Jelenlegi hely
passwd fájl tiltása - személyiségi jogok
Sziasztok !
Olvasgatom linux rendszerek üzemeltetése könyvet ahol azt írják, /etc/passwd fájlban megtalálható a felhasználók neve, címe, otthoni munkahelyi tel száma stb. Ennek a fájlnak mindenki számára olvashatónak kell lenni, mert különben a rendszer nem várt, hibás működést produkálhat.
Kérdésem az, hogy nem lehet ezt valahogy letiltani, egy nagyobb cégnél nem biztos, hogy szerencsés ha minden dolgozó látja a másik címét, tel számát.
Gondolom azt meg lehet még oldani, hogy ezeket az adatokat nem veszik fel itt, hanem külön adatbázisban kezelik, de néha az sem szerencsés, hogy mindenki lekérdezheti a másik felhasználó nevét, csoportjait, jogosultságát.
Ez csak olyan elméleti kérdés, hátha valaki foglalkozik itt a fórumom, nagyobb cégek részére rendszertelepítéssel ezek biztonságával és tudja a választ kapásból.
- A hozzászóláshoz regisztráció és belépés szükséges
Alapértelmezésként a
Alapértelmezésként a passwd fájl csak a felhasználó nevét, ID-jét, home könyvtárát, shelljét tartalmazza. Maga a jelszó a shadow fájlban van hash-elve.
Igen a jelszóval nincs
Igen a jelszóval nincs gondom.
Alapértelmezetten ez a fájl tartalmazza a felhasználó valódi nevét, irodájának, számát, irodai és otthoni telefonszámát /idézet a könyvből/
ezzel sincs gondom mert max nem adjuk meg a felhasználó létrehozásakor, a valódi neve helyett adhatunk valami kód nevet
/etc/group tartalmazza a felhasználói csoportokat, és hogy kik tartoznak ebbe a csoportba
Csak azért kérdezem, mert elég nagy cégnél dolgozom, ahol a felhasználó nevek bár nem titkosak, de nem is publikusak. Az sem lenne szerencsés, ha Marika innen értesülne, hogy míg ö csak a könyvelői csoportba tartozik, kolleganője Pirike aki sokkal később jött mint ő, már a főkönyvelői csoportnak is tagja.
Az sem túl szerencsés, ha a dolgozóknak teljes rálátusuk van, hányan kik, milyen területen, dolgoznak, milyen jogosultságokkal. Bár ezek sem kifejezetten titkosak, de ezek az adatok mondjuk csak a munkaügyesre tartoznak, és nem a postabontóban dolgozó kollegákra./Ipari kémkedés, rendszer megtámadása stb. szempontjából/
Nálunk nem linux van, de ezen adatok beszerzése elég nagy meló lenne, persze biztos nem lehetetlen, de nem egy cat parancs kiadása.
Engem ha cégvezető, vagy IT biztonságért felelős munkatárs lennék és linuxra való áttérésről lenne szó, ez biztos zavarna.
Egyébként tényleg csak kíváncsiságból, kérdeztem, ill szeretem behelyettesíteni amit hallok az általam ismert gyakorlatba. Tehát nem égető a probléma (legalábbis számomra). Csak ha valaki ilyennel foglalkozik, szeretném tudni, hogy nem szokott-e problémát okozni, ill nagyobb cégnél be szokták-e foltozni ezta biztonsági lyukat -mert szerintem ez valahol az
A *NIX rendszerekben lévő
A *NIX rendszerekben lévő "group" azaz csoport fájl nem feltétlenül kell tükrözze a munkahelyi csoport viszonyokat. :) Ráadásul nem is értem, hogy Marikának miért kellene a szerverhez közvetlenül hozzáférnie, azaz úgy, hogy belenézhessen a group fájlba? Ha egy központi nix szerver adja pl. a vékonykliensek szerverét, akkor beállítás kérdése, hogy ki mit lát. Hogyha egyéb kiszolgálói feladatokat végez, akkor viszont elég durva biztonsági rés, ha Marika néni hozzáfér a szerver fájljaihoz.
Hogyha viszont egy olyan rendszert szeretnél, ami a dolgozói állományt tárolja és ezt egy olyan adatbázisba szeretnéd betenni, hogy az bizonyos jogkörű felhasználók számára elérhető legyen, akkor ott az ldap.
syslog
Sziasztok!
Most nézem a syslog-ot és látom, hogy folyamatosan pattog az sshd, hogy: "could not get shadow information for NOUSER"
Ez mitől lehet? Anonym sosem ssh-zok. Hogy lehet újra hash-elni a jelszavakat? Vagy DoS támadás, vagy mi a fene ez?
Köszi!
bazsimc
ssh
Hali!
Ha valaki nem létező névvel akar belépni,akkor NOUSER bejegyzést keres az ssh démon a passwd/shadow fájlokban.
Ha létrehozod a NOUSER felhasználót, akkor nem lesz több syslog sor.
Amúgy a messages-t is nézd meg, ott vannak a külső ssh bejelentkezéssel kapcsolatos kérések.
Ha fut smtp/imap/pop3, oda is van támadás dögivel.
Minap vettem észre, hogy már http ellen is jönnek támadások.
Többféle webmail motor fájlait akarja lekérni egy távoli gép.
A sok százból:
193.239.68.6 - - [07/Mar/2009:00:29:44 +0100] "GET http://www-w.bigmir.net/pt.php?ri=1 HTTP/1.0" 404 204
212.241.182.240 - - [07/Mar/2009:09:30:35 +0100] "GET /roundcube/bin/html2text.php HTTP/1.1" 404 225
212.241.182.240 - - [07/Mar/2009:09:30:35 +0100] "GET /bin/html2text.php HTTP/1.1" 404 215
212.241.182.240 - - [07/Mar/2009:09:30:35 +0100] "GET /webmail/bin/html2text.php HTTP/1.1" 404 223
212.241.182.240 - - [07/Mar/2009:09:30:35 +0100] "GET /mail/bin/html2text.php HTTP/1.1" 404 220
212.241.182.240 - - [07/Mar/2009:09:30:36 +0100] "GET /roundcubemail-0.1/bin/html2text.php HTTP/1.1" 404 233
212.241.182.240 - - [07/Mar/2009:09:30:36 +0100] "GET /roundcubemail/bin/html2text.php HTTP/1.1" 404 229
212.241.182.240 - - [07/Mar/2009:09:30:36 +0100] "GET /roundcubemail-0.2/bin/html2text.php HTTP/1.1" 404 233
212.241.182.240 - - [07/Mar/2009:09:30:36 +0100] "GET /roundcube-0.1/bin/html2text.php HTTP/1.1" 404 229
195.114.0.56 - - [08/Mar/2009:00:06:24 +0100] "GET HTTP/1.1 HTTP/1.1" 400 226
195.114.0.56 - - [08/Mar/2009:00:06:24 +0100] "GET /bin/msgimport HTTP/1.1" 404 211
195.114.0.56 - - [08/Mar/2009:00:06:24 +0100] "GET /webmail/bin/msgimport HTTP/1.1" 404 219
195.114.0.56 - - [08/Mar/2009:00:06:25 +0100] "GET /roundcube/bin/msgimport HTTP/1.1" 404 221
195.114.0.56 - - [08/Mar/2009:00:06:25 +0100] "GET /mail/bin/msgimport HTTP/1.1" 404 216
124.121.77.91 - - [08/Mar/2009:08:11:08 +0100] "GET / HTTP/1.1" 200 61
78.110.172.162 - - [09/Mar/2009:05:23:32 +0100] "GET HTTP/1.1 HTTP/1.1" 400 226
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /roundcubemail-0.1/bin/msgimport HTTP/1.1" 404 229
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /roundcubemail/bin/msgimport HTTP/1.1" 404 225
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /roundcubemail-0.2/bin/msgimport HTTP/1.1" 404 229
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /roundcube-0.1/bin/msgimport HTTP/1.1" 404 225
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /webmail/bin/msgimport HTTP/1.1" 404 219
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /mail/bin/msgimport HTTP/1.1" 404 216
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /bin/msgimport HTTP/1.1" 404 211
78.110.172.162 - - [09/Mar/2009:05:23:33 +0100] "GET /roundcube/bin/msgimport HTTP/1.1" 404 221
kérdés
Köszi!
Az hülye ötlet, hogy az itt talált IP-tartományokat letiltom úgy, ahogy vannak?
Pl. a Te esetedben: 78.110.x.x
Ha igen, akkor ezt hogy a legegyszerűbb? IPTABLES-ben sem vagyok járatos (még) ;)
Köszönöm előre is!
bazsimc
RE: ssh
Szevasztok
Az iptables scriptedbe szúrd be a következő sorokat:
iptables -N LOGDROP_SSHBFORCEiptables -A LOGDROP_SSHBFORCE -j LOG -m limit --limit 1/second --log-prefix "--SSHBRUTEFORCE--"iptables -A LOGDROP_SSHBFORCE -j DROPiptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,RST,ACK SYN -m recent --name SSHBFORCE --update --seconds 120 --rsource --hitcount 3 -j LOGDROP_SSHBFORCEiptables -A INPUT -p tcp --dport ssh --tcp-flags SYN,RST,ACK SYN -m recent --set --name SSHBFORCE --rsource -j ACCEPTPróbálkozik háromszor a köcsög oszt viszlát.
Szevasztok
Slackware 12.2 kernel 2.6.28
Slackwall
Ajanlom meg a mod_security
Ajanlom meg a mod_security hasznalatat, nekem nap mint nap tobb ezer ilyen probalkozas van es megfogja.
-------------------------------------
"Nekem káosz kell, nem bírom a rendet
Zaj kell, ami megöli a csendet
Élet kell és szabadság
nem valami ostoba hazugság"
Fail2ban is jó....
Szevasztok
A fail2ban programot is tudom ajánlani, aki nem szeret iptables rule -okat irogatni.
Van benne minden...
Ssh, apache, qmail, pure-ftpd, proftpd, postfix, exim, stb. védelem.
Előre megvannak írva a szabályok, csak egy kis beállítás és csendben végzi a dolgát.
( A slackwall -ban alapból megtalálható :-) )
Szevasztok
Slackware 12.2 kernel 2.6.26
Slackwall