Автор Тема: Забрана за промяна на паролата!  (Прочетена 3921 пъти)

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Има ли стандартен начин да се забрани на който и да е юзър ( дори и root ) да си променя паролата? Казвам стандартен, защото чрез специални флагове мога да направя master.passwd да не може да се променя, но това няма ли да навреди на системата? И ако единственият начин за тази забрана е чрез флаговете, кои файлове трябва да забраня да се модифицират - passwd, master.passwd... и безопастно ли е за работата на системата?
Активен

betso

  • Напреднали
  • *****
  • Публикации: 281
    • Профил
Забрана за промяна на паролата!
« Отговор #1 -: Jul 01, 2006, 13:47 »
Промяната би трябвало да се отнася само до master.passwd, като забраниш да се пише в него (-w). По този начин, обаче, няма да може да правиш акаунти на нови потребители, освен ако не си направиш скрипт, който да дава права за писане на master.passwd, да прави новия акаунт и след това отново да премахва правата за писане на master.passwd.
Само това ми хрумва за сега. По всяка вероятност има и по-елегантни начини, но не ги знам, понеже не ми се е налагало да решавам подобен проблем.
Успех!
:)
Активен

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Забрана за промяна на паролата!
« Отговор #2 -: Jul 01, 2006, 14:31 »
Чрез премахване на w правото на  master.passwd все пак остава вероятността този, който ти компрометира системата да си прибави w право и да смени паролата на root. Идеята ми е да не може да се прибавят юзъри или да се променят пароли в стандартен режим ( securelevel 1 ). Тоест добре настроена система да се запечата и да не може да се променя... само въпросът ми е за да не може да се правят тези действия, кои файлове трябва да запечатам? Само master.passwd ли?
Активен

GoodT

  • Напреднали
  • *****
  • Публикации: 361
    • Профил
Забрана за промяна на паролата!
« Отговор #3 -: Jul 02, 2006, 11:47 »
"Чрез премахване на w правото на  master.passwd все пак остава вероятността този, който ти компрометира системата да си прибави w право и да смени паролата на root." - Ако знае с коя команда.
Смени chmod : #mv /bin/chmod /bin/"ново име"    -новото име да не е свързано с права и да не е на съшествуваща команда.Може и пътя да смениш /usr/sbin -примерно.
По този начин няма да може да сменя правата с chmod, но ще объркаш и системата при update примерно (тогава ще трябва да връщаш старото име на командата).

ЕДВА ЛИ човек влезнал в OS-a ти ще променя паролата на root. Така ти ще разбереш "веднага", ще смениш паролата и "престоя му ще свърши бързо '<img'>"
Активен

betso

  • Напреднали
  • *****
  • Публикации: 281
    • Профил
Забрана за промяна на паролата!
« Отговор #4 -: Jul 02, 2006, 12:27 »
Аз също мисля като GoodT. Смяна на root-парола не помага, а по-скоро вреди на компрометиращия. Идеята със смяна на името на chmod не ми беше хрумнала, но я намирам също доста находчива. Иначе да - подсигуряването на master.passwd е това, което би ти помогнало.
Успех!
:)
Активен

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Забрана за промяна на паролата!
« Отговор #5 -: Jul 02, 2006, 14:04 »
Да, GoodT има право, но ако аз не ползвам root често, а вместо това съм си sudo-нал отделен юзър, то тогава дали скоро ще разбера какво става с root паролата? Иначе след заключване на master.passwd с schg флаг вече не мога да създавам юзъри или да променям пароли... това което исках  '<img'>
Активен

betso

  • Напреднали
  • *****
  • Публикации: 281
    • Профил
Забрана за промяна на паролата!
« Отговор #6 -: Jul 02, 2006, 15:22 »
sudo примерно за `stat -x /etc/master.passwd` би ти дало възможност да следиш промените в master.passwd. Можеш да grep-ваш output-a и да правиш сравнения на времената, като в случай на разлика (с последния "modification time", когати ти си направил промяна) да му кажеш да пищи. Или cron-нат diff между актуалния и един backup-нат master.passwd. Нещо от сорта.. :)
Успех!
:)
Активен

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Забрана за промяна на паролата!
« Отговор #7 -: Jul 02, 2006, 15:45 »
Да, има много варианти за следене на промяна в master.passwd... дори и със софтуеър от трето лице... но какво ме озадачава в момента: След локване на master.passwd все още мога да променям паролите ( не мога да създавам юзъри обаче ). След опит за промяна на парола излиза
Примерен код
pwd_mkdb: /etc/ptmp to /etc/master.passwd: Operation not permitted
passwd: /etc/master.passwd: unchanged
но въпреки това вече важи новата парола... не съм пробвал след рестарт дали ще е така. Но дори и след рестарт да си пази старата парола, то в текущия логин все пак паролата да се променя... някакви идеи защо става така и евентуално какво да забраня още?
Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Забрана за промяна на паролата!
« Отговор #8 -: Jul 03, 2006, 00:02 »
Само мнение - тоя трик с преименуването на chmod ми звучи малко тип 'security through obscurity', което пък не ме радва. Ако искаш системата да е наистина 'заключена', може би трябва да погледнеш какво е положението със securelevel 2.
Активен

GoodT

  • Напреднали
  • *****
  • Публикации: 361
    • Профил
Забрана за промяна на паролата!
« Отговор #9 -: Jul 03, 2006, 01:35 »
Ами Наркос как ще смениш паролата на root, ако passwd я "няма" и /etc/passwd и /etc/master.passwd са "заключени"?
Как ще създадеш user, ако adduser я "няма"?
Не виждам нищо лошо в това (дори мисля, че е решение):
#mv /usr/bin/passwd /usr/bin/xxx
#mv /usr/sbin/adduser /usr/sbin/yyy
#mv /bin/chflags /usr/bin/zzz
#mv /bin/chmod /usr/bin/rrr
Може и да си направи скрипт, който да ги сменя и друг да ги връща когато трябва.
Може и аз да съм се издухал '<img'> обаче гореописаното работи.



Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Забрана за промяна на паролата!
« Отговор #10 -: Jul 03, 2006, 08:38 »
Абе то че работи - работи. То ако става на въпрос - може изобщо да ги изтриеш и при нужда да ги пускаш от дискета. :)

А добре, ако някой компрометира системата и придобие root права и системата е в securelevel 1 - какъв проблем ще има този човек да си дръпне и инсталира, че дори да си компилира chmod, passwd и каквото още трябва там?
Активен

sdr

  • Напреднали
  • *****
  • Публикации: 655
    • Профил
Забрана за промяна на паролата!
« Отговор #11 -: Jul 03, 2006, 12:11 »
Плюс това трябва да се махнат всички интерпретеруиеми езици - повечето работят директно с глибц и могат да правят тия неща. Ако системата ти не е заключена на ниво кернел си наникаде
Активен

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Забрана за промяна на паролата!
« Отговор #12 -: Jul 03, 2006, 13:50 »
Въпросът с скриването на chmod е, че на атакуващия ще му трябва повече време да открие какво аджеба става, защо няма passwd, да си го дръпне и компилира, или да го ъплоудне направо компилиран, но това ще  отнеме време и вероятността да бъде засечен е по-голяма... колкото до securelevel 2, и при него успявам да сменя паролата при заключен master.passwd... трябва да прочета как протича целия процес при смяна на парола и то подробно, но досега из доста книги се рових и не намирам нищо по въпроса...
Активен

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Забрана за промяна на паролата!
« Отговор #13 -: Jul 03, 2006, 13:58 »
Е то принципно го казаха това хората, ама все пак - ако някой ти компрометира системата е много малко вероятно да ти смени паролата. Така моментално ще се усетиш какво става и имайки физически достъп до машината ще заредиш в single mode, ще си сложиш нова парола и така, така че въпросния тип няма изгода да сменя паролата.

Много по-вероятно е да инсталира patch-ната версия на OpenSSH или нещо от тоя род.
Активен

never_mind

  • Напреднали
  • *****
  • Публикации: 215
  • Distribution: Debian/Testing
  • Window Manager: Xfce4
    • Профил
Забрана за промяна на паролата!
« Отговор #14 -: Jul 03, 2006, 14:34 »
Примерен код
заредиш в single mode, ще си сложиш нова парола

А ако атакуващия промени /etc/ttys така, че дори и single mode да изисква парола? Тогава системата става буквално неизползваема.
Активен