ทำไมทุกคนกังวลเกี่ยวกับ etc / passwd

นี่คือเนื้อหาของเครื่องคนจรจัดของฉันของไฟล์นี้:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

ใครช่วยอธิบายหน่อยได้ไหมว่าทำไมมันถึงไม่ดีถ้ามีคนชั่วร้ายบางคนสามารถรับไฟล์นี้ของเซิร์ฟเวอร์การผลิตของฉันได้?

จุดสำคัญคือแฮ็กเกอร์Pentesters / white-hats / ethical รวมถึงเป้าหมายหมวกสีดำ/etc/passwd เช่นproof of conceptเดียวกับการทดสอบความเป็นไปได้ของการเข้าถึงระบบ

ในทางเทคนิคแล้ว/etc/passwdมันไม่ได้น่ากลัว ก่อนหน้านี้เคยเก็บข้อมูลส่วนตัวรหัสผ่านอย่างชัดเจน แต่ทุกวันนี้คุณต้องกังวลมากขึ้น/etc/shadow- ระบบ Linux ส่วนใหญ่ในปัจจุบันใช้shadowชุดยูทิลิตี้เพื่อเก็บรหัสผ่านที่ถูกแฮ็กและเค็ม/etc/shadowซึ่งไม่เหมือน/etc/passwdใครในโลกนี้ -readable (ยกเว้นว่าคุณใช้pwunconvคำสั่งซึ่งจะย้ายรหัสผ่านที่แฮชกลับสู่ `/ etc / passwd)

ข้อมูลที่ละเอียดอ่อนมากหรือน้อยเท่านั้นคือชื่อผู้ใช้ หากคุณมีsshdหรือtelnetบนเซิร์ฟเวอร์และชื่อผู้ใช้ที่มีรหัสผ่านที่ไม่รัดกุมอาจเป็นไปได้ว่าการโจมตีด้วยกำลังดุร้าย

โดยวิธีการที่คำถามเดียวกันมากของคุณได้รับการถามก่อน ที่นี่ฉันเพิ่งปรับปรุงแนวคิดบางอย่างที่กล่าวถึงแล้ว

การเพิ่มเล็ก ๆ : นี่เป็นสิ่งที่ไกลออกไปเล็กน้อย แต่ฉันสังเกตเห็นว่าคุณมีbashเปลือกราก ทีนี้สมมติว่าคุณมีผู้ใช้ในระบบที่มีbashเปลือกของพวกเขายิ่งแย่ลง - ผู้ใช้รายนั้นคือ sudoer ตอนนี้ถ้าคุณทุบตีล้าสมัยหรือไม่ได้โจมตีผู้โจมตีสามารถพยายามใช้ช่องโหว่ของ Shellshockเพื่อขโมยข้อมูลหรือดำเนินการแยกระเบิดทำให้ระบบของคุณหยุดทำงานชั่วคราว ดังนั้นใช่ในทางเทคนิค/etc/passwdไม่ใช่เรื่องใหญ่ แต่มันให้ความคิดแก่ผู้โจมตีเกี่ยวกับข้อมูลบางอย่างเกี่ยวกับสิ่งที่พยายามทำ

แก้ไขเพิ่มเติม 11/18/2016

มีการใช้เซิร์ฟเวอร์ Ubuntu บนมหาสมุทรดิจิตอลในขณะที่มันมาถึงความสนใจของฉันว่าส่วนใหญ่กำลังดุร้ายโจมตีเซิร์ฟเวอร์ของฉันได้ดำเนินการสำหรับrootผู้ใช้ - 99% ของรายการสำหรับรหัสผ่านล้มเหลวในการได้สำหรับ/var/log/auth.log ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ให้ผู้โจมตีดูที่รายชื่อผู้ใช้ไม่ใช่เฉพาะผู้ใช้ระบบ แต่เป็นผู้ใช้มนุษย์เช่นกันซึ่งหมายถึงสถานที่ที่มีศักยภาพมากขึ้นสำหรับการโจมตี โปรดจำไว้ว่าผู้ใช้บางคนไม่ได้ใส่ใจเรื่องความปลอดภัยและไม่ได้สร้างรหัสผ่านที่แข็งแกร่งเสมอไปดังนั้นการเดิมพันของผู้โจมตีเกี่ยวกับข้อผิดพลาดของมนุษย์หรือความไม่มั่นใจมีโอกาสสูงที่จะเป็นแจ็คพอตroot/etc/password

ในการเข้าสู่ระบบเครื่องคุณจำเป็นต้องรู้ทั้งชื่อผู้ใช้และรหัสผ่าน

/etc/passwd ให้ข้อมูลเกี่ยวกับผู้ใช้ที่ให้ข้อมูลครึ่งหนึ่งที่คุณต้องการและใช้ในการรวมแฮชของรหัสผ่านของคุณ

แฮชเป็นสิ่งที่คำนวณจากรหัสผ่านของคุณ เป็นการยากที่จะค้นหารหัสผ่านจากแฮช แต่ไม่ใช่วิธีอื่น หากคุณมีทั้งคู่คุณสามารถลองเดรัจฉานพยายามค้นหารหัสผ่านออฟไลน์จากนั้นลองเชื่อมต่อกับคอมพิวเตอร์เมื่อคุณพบ

การรักษาความปลอดภัยในปัจจุบันได้รับการปรับปรุงเนื่องจากแฮชถูกเก็บไว้ในไฟล์อื่น/etc/shadowซึ่งโดยค่าเริ่มต้นผู้ใช้ส่วนใหญ่จะไม่สามารถอ่านได้

แต่ถ้าฉันเข้าถึงทั้งคู่/etc/passwdและ/etc/shadowฉันอาจหารหัสผ่านของคุณโดยใช้การโจมตี 'พจนานุกรม' ที่ดุร้าย เนื่องจากฉันสามารถทำสิ่งนี้ในเครื่องของฉันคุณจะไม่สังเกตเห็นความพยายามที่ล้มเหลวหลายครั้งในการค้นหารหัสผ่านของคุณและฉันจะต้องเชื่อมต่อกับเครื่องของคุณอีกครั้งเมื่อฉันรู้รหัสผ่าน ฉันมีอิสระที่จะทำสิ่งที่ฉันต้องการ

มีข้อมูลเพิ่มเติมที่นี่ใน Wikipedia