ทำไมทุกคนกังวลเกี่ยวกับ etc / passwd


36

นี่คือเนื้อหาของเครื่องคนจรจัดของฉันของไฟล์นี้:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/us$
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
syslog:x:100:103::/home/syslog:/bin/false

ใครช่วยอธิบายหน่อยได้ไหมว่าทำไมมันถึงไม่ดีถ้ามีคนชั่วร้ายบางคนสามารถรับไฟล์นี้ของเซิร์ฟเวอร์การผลิตของฉันได้?


19
ย้อนกลับไปในสมัยก่อนมันมีรหัสผ่านที่เข้ารหัสสำหรับผู้ใช้ทุกคน - โดยที่: x: ตอนนี้ หากคุณได้รับมัน (ซึ่งเป็นเรื่องง่ายอย่างที่ทุกคนสามารถอ่านได้ดังนั้นคุณเพียงแค่ต้องเข้าสู่ระบบเดียว) คุณสามารถถอดรหัสรหัสผ่านได้ ตอนนี้พวกมันถูกเก็บไว้ใน / etc / shadow ซึ่งไม่สามารถอ่านได้โดยทุกคนมีโอกาสน้อยที่จะ "ออกไป" แต่สิ่งนี้จะมีปัญหาเดียวกันถ้ามันทำ
มาร์คสมิ ธ

8
สำหรับหนึ่งฉันสามารถบอกคุณมีเว็บเซิร์ฟเวอร์ในเครื่องนี้ เมื่อรวมกับที่อยู่ IP ของคุณอาจ
แฮก

3
@MarkSmith มีรหัสผ่านที่เข้ารหัสไว้เมื่อใด AFAIK มันเริ่มต้นชีวิตเป็นรหัสผ่านที่แฮช แน่นอนตั้งแต่ฉันใช้ Unix เป็นครั้งแรกในปี 1982
user207421

3
@funguy: ผู้ใช้ www-data มักจะถูกใช้โดยเว็บเซิร์ฟเวอร์ Ubuntu และ Debian อาจใช้ผู้ใช้นี้เป็นผู้ใช้ Apache เริ่มต้น
โกหก Ryan

3
@funguy www-data เป็นผู้ใช้ apache เริ่มต้น มีมากกว่านี้: uucp คือ unix เพื่อ unix copy; นั่นหมายความว่าคุณคัดลอกไฟล์ระหว่างระบบ และ "irc" และ "ริ้น" ก็สามารถมองเห็นได้ง่ายเช่นกัน
Rinzwind

คำตอบ:


47

จุดสำคัญคือแฮ็กเกอร์Pentesters / white-hats / ethical รวมถึงเป้าหมายหมวกสีดำ/etc/passwd เช่นproof of conceptเดียวกับการทดสอบความเป็นไปได้ของการเข้าถึงระบบ

ในทางเทคนิคแล้ว/etc/passwdมันไม่ได้น่ากลัว ก่อนหน้านี้เคยเก็บข้อมูลส่วนตัวรหัสผ่านอย่างชัดเจน แต่ทุกวันนี้คุณต้องกังวลมากขึ้น/etc/shadow- ระบบ Linux ส่วนใหญ่ในปัจจุบันใช้shadowชุดยูทิลิตี้เพื่อเก็บรหัสผ่านที่ถูกแฮ็กและเค็ม/etc/shadowซึ่งไม่เหมือน/etc/passwdใครในโลกนี้ -readable (ยกเว้นว่าคุณใช้pwunconvคำสั่งซึ่งจะย้ายรหัสผ่านที่แฮชกลับสู่ `/ etc / passwd)

ข้อมูลที่ละเอียดอ่อนมากหรือน้อยเท่านั้นคือชื่อผู้ใช้ หากคุณมีsshdหรือtelnetบนเซิร์ฟเวอร์และชื่อผู้ใช้ที่มีรหัสผ่านที่ไม่รัดกุมอาจเป็นไปได้ว่าการโจมตีด้วยกำลังดุร้าย

โดยวิธีการที่คำถามเดียวกันมากของคุณได้รับการถามก่อน ที่นี่ฉันเพิ่งปรับปรุงแนวคิดบางอย่างที่กล่าวถึงแล้ว

การเพิ่มเล็ก ๆ : นี่เป็นสิ่งที่ไกลออกไปเล็กน้อย แต่ฉันสังเกตเห็นว่าคุณมีbashเปลือกราก ทีนี้สมมติว่าคุณมีผู้ใช้ในระบบที่มีbashเปลือกของพวกเขายิ่งแย่ลง - ผู้ใช้รายนั้นคือ sudoer ตอนนี้ถ้าคุณทุบตีล้าสมัยหรือไม่ได้โจมตีผู้โจมตีสามารถพยายามใช้ช่องโหว่ของ Shellshockเพื่อขโมยข้อมูลหรือดำเนินการแยกระเบิดทำให้ระบบของคุณหยุดทำงานชั่วคราว ดังนั้นใช่ในทางเทคนิค/etc/passwdไม่ใช่เรื่องใหญ่ แต่มันให้ความคิดแก่ผู้โจมตีเกี่ยวกับข้อมูลบางอย่างเกี่ยวกับสิ่งที่พยายามทำ

แก้ไขเพิ่มเติม 11/18/2016

มีการใช้เซิร์ฟเวอร์ Ubuntu บนมหาสมุทรดิจิตอลในขณะที่มันมาถึงความสนใจของฉันว่าส่วนใหญ่กำลังดุร้ายโจมตีเซิร์ฟเวอร์ของฉันได้ดำเนินการสำหรับrootผู้ใช้ - 99% ของรายการสำหรับรหัสผ่านล้มเหลวในการได้สำหรับ/var/log/auth.log ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ให้ผู้โจมตีดูที่รายชื่อผู้ใช้ไม่ใช่เฉพาะผู้ใช้ระบบ แต่เป็นผู้ใช้มนุษย์เช่นกันซึ่งหมายถึงสถานที่ที่มีศักยภาพมากขึ้นสำหรับการโจมตี โปรดจำไว้ว่าผู้ใช้บางคนไม่ได้ใส่ใจเรื่องความปลอดภัยและไม่ได้สร้างรหัสผ่านที่แข็งแกร่งเสมอไปดังนั้นการเดิมพันของผู้โจมตีเกี่ยวกับข้อผิดพลาดของมนุษย์หรือความไม่มั่นใจมีโอกาสสูงที่จะเป็นแจ็คพอตroot/etc/password


6
+1, คำตอบที่ดี การเพิ่มสิ่งนี้ฉันอยากจะบอกว่าโดยทั่วไปแล้วข้อมูลคือพลัง การละทิ้ง Shellshock ที่น่าอับอายคน ๆ หนึ่งอาจรวบรวมตัวอย่างเช่นข้อมูลเกี่ยวกับกระบวนการทำงานซึ่งอาจถูกนำไปใช้ประโยชน์เช่นกัน ตัวอย่างเช่นบนเครื่องของ OPP Apache กำลังทำงานและนั่นเป็นอีกช่องโหว่ที่อาจเกิดขึ้นได้
kos

1
อืม ... ดังนั้นคุณจะแนะนำให้เปลี่ยนชื่อผู้ใช้เริ่มต้นเพื่อสร้างความสับสนให้ผู้โจมตีหรือไม่
Freedo

@Freedom นั่นไม่ได้ช่วยอะไร ID ผู้ใช้และกลุ่มยังคงเหมือนเดิมหากคุณเปลี่ยนการเข้าสู่ระบบ ยกตัวอย่างเช่นที่นี่ testuser testuser1:x:1001:1001:,,,:/home/testuser:/bin/bashฉัน: หลังจากที่ฉันเรียกใช้sudo usermod testuser1 -l testuser2 sudo usermod testuser1 -l testuser2 แล้วรายการมีชื่อผู้ใช้ที่แตกต่างกัน แต่ gid และ uid เหมือนกัน: testuser2:x:1001:1001:,,,:/home/testuser:/bin/bash. หากรหัสผ่านไม่เปลี่ยนแปลงผู้โจมตีสามารถคาดเดาและยังทำให้ระบบแตกได้ การขอรหัสผ่านจะหมดอายุและมีการเปลี่ยนแปลงทุกครั้งในขณะที่เป็นวิธีที่ดีกว่า แต่ก็ไม่ได้เป็นหลักฐานแสดงหัวข้อย่อย
Sergiy Kolodyazhnyy

1
การเปลี่ยนชื่อผู้ใช้เริ่มต้นมีประโยชน์สำหรับบัญชีเหล่านั้นที่มีการเข้าสู่ระบบ SSH (หรือการเข้าสู่ระบบจากระยะไกลอื่น ๆ ) ดังนั้นการเปลี่ยนพอร์ตเริ่มต้นสำหรับการเข้าสู่ระบบเหล่านั้นแน่นอน อะไรก็ตามที่ช่วยให้คุณเก็บบันทึกของคุณให้ปลอดจากการสุ่มตรวจสอบโดย script-kiddies หลายพันล้านครั้งนั่นหมายความว่าคุณสามารถมุ่งเน้นไปที่การโจมตีที่มีเจตนามากขึ้น หากชื่อที่กำหนดเองของคุณปรากฏขึ้นในบันทึกการเข้าสู่ระบบที่ล้มเหลวของคุณคุณรู้ว่ามันเป็นความพยายามอย่างจริงจังที่จะเข้ามาแทนที่การขับรถ
Dewi Morgan

11

ในการเข้าสู่ระบบเครื่องคุณจำเป็นต้องรู้ทั้งชื่อผู้ใช้และรหัสผ่าน

/etc/passwd ให้ข้อมูลเกี่ยวกับผู้ใช้ที่ให้ข้อมูลครึ่งหนึ่งที่คุณต้องการและใช้ในการรวมแฮชของรหัสผ่านของคุณ

แฮชเป็นสิ่งที่คำนวณจากรหัสผ่านของคุณ เป็นการยากที่จะค้นหารหัสผ่านจากแฮช แต่ไม่ใช่วิธีอื่น หากคุณมีทั้งคู่คุณสามารถลองเดรัจฉานพยายามค้นหารหัสผ่านออฟไลน์จากนั้นลองเชื่อมต่อกับคอมพิวเตอร์เมื่อคุณพบ

การรักษาความปลอดภัยในปัจจุบันได้รับการปรับปรุงเนื่องจากแฮชถูกเก็บไว้ในไฟล์อื่น/etc/shadowซึ่งโดยค่าเริ่มต้นผู้ใช้ส่วนใหญ่จะไม่สามารถอ่านได้

แต่ถ้าฉันเข้าถึงทั้งคู่/etc/passwdและ/etc/shadowฉันอาจหารหัสผ่านของคุณโดยใช้การโจมตี 'พจนานุกรม' ที่ดุร้าย เนื่องจากฉันสามารถทำสิ่งนี้ในเครื่องของฉันคุณจะไม่สังเกตเห็นความพยายามที่ล้มเหลวหลายครั้งในการค้นหารหัสผ่านของคุณและฉันจะต้องเชื่อมต่อกับเครื่องของคุณอีกครั้งเมื่อฉันรู้รหัสผ่าน ฉันมีอิสระที่จะทำสิ่งที่ฉันต้องการ

มีข้อมูลเพิ่มเติมที่นี่ใน Wikipedia


รู้สึกเหมือนคุณน่าจะพูดถึง 'โต๊ะรุ้ง' ที่นี่เพียงเพื่อให้ทราบว่าการโจมตีด้วยกำลังดุร้ายนั้นทำงานอย่างไร
Rick Chatham
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.