Ho un certo numero di supporti esterni con contenitori di file crittografati VeraCrypt e vorrei che gli utenti li montassero e li usassero senza concedere privilegi di root agli utenti.
Tuttavia al momento VeraCrypt chiede sempre la password utente/amministratore apparentemente sudo-operazione di montaggio:
Come può un utente, che non è nel file sudoers, montare un file .hc?
Risposta accettata:
Avviso :usa la soluzione @Pawel Debski solo se accetti quanto segue:
- Qualsiasi utente o hacker che ottiene accesso a un account utente in veracryptusers gruppo può eseguire qualsiasi comando come root , scaricando un file contenitore preparato contenente codice dannoso in esecuzione come root.
Quindi, utilizzando quella soluzione potresti considerare di utilizzare un profilo utente speciale per veracrypt. Di conseguenza, sodo è più facile da usare.
Passaggi per testare il problema di sicurezza:
- Crea un file contenitore (ext2-4)
- Copia o crea un file binario (es. whoami)
- Cambia il proprietario del binario in root
- Aggiungi setuid al binario
- Chiama il file binario con un account utente non root
Il file binario verrà eseguito con il privilegio di root.
Suggerimento:ho aggiunto questa soluzione poiché l'avviso di Pawel Debski è poco appariscente. Il rischio è molto maggiore del vantaggio fintanto che il sistema dispone di una connessione Internet.