Neden herkes etc / passwd hakkında bu kadar endişeli?

36

İşte bu özel dosyadaki serseri makinemin içeriği:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

Herhangi biri kötü bir adamın üretim sunucumun bu dosyasını alabilmesinin neden kötü olduğunu açıklayabilir mi?

security  passwd-file 
eğlence adamı
kaynak
19
Eski günlerde her kullanıcı için şifreli şifreleri içeriyordu: burada: x: şimdi. Eğer sahipseniz (herkes tarafından okunması kolaydı, bu yüzden bir giriş yapmanız yeterlidir) şifreleri zorla kırabilirdiniz. Şimdi / etc / shadow içinde saklanırlar ki bu "herkes" tarafından okunma olasılığı çok düşüktür, fakat eğer öyle olsaydı aynı sorunu yaşardı.
Mark Smith,
8
Birincisi, bu makinede bir web sunucusu olduğunu söyleyebilirim. IP adresinizle birleştirilince, bilgisayarla iletişim kurulabilir>: - - D
Rinzwind
3
@ MarkSmith Ne zaman şifreli şifreler içeriyordu? AFAIK, hayata şifreli şifreler olarak başladı. Ben ilk 1982 yılında Unix kullanılan Kesinlikle beri
user207421
3
@funguy: www-data kullanıcısı genellikle web sunucuları tarafından kullanılır. Ubuntu ve muhtemelen Debian bu kullanıcıyı varsayılan Apache kullanıcısı olarak kullandı.
Lie Ryan
3
@funguy www-data varsayılan apache kullanıcısıdır. Dahası var: uucp, unix kopyası için unix'tir; Bu, sistemler arasında dosya kopyalamanız anlamına gelir. Ve "irc" ve "gnats" da kolayca tespit edilebilir.
Rinzwind

Yanıtlar:

47

Anahtar nokta olmasıdır Pentesters / beyaz-şapka etik / korsanları yanı sıra siyah-şapka hedefi /etc/passwd olarak proof of conceptbir sisteme erişim sağlama olasılığı bir testi olarak,.

Teknik /etc/passwdolarak o kadar korkutucu değil. Geçtiğimiz içinde açıkça özel verileri, şifreleri saklamak için kullanılan, ancak günümüzde itibariyle daha endişe edilecek gerekiyordu /etc/shadow- çoğu Linux sistemleri günümüzde kullanmak shadowbir şifrelenecektir ve tuzlu şifreyi tutmaya yardımcı programların paketi /etc/shadowaksine, hangi /etc/passwddünya değil -okunabilir. ( pwunconvaslında, şifreli şifreleri `/ etc / passwd 'ye geri getiren komutu kullanmazsanız ).

Sadece az ya da çok hassas bilgi parçası, kullanıcı adlarıdır. Eğer varsa sshdveya telnetsunucu ve zayıf şifre ile bir kullanıcı adı üzerinde, bir kaba kuvvet saldırısı için potansiyel vardır.

Bu arada, aynı sorunuz daha önce sorulmuştu . Burada sadece daha önce belirtilen kavramlardan bazılarını tekrar yazdım.

Küçük ekleme: bu biraz uzaklaştı, ancak sizin bashkök kabuğunuz olduğunu fark ettim . Şimdi, sistemde bashkabuğu kadar olan, hatta daha da kötüsü olan bir kullanıcının olduğunu varsayalım - bu kullanıcı sudoer. Şimdi, bash modası geçmiş veya yamalanmamışsa , bir saldırgan, verileri geçici olarak çalmak veya çatal bomba yapmak için Shellshock güvenlik açığından yararlanmaya çalışabilir . Öyleyse evet, teknik /etc/passwdolarak büyük bir sorun değil, ancak saldırgana ne denemesi gerektiği konusunda bazı bilgiler hakkında fikir veriyor.

Ek düzenleme, 18/18/2016

Bir süredir Dijital Okyanusta bir Ubuntu sunucusu kullandım, dikkatimi çekti, sunucuma yapılan en kaba kuvvet saldırıları rootkullanıcı için yapıldı - başarısız parola girişlerinin% 99'unda /var/log/auth.logvardı root. /etc/passwordDaha önce de bahsettiğim gibi, saldırgana yalnızca sistem kullanıcıları değil insan kullanıcıları da dahil olmak üzere kullanıcılar listesine bakma imkanı verir, bu da saldırı için daha fazla potansiyel alan anlamına gelir. Tüm kullanıcıların güvenlik bilincine sahip olmadıklarını ve her zaman güçlü bir şifre oluşturmadıklarını, bu nedenle bir saldırganın insan hatası veya aşırı güvenciliğe ilişkin bahislerinin büyük bir ikramiye olma ihtimalinin yüksek olduğunu unutmayın.

Sergiy Kolodyazhnyy
kaynak
6
+1, harika cevap. Buna ek olarak, genel olarak bilginin güç olduğunu; rezil Shellshock'u bir kenara bırakmak durumunda, örneğin, işletilebilecek işlemlerle ilgili olarak da yararlanılabilecek bilgiler toplanabilir; örneğin, OP'in makinesinde Apache çalışıyor ve bu ele geçirilmemiş bir başka potansiyel delik
kos
1
Hmm ... Yani bir saldırganın kafasını karıştırmak için kullanıcı adlarını değiştirmeyi öneriyorum
Freedo
@ Özgürlük Bu yardımcı olmuyor. Oturum açmayı değiştirirseniz, Kullanıcı ve Grup kimlikleri aynı kalır. Örneğin, burada benim testuser var: testuser1:x:1001:1001:,,,:/home/testuser:/bin/bash. Ben çalıştırdıktan sonra sudo usermod testuser1 -l testuser2 sudo usermod testuser1 -l testuser2 , giriş farklı bir kullanıcı adı ama gid vardır ve uid aynıdır: testuser2:x:1001:1001:,,,:/home/testuser:/bin/bash. Şifre değişmediyse, saldırgan tahminde bulunabilir ve sistemi hala kırabilir. Parolanın süresinin dolması ve arada bir değiştirilmesi gerekmesi daha iyi bir yaklaşımdır, ancak kurşun geçirmez değildir.
Sergiy Kolodyazhnyy
1
Varsayılan kullanıcı adlarını değiştirmek, SSH girişleri (veya diğer uzak girişleri) olan hesaplar için kullanışlıdır. Tabii ki bu girişler için varsayılan portları değiştiriyor. Günlüklerinizi, script-kiddies tarafından milyarlarca rastgele yoldan tarama taramasından uzak tutmanıza izin veren herhangi bir şey, daha kasıtlı saldırılara odaklanabileceğiniz anlamına gelir. Özel adlarınız başarısız oturum açma günlüklerinizde sıralanıyorsa, araba kullanmak yerine giriş yapmanın ciddi bir girişim olduğunu bilirsiniz.
Dewi Morgan,
11

Bir makineye giriş yapmak için hem kullanıcı adını hem de şifreyi bilmeniz gerekir.

/etc/passwd size, şifrenizin bir özetini eklemek için ihtiyaç duyduğunuz ve kullanılan bilgilerin yarısını veren kullanıcılar hakkında bilgi sağlar.

Bir karma, şifrenizden hesaplanan bir şeydir. Bir karma'den bir parola bulmak zordur, ancak tam tersi olmaz. Her ikisine de sahipseniz, çevrimdışı kuvveti bulmak için kaba kuvvet denemelerini deneyebilirsiniz, ancak bulduktan sonra bilgisayara bağlanmayı deneyin.

Bugün güvenlik, hashlar /etc/shadowçoğu kullanıcı tarafından varsayılan olarak okunamayan farklı bir dosyada saklandığından dolayı geliştirilmiştir .

Ancak, ikisine de erişebilseydim /etc/passwdve /etc/shadowbüyük olasılıkla kaba bir 'sözlük' saldırısı kullanarak şifrenizi bulabilirdim. Makinemde bunu yerel olarak yapabildiğimden, şifrenizi bulmak için birçok başarısız girişimin farkına varamazsınız ve sadece şifreyi bildiğimde makinenize tekrar bağlanmam gerekirdi. Sonra istediğimi yapmakta özgürüm.

Vikipedi hakkında daha fazla bilgi var.

Warren Hill
kaynak
Bu kaba kuvvet saldırısının nasıl çalıştığı hakkında biraz fikir vermek için muhtemelen burada 'gökkuşağı tablolarından' bahsetmelisiniz.
Rick Chatham
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.