destrucsortingce?

Je ne peux pas parler de votre situation particulière; vous devrez requestr à votre administrateur pourquoi ils ont choisi de vous crier dessus.

Mais je peux vous dire pourquoi sudo rapporte ces incidents: Parce qu'il n'y a aucune raison légitime pour qu'ils se produisent. Vous n'avez pas de racine. Vous devez savoir que vous n'avez pas de racine (et si vous ne le faites pas, vous pouvez vérifier avec sudo -l ). Vous n'avez aucune entreprise à essayer de faire quelque chose que le sysadmin a choisi d'interdire. Vous findez souvent dans la security informatique que "tout ce qui n'est pas autorisé est interdit". Comme il n'y a aucune raison valable pour exécuter des commands sudo lorsque vous ne disposez pas des privilèges appropriés, il doit être signalé à un humain pour révision. Cela peut indiquer un logiciel mal configuré, un count compromis ou un certain nombre d'autres problèmes de security ou autres liés à la security du système.

Si sudo est configuré pour envoyer des e-mails et si le file de boîte aux lettres échoue, l'e-mail envoyé à (ou si le MTA est brisé, la queue) n'est pas ou rarement surveillé et si un user local malveillant a suffisamment de time et si le disque l'utilisation de /var n'est pas surveillée, un user local malveillant peut alors remplir cette partition avec des inputs de boîte aux lettres ou de courrier électronique en raison d'échecs de connection, ce qui peut être mauvais. Mais c'est beaucoup si, et il y aurait probablement des cibles plus attrayantes dans un tel magasin mal géré.

Je soupçonne que le système signale chaque tentative de sudo ratée à l'administrateur système, qui les prend en tant qu'éléments d'action individuels. Crier sur vous permet à l'administrateur de les rayer de sa list de tâches.

Le model de menace n'est pas au système, mais à l'administrateur système. Le sysadmin ressent un besoin de répondre à ces incidents pour prouver qu'il n'est pas endormi au volant.

Si c'est le cas, la solution est d'get VirtualBox ou similaire et cesser de déranger le sysadmin.

La menace de tentatives d'access sudo échouées à plusieurs resockets est qu'un user malveillant pourrait être en mesure de forcer le mot de passe par la force et ainsi augmenter leurs privilèges. Etant donné que l'user en question n'a pas access à sudo, il s'agit d'une menace pendante – une menace sans vulnérabilité à exploiter. Cependant, un système de surveillance peut triggersr une alarme dans le cadre d'une stratégie de détection d'intrusion ou parce que c'est une procédure d'exploitation standard pour les administrateurs.

Le problème avec les faux positifs dans les systèmes d'alarme en général est qu'ils peuvent faire perdre l'importance de l'alarme aux humains qui le surveillent, style "Boy Who Cried Wolf". Les administrateurs sont donc justement soucieux de minimiser le nombre de faux positifs dans leurs systèmes de surveillance / d'alarme.

Cela dit, cela semble être un e-mail pro forma d'un administrateur en réponse à une alarme déclenchée, et le style de communication par défaut de cet administrateur semble être «énervé de façon disproportionnée». Je ne m'inquiéterais pas.

(Par ailleurs, je m'inquiète de votre pratique de l'administration imprudente des systèmes de copyr / coller, en particulier lorsque les commands que vous copyz / collez sont des commands sudo.)