sudo: 3 yanlış şifre denemesi - root şifreyi düz metin olarak görebilir mi?

Bazı kullanıcılar sudo3 kez bir komutla erişemezse, erişim günlüklerindeki \ kullanıcıya kök kullanıcısına bildirilmelidir.

Root, bu girişimleri (denenen şifreler gibi) günlüklerdeki metinde görebilir mi?

Hayır, şifreler varsayılan olarak günlüğe kaydedilmez. Günlükler diğer yöneticiler tarafından okunabileceğinden, biraz yanlış yazılan bir parola durumunda kullanıcının kimliğine bürünülmesine izin verdiği için bu bir güvenlik sorunudur.

Başarılı ve başarısız giriş girişimleri

/var/log/auth.log

Başarılı bir girişim örneği:

Oct 23 21:24:01 schijfwereld sudo: rinzwind : TTY=pts/0 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash
Oct 23 21:24:01 schijfwereld sudo: pam_unix(sudo:session): session opened for user root by (uid=0)

Ve başarısız:

Oct 23 21:25:33 schijfwereld sudo: pam_unix(sudo:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/1 ruser=rinzwind rhost=  user=rinzwind
Oct 23 21:26:02 schijfwereld sudo: rinzwind : 3 incorrect password attempts ; TTY=pts/1 ; PWD=/home/rinzwind ; USER=root ; COMMAND=/bin/bash

Başarısız denemeyi günlüğe kaydeder ve toplamda yanlış yazılmış 3 parolayı da günlüğe kaydeder.

Deneme parolaları sudohiçbir zaman gösterilmez veya saklanmaz.

Genel uygulama, söz konusu şifre geçersiz olsa bile, giriş denemelerinde kullanılan şifrelerin kaydedilmemesidir. Bunun nedeni, parolanın aynı sistemdeki başka bir kullanıcı için geçerli olabilmesidir (örneğin, kullanıcı parolayı değil kullanıcı adını yanlış yazmış olabilir) veya gerçek parolanın önemsiz bir alternatifi olabilir (kullanıcı bir harfi kaçırmış olabilir).

Bu iki durumdan biri, bazı bilgi sızıntılarına karşı savunmasız durumda olan sisteme bir düz metin parola bırakacaktır. (Parola, girildiği sistemden başka bir sistem için de geçerli bir parola olabilir, ancak bu "onlar" için değil, "onlar" için daha büyük bir sorundur.)

Bununla ilgili olarak, bir kullanıcının parolasını kullanıcı adı yerine yazdığı durumlardır (örneğin, genellikle kullanıcı adını otomatik olarak giren, ancak şimdi yapmamış, ancak yine de ilk şey olarak parolayı yazmış olan bir sistem kullanırlar). Bu durumda, günlüklerde düz metin parolanız olur. Bu uygun değildir, ancak olağan başarısız oturum açma girişimlerinin kullanıcı adlarını görmek yararlıdır ve bunları saklamak için basit bir çözüm yoktur, ancak kullanıcı adı olarak girilen parolalar yoktur.

Bununla birlikte, sistem yöneticisinin sistemin şifreleri günlüğe kaydetmesini engelleyecek hiçbir şey yoktur. Günlük ekleme, muhtemelen syslog()PAM modülüne bir çağrı ekleyerek ve yeniden derleyerek yapılabilir . (PAM, Ubuntu'nun ve sudokullandığı şeydir , ancak aynı şey web uygulamaları ve diğer her şey için de geçerlidir.)

Bu nedenle, hayır, genellikle bir yönetici sisteme girilen şifreleri göremez, ancak şifrenizi güvenmediğiniz bir sisteme girerseniz, kesinlikle konuşursanız, kaybettiğini düşünmeli ve değiştirmelisiniz.

Daha genel anlamda, çok bunu yapmak için iyi bir neden var neredeyse hiç, ve iyi ayakta nedenler vardır - unix birkaç programları hiç içine syslog veya başka bir yerdeki gerçek şifreleri günlüğe değil için.

Parolaların karmaşası nedeniyle, sistem yanlış parola ve yazım hatası arasındaki farkı söyleyemez - Parolanız% $ zDF + 02G ise ve% $ ZDF + 02G yazdıysanız, bu kadar zorlaşırsınız 'rubberbabybuggybumpers' yazarsanız, ancak başarısız şifreyi günlüğe kaydetmek, günlüğü okuyan kötü amaçlı bir üçüncü tarafa değerli bilgiler verir .

Bir program nerede buldum bir vaka yaptı şifreleri oturum yeteneğine (ve bu iyi bir fikir olurdu bir kullanım durumunda) sahip RADIUS sunucuları, içindeki yerini can bir tutam anahtarı daha-bilgi-görebilirlerdi muhtemelen hata ayıklama modunu istediniz ve daha sonra 'evet, şifreler dahil ' anlamına gelen bayrağı ekleyin, çünkü bağlantı kuramadığınız bir istemciniz var ve olası her nedeni kesinlikle dışlamanız gerekiyor ...