Kök erişimimiz varsa, diğer kullanıcılar için şifreyi biliyor muyuz?

24

Bir kişi belirli bir RHEL makinesine kök erişimine sahipse, diğer kullanıcıların şifresini alabilir mi?

rhel  users  password 
monu
kaynak
4
Evet yapabilirsin, güzel bir şekilde sorulmasını sizlerle paylaşabilirler :) Başka bir deyişle, sorunuz tam olarak belirtilmemiştir.
poige

Yanıtlar:

37

TL; DR: Hayır, şifre (genelde) kurtarılamayan karmalar olarak kaydedilir.

Linux, düz metin şifrelerini varsayılan olarak hiçbir yerde saklamaz . Bunlar çeşitli algoritmalar yoluyla şifrelenir veya şifrelenir. Yani, genel olarak, hayır, bu saklanan verilerle mümkün değildir.

/etc/passwdVeritabanından başka bir yerde saklanmış şifreleriniz varsa , buna izin verecek şekilde saklanabilirler. htpasswddosyalar zayıf şifreli şifreler içerebilir ve diğer uygulamalar çeşitli (genellikle kötü) nedenlerden dolayı daha zayıf karmaları veya düz metin şifrelerini saklayabilir.

Ayrıca, kullanıcı konfigürasyon dosyaları çeşitli nedenlerden dolayı şifrelenmemiş şifreler veya zayıf korumalı şifreler içerebilir - başka bir hizmetten içerik yakalama fetchmail .netrcveya basit otomatik şeyler şifreyi içerebilir.

Parolalar daha eski, zayıf bir algoritma (3DES, MD5) ile şifrelenmiş veya şifrelenmişse, yalnızca dönüşümü tersine çevirmek yerine verilere saldırmakla birlikte, parolanın ne olduğunu etkili bir şekilde / ucuza hesaplamak mümkün olacaktır. (örneğin: http://project-rainbowcrack.com/ veya http://www.openwall.com/john/ gibi şeyler )

Kök olduğunuz için kullanıcı şifresine başka bir seviyede saldırmak da mümkündür - giriş ikili dosyasını veya sudo veya PAM'in bir kısmını vb. Girildiğinde şifreyi alacak bir şeyle değiştirin.

Yani, spesifik olarak, hayır, fakat genel olarak kök erişimine sahip olmak, kullanıcıların çeşitli yan kanallardan detaylara ulaşmasını kolaylaştırır.

Daniel Pittman
kaynak
1
Tim
2
Bu, çoğunlukla iyi bir cevap, ancak 3DES ve MD5 aslında diğer algoritmalardan çok daha zayıf değil. Haşlanma kuvveti hala karma bir parola bulmak için tek yöntemdir ( gökkuşağı tabloları , herhangi bir algoritma için MD5'in zayıflığını değil, kaba kuvvet yöntemlerini hızlandırmanın bir yoludur). Şifreler için karma yöntemi geliştiren şey, yavaş ve yeterince uzun bir tuz kullanmasıdır.
Gilles 'SO- kötülük olmayı bırak'
13

Buradaki diğer cevapların aksine, basit cevabın, buna ve “kökün varsa” ile biten diğer birçok sorunun EVET olduğunu söyleyebilirim.

Temel olarak, kök makinede sistemin kendisinin yapabileceği her şeyi yapabilir. Sistem şifrenizi kabul edebilir, böylece root şifrenizi veya sizin yerine kendi şifrenizi kabul edebilir. Daha da önemlisi, sadece şifrenizi değiştirebilir ya da sizi OLABİLİR.

Özellikle, şifreler genellikle şifrelenir. Bu, genellikle şifreyi kontrol etmek için kullanılabilecek bir sayı (karma) oluşturan, ancak genellikle sayıyı ters çevirip şifreyi tekrar geri almak için kullanılabilecek bir tür "tek yönlü" algoritmadır. Yani, sadece birinin şifresini almak için bir dosyayı okumaktan ibaret değil.

Bununla birlikte, kabuk tarihçelerini ve kullanıcı adı yerine şifrelerini bir noktada yazdıkları veya şifre isteminde şifre yerine bir kabuk yazdıkları giriş tarihlerini okuyabiliyorsunuz. Bu durumda, düz metin olacaktır. Bu, metin tabanlı terminallerde rahatsız edici derecede yaygın, bildiğim kadar iyi bir çözüm bulunmuyor.

Bununla birlikte, bu sorunu bir kenara bırakmak bile, "tek yönlü" şifreleme gerçekten bir yol değildir. Çevrenizde pek çok parola birleşiminden geçecek ve bunları aynı tek yönlü işlemle şifreleyen, eşleşene kadar bulan birçok araç var. Daha sonra erişecek şifreyi biliyorlar (root olarak, THAT makinesinde zaten erişimi var).

Daha da kötüsü, yukarıdaki prosese önceden hesaplanmış cevapları olan gökkuşağı tabloları var: insanlar verilen şifreli şifreden gelen orijinal şifreyi çoktan üretti. Bunları kullanarak, basit bir arama - zaman alan bir çatlama girişimi gerekmez.

Yine, kök düzeyinde erişim korunacak şeydir. Bu taviz verdiğinde, makinenin tamamı ve üzerindeki her şey tehlikeye girer. Tüm kullanıcılarınıza, gizliliklerini korumak için işinizin artık güvenemeyeceğini bildirmek de dahil olmak üzere yeniden başlama zamanı. Ve, evet, bu işten çıkmak anlamına gelebilir.

Hesabıma erişmek, şifremi almaktan farklı. Bir kullanıcının makinenize giriş yapmasına izin verirseniz ve ben (aptal ama yaygın) tüm makineler için aynı şifreyi kullanırsanız, makinenize şifrenizi değiştirebilirsiniz, sadece tüm makinelere erişemezsiniz. Sadece bir hesaptan kilitleniyorum.
emory
Ek olarak, hassas veriler için şifreli dosya sistemleri kullanıyorsanız, kök erişiminde uzlaşma baştan başlamak için bir zaman değildir.
emory
@emory Şifrelenmiş dosya sistemlerini kullanıyorsanız ve sistem kök korumalıysa, şifrelenmiş dosya sistemiyle ilgilenen koda güvenebilirsiniz, şifreleme şifresini vb. okur musunuz? Yapamayacağınızı söyleyebilirim, çünkü tanım gereği, bir kök imtiyazı uzlaşması, sistemdeki her şeyin (çekirdeğe kadar) kapmak için hazır olduğu anlamına gelir.
bir CVn'de
@ MichaelKjörling Şifrelenmiş dosya sistemiyle ilgilenen koda güvenebilir miyim? Çoğu durumda, hayır. Benim durumumda, evet. Salt okunur medyada bulunur. Kök ona yazamaz. Günlükler bir WORM sürücüsüne gider. Aynı şekilde, kökleri köklere vermiyorum ve muhtemelen baştan başlayacağım.
emory
8

Eğer varsa, rootkarşı bir şifre kırıcı çalıştırabilirsiniz /etc/shadow(LDAP veya Kerberos vb. Değil, yerel şifreler varsayarak). Bu, iyi şifreler seçerse ve sistem güçlü bir şifre karma sistemi kullanacak şekilde yapılandırılmışsa etkili olmayabilir. Ancak sistem parolaları düz metin içinde saklanmaz; şifreleri bile doğrudan kullanılamaz root.

geekosaur
kaynak
5

Tüm şifreler /etc/shadowdosyada saklanır . Bu dosyayı root erişimi kullanarak açabilir ve hash valueher bir kullanıcı için (hatta root kullanıcısı) bu parolaların tümünü görebilirsiniz .

Herhangi bir parola şifre çözme yazılımınız yoksa, bu karma değeri normal metne geri döndüremezsiniz.

Ancak, root kullanıcısına erişiminiz varsa, aşağıdaki komutu kullanarak normal kullanıcı şifresini değiştirebilir ve hesaplarına erişebilirsiniz.

root@localhost$ passwd pradeep

Bu sizden kullanıcı için ayarlamak istediğiniz yeni şifrenizi isteyecektir pradeep. Bu şekilde pradeep için şifre değiştirebilirsin.

Artık hesabından şu adresten erişebilirsiniz:

root@localhost$ su pradeep

Bu pradeep kullanıcısına geçerek sonuçlanacak ve şöyle bir terminal alacaksınız:

pradeep@localhost$

pradeepchhetri
kaynak
1
"su pradeep" bile değişiklik yapmadan pradeep şifresini yapabilirsiniz, çünkü root kullanıcı ile "su pradeep" yaptığınızda, giriş yapmak için pradeep şifresini girmeniz gerekmez ...
Wolfy
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.