J'ai un certain nombre de supports externes avec des conteneurs de fichiers cryptés VeraCrypt et j'aimerais que les utilisateurs les montent et les utilisent sans donner les privilèges root aux utilisateurs.
Cependant, pour le moment, VeraCrypt demande toujours le mot de passe utilisateur/administrateur, apparemment une opération de montage sudo :
Comment un utilisateur, qui n'est pas dans le fichier sudoers, peut-il monter un fichier .hc ?
Réponse acceptée :
Avertissement :N'utilisez la solution @Pawel Debski que si vous acceptez ce qui suit :
- Tout utilisateur ou pirate obtenant un accès à un compte d'utilisateur dans veracryptusers groupe peut exécuter n'importe quelle commande en tant que root , en téléchargeant un fichier conteneur préparé contenant du code malveillant exécuté en tant que root.
Donc, en utilisant cette solution, vous pourriez envisager d'utiliser un profil d'utilisateur spécial pour veracrypt. Par conséquent, sodo est plus facile à utiliser.
Étapes pour tester le problème de sécurité :
- Créer un fichier conteneur (ext2-4)
- Copiez ou créez un fichier binaire (par exemple whoami)
- Changer le propriétaire binaire en root
- Ajouter setuid au binaire
- Appelez le binaire avec un compte non root
Le binaire s'exécutera avec le privilège root.
Indice :J'ai ajouté cette solution car l'avertissement de Pawel Debski est discret. Le risque est beaucoup plus grand que le bénéfice tant que le système dispose d'une connexion Internet.