क्यों हर कोई / आदि के बारे में चिंतित है?


36

यहाँ इस विशेष फ़ाइल की मेरी योनि मशीन की सामग्री है:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

क्या कोई मुझे समझा सकता है कि अगर कोई बुरा आदमी मेरे उत्पादन सर्वर की इस फ़ाइल को प्राप्त कर सकता है तो यह बुरा क्यों है?


19
पुराने दिनों में वापस इसमें हर उपयोगकर्ता के लिए एन्क्रिप्टेड पासवर्ड थे - जहाँ: x: अब है। यदि आपको यह मिल गया (जो कि सभी द्वारा पठनीय के रूप में आसान था, तो आपको बस एक लॉगिन की आवश्यकता है) आप पासवर्ड को क्रैक-बल कर सकते हैं। अब वे / etc / छाया में संग्रहित हैं, जो "बाहर निकलने" की संभावना से बहुत कम पढ़ने योग्य नहीं है, लेकिन अगर ऐसा होता तो वही मुद्दा होता।
मार्क स्मिथ

8
एक के लिए मैं आपको बता सकता हूं कि इस मशीन पर एक वेबसर्वर है। आपके आईपी एड्रेस के साथ संयुक्त यह हैक करने योग्य हो सकता है>: - D
रिनविंड

3
@MarkSmith इसमें कब एन्क्रिप्टेड पासवर्ड थे? AFAIK ने हैशेड पासवर्ड के रूप में जीवन की शुरुआत की। निश्चित रूप से जब से मैंने पहली बार 1982 में यूनिक्स का इस्तेमाल किया था।
user207421

3
@funguy: www-data उपयोगकर्ता आमतौर पर वेब सर्वर द्वारा उपयोग किया जाता है। उबंटू और शायद डेबियन ने इस उपयोगकर्ता को डिफ़ॉल्ट अपाचे उपयोगकर्ता के रूप में इस्तेमाल किया।
रेयान

3
@funguy www-data डिफ़ॉल्ट अपाचे उपयोगकर्ता है। और भी हैं: यूसीपी यूनिक्स से यूनिक्स कॉपी है; इसका मतलब है कि आप सिस्टम के बीच फाइल कॉपी करते हैं। और "irc" और "gnats" को भी स्पॉट करना आसान है।
रिन्जविंड

जवाबों:


47

मुख्य बिंदु यह है कि पेंटेस्टर्स / व्हाइट-हैट्स / एथिकल हैकर्स के साथ-साथ ब्लैक-हैट लक्ष्य के /etc/passwd रूप में proof of concept, सिस्टम तक पहुंच प्राप्त करने की संभावना के परीक्षण के रूप में।

तकनीकी रूप /etc/passwdसे वह डरावना नहीं है। अतीत में, यह निजी डेटा, पासवर्ड को स्पष्ट रूप से संग्रहीत करता था, लेकिन आजकल के रूप में आपको अधिक चिंतित होने की आवश्यकता होगी /etc/shadow- आजकल अधिकांश लिनक्स सिस्टम shadowएक हैशेड और नमकीन पासवर्ड रखने के लिए उपयोगिताओं के सूट का उपयोग करते हैं /etc/shadow, जो कि /etc/passwdदुनिया के विपरीत नहीं है -readable। (जब तक आप pwunconvकमांड का उपयोग नहीं करते हैं , जो वास्तव में हैशेड पासवर्ड को `/ etc / passwd में वापस ले जाता है)।

जानकारी का एकमात्र या कम संवेदनशील टुकड़ा उपयोगकर्ता नाम है। यदि आपके पास सर्वर पर sshdया telnetकमजोर पासवर्ड वाले उपयोगकर्ता नाम है, तो एक क्रूर बल हमले की संभावना है।

वैसे, आपका वही सवाल पहले भी पूछा जा चुका है । यहाँ मैंने पहले से ही बताई गई कुछ अवधारणाओं को बहाल किया।

छोटा जोड़: यह थोड़ा दूर की कौड़ी है, लेकिन मैंने देखा है कि आपके पास bashरूट शेल है। अब, मान लें कि आपके पास उस सिस्टम पर एक उपयोगकर्ता है जो bashउनके शेल के रूप में है, इससे भी बदतर - वह उपयोगकर्ता sudoer है। अब, यदि आप बैश आउटडेटेड हैं या अनपेक्षित हैं, तो एक हमलावर डेटा चोरी करने या एक फोर्क-बम को अंजाम देने के लिए शेलशॉक भेद्यता का फायदा उठाने की कोशिश कर सकता है जो आपके सिस्टम को अस्थायी रूप से नीचे ला सकता है। तो हां, तकनीकी रूप से यह कोई बड़ी बात नहीं है, लेकिन यह हमलावर को कुछ सूचनाओं का अंदाजा देता है कि क्या करना है/etc/passwd

अतिरिक्त संपादन, 11/18/2016

थोड़ी देर के लिए डिजिटल महासागर पर एक उबंटू सर्वर का उपयोग करने के बाद, यह मेरे ध्यान में आया, कि मेरे सर्वर के खिलाफ सबसे क्रूर बल के हमले rootउपयोगकर्ता के लिए किए गए थे - 99% प्रविष्टियाँ विफल पासवर्ड के लिए /var/log/auth.logथीं root/etc/password, जैसा कि मैंने पहले उल्लेख किया है, हमलावर उपयोगकर्ताओं की सूची को देखता है, और न केवल सिस्टम उपयोगकर्ताओं को, बल्कि मानव उपयोगकर्ताओं को भी, जो हमले के लिए अधिक संभावित स्थानों का अर्थ देता है। आइए याद रखें कि सभी उपयोगकर्ता सुरक्षा के प्रति जागरूक नहीं होते हैं और हमेशा मजबूत पासवर्ड नहीं बनाते हैं, इसलिए मानव त्रुटि या अति आत्मविश्वास पर एक हमलावर के दांव में जैकपॉट होने की काफी अधिक संभावना है।


6
+1, बढ़िया जवाब। इसे जोड़ते हुए, मैं यह भी कहना चाहूंगा कि, सामान्य तौर पर, सूचना शक्ति है; कुख्यात शेलशॉक को छोड़कर, एक इकट्ठा हो सकता है, उदाहरण के लिए, चल रही प्रक्रियाओं के बारे में सुझाव दें, जिसका शोषण भी किया जा सकता है; उदाहरण के लिए, ओपी की मशीन पर, अपाचे चल रहा है, और यह एक और संभावित छेद है जिसे खुला छोड़ दिया गया है
kos

1
हम्म ... तो क्या आप हमलावरों को भ्रमित करने के लिए चूक उपयोगकर्ता नाम बदलने का सुझाव देंगे?
फ्रीडो जूल

@ फ़्रीडम जो मदद नहीं करता है। यदि आप लॉग-इन बदलते हैं तो उपयोगकर्ता और समूह आईडी एक समान रहते हैं। उदाहरण के लिए, यहाँ मेरा परीक्षक है testuser1:x:1001:1001:,,,:/home/testuser:/bin/bash:। मेरे चलाने के बाद sudo usermod testuser1 -l testuser2 sudo usermod testuser1 -l testuser2 , प्रविष्टि में अलग-अलग उपयोगकर्ता नाम हैं लेकिन gid और uid समान हैं testuser2:x:1001:1001:,,,:/home/testuser:/bin/bash:। यदि पासवर्ड अपरिवर्तित है, तो हमलावर एक अनुमान लगा सकता है और फिर भी सिस्टम को क्रैक कर सकता है। पासवर्ड को समाप्त करने के लिए आवश्यक है और हर बार एक बार बदला जाना बेहतर दृष्टिकोण है, लेकिन बुलेट प्रूफ भी नहीं।
सर्गी कोलोडियाज़नी

1
डिफ़ॉल्ट उपयोगकर्ता नाम बदलना उन खातों के लिए उपयोगी है, जिनके पास SSH लॉगिन (या अन्य दूरस्थ लॉगिन) हैं। तो पाठ्यक्रम के उन लॉगिन के लिए डिफ़ॉल्ट पोर्ट बदल रहा है। कुछ भी जो आपको स्क्रिप्ट-किडीज़ द्वारा अरबों रैंडम ड्राइव-बाय स्कैन के बारे में बताता है, इसका मतलब है कि आप अधिक विचार-विमर्श वाले हमलों पर ध्यान केंद्रित कर सकते हैं। यदि आपके कस्टम-नाम आपके असफल-लॉगिन लॉग में बदल जाते हैं, तो आप जानते हैं कि यह ड्राइव-बाय के बजाय एक गंभीर प्रयास है।
डेवी मॉर्गन

11

मशीन पर लॉग इन करने के लिए आपको उपयोगकर्ता नाम और पासवर्ड दोनों को जानना होगा।

/etc/passwd उन उपयोगकर्ताओं के बारे में जानकारी प्रदान करता है जो आपको आवश्यक जानकारी का आधा हिस्सा देते हैं और आपके पासवर्ड का एक हैश शामिल करने के लिए उपयोग किया जाता है।

आपके पासवर्ड से कुछ हैश की गणना की जा रही है। हैश से पासवर्ड ढूंढना मुश्किल है लेकिन दूसरे तरीके से नहीं। यदि आपके पास दोनों हैं तो आप पासवर्ड को खोजने के लिए ब्रूट फोर्स के प्रयासों को ऑफलाइन पा सकते हैं, उसके बाद ही कंप्यूटर से कनेक्ट करने का प्रयास करें।

आज सुरक्षा में सुधार किया गया है क्योंकि हैश को एक अलग फ़ाइल में संग्रहीत किया जाता है /etc/shadowजो कि डिफ़ॉल्ट रूप से अधिकांश उपयोगकर्ताओं द्वारा पठनीय नहीं है।

लेकिन, अगर मेरे पास दोनों का उपयोग था /etc/passwdऔर /etc/shadowमैं शायद एक क्रूर सेना 'डिक्शनरी' हमले का उपयोग करके आपका पासवर्ड पा सकता हूं। चूंकि मैं अपनी मशीन पर स्थानीय रूप से ऐसा कर सकता हूं, इसलिए आपको अपना पासवर्ड खोजने के कई विफल प्रयासों पर ध्यान नहीं दिया जाएगा और पासवर्ड पता होने के बाद मुझे केवल फिर से अपनी मशीन से कनेक्ट करने की आवश्यकता होगी। फिर मैं जो चाहूं, करने के लिए स्वतंत्र हूं।

विकिपीडिया पर यहाँ अधिक जानकारी है


ऐसा महसूस होता है कि शायद आपको 'इंद्रधनुष तालिकाओं' का उल्लेख करना चाहिए ताकि ब्रूट फोर्स अटैक कैसे काम करे।
रिक चैथम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.