সাধারণ ব্যবহারকারীরা / ইত্যাদি / পাসডাব্লুটি পড়তে সক্ষম, এটি কি কোনও সুরক্ষা গর্ত?

19

ls -l /etc/passwd

দেয়

$ ls -l /etc/passwd
-rw-r--r-- 1 root root 1862 2011-06-15 21:59 /etc/passwd

সুতরাং একটি সাধারণ ব্যবহারকারী ফাইলটি পড়তে পারেন। এটি কি সুরক্ষা গর্ত?

— অঙ্কুর আগরওয়াল
সূত্র

49

আসল পাসওয়ার্ড হ্যাশগুলিতে সংরক্ষণ করা হয় /etc/shadow, যা নিয়মিত ব্যবহারকারীদের দ্বারা পঠনযোগ্য নয়। /etc/passwdব্যবহারকারী আইডিস এবং শেল সম্পর্কে অন্যান্য তথ্য ধারণ করে যা সিস্টেমটি কাজ করতে সমস্ত ব্যবহারকারীদের দ্বারা পঠনযোগ্য।

— মাইকেল
সূত্র

3

সত্যই নয় - historতিহাসিকভাবে পাসওয়ার্ডগুলি / ইত্যাদি / পাসডাব্লুতে রাখা হয়েছিল - তবে এটি ব্রুট-ফোর্সের সাথে সরাসরি মিলিয়েছে - সুতরাং পাম_উনিক্স এবং অনুরূপ সাথে / ইত্যাদি / শেডন ব্যবহার করে আধুনিক সিস্টেমগুলি।

— সিম সিবিয়ান

4

আধুনিক লিনাক্স ব্যবহার করে /etc/shadow। বিএসডি ব্যবহার করে /etc/master.passwd। সোলারিস ব্যবহার করে /etc/security/passwd। এইচপি-ইউএক্স ব্যবহার করে /.secure/etc/passwdএবং তালিকাটি চালিয়ে যায় ...

— ক্রিস এস

16

সাধারণত, হ্যাশ পাসওয়ার্ডগুলি /etc/shadowবেশিরভাগ লিনাক্স সিস্টেমে সংরক্ষণ করা হয়:

-rw-r----- 1 root shadow 1349 2011-07-03 03:54 /etc/shadow

(এগুলি বিএসডি সিস্টেমে সংরক্ষণ করা /etc/master.passwdহয় ))

প্রমাণীকরণ সম্পাদন করার জন্য প্রয়োজনীয় প্রোগ্রামগুলি এখনও rootসুবিধাগুলি সহ চালানো দরকার :

-rwsr-xr-x 1 root root 42792 2011-02-14 14:13 /usr/bin/passwd

আপনি যদি setuid rootআপনার সিস্টেমে সমস্ত প্রোগ্রাম এবং হ্যাশ পাসওয়ার্ড সমেত একটি একক ফাইল অপছন্দ করেন তবে আপনি এটি ওপেনওয়াল টিসিবি পিএএম মডিউল দ্বারা প্রতিস্থাপন করতে পারেন । এটি প্রতিটি একক ব্যবহারকারীকে তাদের হ্যাশ পাসওয়ার্ড সংরক্ষণের জন্য নিজস্ব ফাইল সরবরাহ করে - ফলস্বরূপ setuid rootসিস্টেমে প্রোগ্রামগুলির সংখ্যা মারাত্মকভাবে হ্রাস করা যায়।

— sarnold
সূত্র

13

পাসওয়ার্ডগুলি /etc/passwdএখন বছরের পর বছর ধরে সংরক্ষণ করা হয়নি ; নামটি উত্তরাধিকার, স্থানীয় ব্যবহারকারীর ডাটাবেস হওয়ার ক্রিয়াটি রয়ে গেছে এবং সে উদ্দেশ্যে অবশ্যই এটি সবার দ্বারা পঠনযোগ্য।

— geekosaur
সূত্র

2

বিশ্বের পঠনযোগ্যতা একটি নকশার সিদ্ধান্ত, কোনও প্রয়োজনীয়তা নয়

— বেন ভোইগট

@ বেন: সুতরাং এটি যুক্তিসঙ্গত যে কেউ অন্য কারও সাথে সম্পর্কিত ফাইলগুলি সনাক্ত করতে পারে না? এটি আজকাল এনএসএসের স্থানীয় দোকান, নাম সত্ত্বেও প্যামের জন্য নয় ।

— গিকোসৌর

1

অবাঞ্ছিত ব্যবহারকারীদের পুরো ব্যবহারকারী তালিকাটি গণনা করার অনুমতি না দিয়ে কোনও বিশেষ সুবিধাপূর্ণ পরিষেবাটি -> নাম অনুবাদ করা সম্পূর্ণভাবে সম্ভব। কিছু ওএস সেই বিকল্পটি পছন্দ করে।

— বেন ভয়েগট

1

@ জোচিপ কারেন্ট ওএসগুলি একে অপর থেকে ব্যবহারকারীদের আড়াল করার জন্য ডিজাইন করা হয়নি। সমস্ত ব্যবহারকারীর / etc / passwd এর চেয়ে আরও অনেক উপায়ে গণনা করা যায়। ls -la / home লিনাক্সে, ls -la / MacOS X- এর ব্যবহারকারী, সি সি: \ উইন্ডোজ 7 এর ব্যবহারকারী, ইউনিক্স সিস্টেমে PS -afux। সিকিউরিটি পরিবর্তন না করেই জীবনকে কঠিন করে তুলবে বলে বেন ভয়েগ্টের নকশার পছন্দটি পরিবর্তন করা হয়েছে ud

— যাদুকর

1

@ ম্যাজিশিয়ানার - উইন্ডোজ উদাহরণটি বলা ঠিক ঠিক নয়। আপনি অন্যান্য পদ্ধতির মাধ্যমে ব্যবহারকারীদের পেতে পারেন, তবে সি: \ ব্যবহারকারী ফোল্ডারে কেবল লগ ইন করা ব্যবহারকারীদের তালিকাভুক্ত করা হবে; কোনও সিস্টেম ব্যবহারকারী নয়।

— পোড়া_হেলা

6

কিছুটা হলেও এটি যেমন আপনি ব্যবহারকারীদের সনাক্ত করতে পারেন। অতীতে আপনি তাদের পাসওয়ার্ডও নিতে পারবেন। তবে, ব্যবহারকারীর পক্ষে ক্র্যাকিংয়ের পক্ষে মূল্যবান rootযা পাসওয়ার্ড ফাইল ছাড়াই সুপরিচিত।

পাসওয়ার্ড ফাইল ওয়ার্ল্ড পঠনযোগ্য ব্যবহারের ইউটিলিটি সাধারণত ঝুঁকি ছাড়িয়ে যায়। এমনকি যদি এটি বিশ্ব পাঠযোগ্য না হয় তবে একটি কার্যনির্বাহী getent passwdকমান্ড সিকিউরিটি লাভকে বাতিল করে দেয়।

অন্যের মালিকানাধীন ফাইলগুলি সনাক্ত করার জন্য অ-রুট ব্যবহারকারীদের ক্ষমতা অদৃশ্য হয়ে যায়। মালিকানাধীন (পাসডাব্লুডিতে থাকা ব্যবহারকারী) এবং অপরিবর্তিত ফাইলগুলি (পাসডাব্লুডিতে নেই এমন ব্যবহারকারী) সনাক্ত করতে সক্ষম হওয়া কোনও ফাইল সিস্টেমের বিষয়বস্তু পর্যালোচনা করতে কার্যকর হতে পারে। যদিও এটি যথাযথ setuidপ্রোগ্রামগুলির মাধ্যমে সমাধান করা সম্ভব হবে , যা সেই প্রোগ্রামগুলির মাধ্যমে বিশাল আক্রমণ আক্রমণকারীকে যুক্ত করবে।

শেষ পর্যন্ত এটি ভারসাম্যের বিষয়, এবং এই ক্ষেত্রে আমি বলব যে ভারসাম্যটি পাসওয়ার্ডের ওয়ার্ল্ডকে পঠনযোগ্য হিসাবে দৃ on়ভাবে।

— BillThor
সূত্র