সুরক্ষার কারণে পুনরায় নামকরণ / ইত্যাদি / পাসডাব্লু এবং / ইত্যাদি / ছায়া [বন্ধ]

আমার একটা সার্ভার আছে আমার সার্ভারটি সুরক্ষিত, তবে আসুন একটি ভাল হ্যাকার কল্পনা করুন যা সে প্রবেশ করে He তিনি এখন সন্ধান করতে পারেন /etc/passwdএবং /etc/shadow। আমি যে ফাইল নামান্তর চাই /etc/passwdভালো কিছু করার জন্য /etc/xxanoda।

আমি ভেবেছিলাম আমি একটি লিঙ্ক করতে পারি তবে একজন হ্যাকারের পক্ষে এটি করা সহজ হবে ls -l।

এই ফাইলগুলির নাম পরিবর্তন করা এবং সামঞ্জস্যতা সমস্যা ছাড়াই এখনও চলমান ওএস থাকা সম্ভব, না এটি সম্পূর্ণ অকেজো? শুধু জ্ঞানের সন্ধানের জন্য।

ফাইলসিস্টেম শ্রেণীক্রম স্ট্যান্ডার্ড জন্য UNIX মত সিস্টেম অন্তর্ভুক্ত /etc/passwdএকটি নির্দিষ্ট অবস্থানে, এবং সরঞ্জাম পরিণামে সাধারণত সেখানে দেখুন হার্ডকোডেড করছে। তত্ত্ব অনুসারে আপনি কোনও নতুন অবস্থানে সন্ধানের জন্য সমস্ত প্রাসঙ্গিক ইউটিলিটিগুলি পুনরায় সংকলন করতে পারবেন, যে কোনও আক্রমণকারী সর্বদা নতুন ফাইলটি সনাক্ত করতে সেই বাইনারিগুলিতে স্ট্রিং সন্ধান করতে পারে বা passwdপছন্দসই বিষয়বস্তুযুক্ত ফাইলগুলি সন্ধান করার জন্য নিয়মিত অভিব্যক্তি ব্যবহার করতে পারে ।

shadowফাইলটি কেবল পঠনযোগ্য root(এবং সম্ভবত একটি গোষ্ঠীর কাছে বলা যেতে পারে shadow)। যদি কোনও আক্রমণকারী আপনার সিস্টেমে রুট অ্যাক্সেস পেতে পরিচালিত হয় তবে তাদের সম্পূর্ণ নিয়ন্ত্রণ রয়েছে এবং তারা আপনার পাসডাব্লুড / শ্যাডো ফাইলগুলি পড়তে পারে কিনা তা সেই সময়ে বেশ অপ্রাসঙ্গিক।

সম্ভাব্য কয়েকটি পরিস্থিতি রয়েছে যেখানে প্রত্যাশিত জায়গাগুলিতে ফাইল না থাকলে সহায়তা হতে পারে, উদাহরণস্বরূপ যদি আপনার কাছে খুব খারাপভাবে কনফিগার করা ওয়েব সার্ভার রয়েছে যা কাউকে অনুরোধ করতে দেয় http://myserver/../../etc/passwdতবে সাধারণভাবে এই ধরণের নির্দেশনাটি একটি ন্যূনতম সুরক্ষার সুবিধার জন্য প্রচুর কাজ প্রয়োজন।

সেরা জিনিসটি হ'ল এটি সম্পূর্ণরূপে অকেজো "আপনি যেমন রেখেছেন তেমন। (এটি অনুপ্রবেশকারীদের জন্য অতিরিক্ত বাধা সরবরাহ করে না)

/etc/passwd অ্যাকাউন্টের নামগুলি অন্তর্ভুক্ত করে তবে সিস্টেমে শেল অ্যাক্সেস থাকা যে কেউ তাদের খুঁজে পেতে সক্ষম হবে।

/etc/shadowসংবেদনশীল তথ্য রয়েছে (পাসওয়ার্ড হ্যাশ) তবে এটি কেবল মূলের জন্য পঠনযোগ্য। যদি কোনও অনুপ্রবেশকারী রুট সুবিধা পেতে পরিচালিত হয় - তবে আপনি কীভাবে দুর্যোগের বানান করবেন ?

আধুনিক ইউনিসে (এবং উবুন্টু সহ ইউনিক্স-পছন্দগুলি) তে /etc/passwdকোনও গোপনীয়তা নেই। এটির নতুন নামকরণ করার জন্য এটির পুনর্নবীকরণের জন্য এটির তুলনায় আরও বেশি সমস্যা হবে, প্রদত্ত কতগুলি ইউটিলিটি এটির জন্য পুনরায় তৈরি করতে হবে।

/etc/shadowঅন্য একটি বিষয়, যেহেতু সেই ফাইলটিতে গোপনীয়তা রয়েছে, তবে এটির নামকরণ কোনও লাভ করবে না। এটি কেবল রুট দ্বারা পঠনযোগ্য, সুতরাং কোনও হ্যাকার যদি অন্য কোনও ব্যবহারকারী হিসাবে সিস্টেমে আসে তবে ফাইলটিতে পৌঁছানোর পক্ষে এটি যথেষ্ট নয়। এই কারণেই পাসওয়ার্ডগুলি /etc/passwdপ্রথম স্থান থেকে বাইরে নিয়ে যাওয়া হয়েছিল : প্রত্যেককেই পড়তে /etc/passwdসক্ষম হতে হবে তবে প্রকৃত পাসওয়ার্ডগুলি পেতে কেবল রুটকেই সক্ষম হওয়া দরকার, সুতরাং পাসওয়ার্ডগুলিকে এমন কোনও ফাইলে স্থানান্তরিত করা হয়েছিল যা কেবলমাত্র রুটই পড়তে পারে।

হ্যাকার যদি না রুট পেতে, তারপর একটি পুনঃনামকরণ আপনি সংরক্ষণ করা হবে না। একটি সাধারণ পুনরাবৃত্তি grepহ্যাকারকে একটি পছন্দ /etc/shadowমতো ফর্ম্যাটে ফাইলগুলির একটি তালিকা দিতে পারে এবং তারপরে হ্যাকারকে কেবল তার পছন্দসই ডেটা অনুসন্ধান করার জন্য তাদের অনুসন্ধান করতে হবে। আপনি তাকে বেশিরভাগ সময় কয়েক ঘন্টা বিলম্ব করেছেন, এবং সম্ভবত কম: আবার, /etc/shadowএর অবস্থানের উপর নির্ভরশীল সমস্ত ইউটিলিটিগুলি সংশোধন এবং পুনরায় সংযোগ করতে যে পরিমাণ সময় লাগবে তা নয় ।

আপনি কেবল এই ফাইলগুলির নাম পরিবর্তন করতে পারবেন না। লিনাক্স সিস্টেমে এটি একটি স্ট্যান্ডার্ড হওয়ায় প্রচুর প্রক্রিয়া এবং প্রোগ্রামগুলি তাদের অনুসন্ধান করবে। আপনি যা করতে পারেন তা হ'ল সঠিকভাবে আপনার সার্ভারটি সুরক্ষিত করা।

যদিও ফাইল /etc/passwdএবং নামগুলির নামকরণের সম্ভবত এটির কোনও ব্যবহার নেই /etc/shadow, আপনি যদি সুরক্ষা যুক্ত করতে চান তবে আপনি পিএএম (প্লাগেবল প্রমাণীকরণ মডিউল) এবং এনএসএস (নাম পরিষেবা স্যুইচ) দেখতে চাইতে পারেন। এখানকার মত.

পিএএম, প্রমাণীকরণের মডিউলগুলি যুক্ত করতে ব্যবহার করা যেতে পারে যা প্রমিত ফাইলগুলি থেকে তাদের প্রমাণীকরণ ifnormation পড়ার পরিবর্তে এটি অন্য উত্স থেকে যেমন ldap বা ডাটাবেস থেকে পড়তে পারে। এটি ব্যবহারের অর্থ /etc/shadowহ'ল প্রায় সম্পূর্ণরূপে নির্মূল করা যেতে পারে।

এনএসএস স্ট্যান্ডার্ড ফাইল ( /etc/passwd, /etc/groups) থেকে স্বতন্ত্রভাবে কিছু নাম রেজোলিউশন করে (যেমনটি এই ব্যবহারকারী কোন গ্রুপের অন্তর্ভুক্ত) এর মাধ্যমে পিএএম সম্পূর্ণ করে । এটি ব্যবহারের অর্থ হ'ল আপনার পাসডব্লুড ফাইলটি কেবলমাত্র মূলের জন্য একটি ফ্যালব্যাক বিকল্প ধারণ করবে এবং এর চেয়ে আরও কিছু থাকবে না। রুট লগইন যাচাই করতে এসএসএইচ কীগুলি ব্যবহার করা ছায়া ফাইলের অভ্যন্তরে একটি রুট পাসওয়ার্ডের প্রয়োজনীয়তাও হারাবে (যদিও এটি এসএসএইচ সংযোগ বিচ্ছিন্ন হলে এটি পছন্দসই হতে পারে)।

বিকল্পভাবে আপনি যদি আপনার ব্যবহারকারীদের একটি পৃথক ডাটাবেস বা এলডিএপ হোস্টের মাধ্যমে প্রমাণীকরণ করতে না চান তবে আপনি নিজের পিএএম এবং এনএসএস মডিউলও তৈরি করতে পারেন, যা একটি অ-স্ট্যান্ডার্ড ফাইল থেকে তাদের ডেটা পড়ে, যদিও আমি এই বিকল্পটির প্রস্তাব দিই না।

আপনি যখন তাদের ব্যবহারের চেষ্টা করতে চান তখন কোনও পরিচিত, কার্যকারী প্রমাণীকরণ স্তরটিতে কোনও ধরণের ফ্যালব্যাক রাখতে ভুলবেন না, অন্যথায় আপনি নিজেকে সিস্টেমের বাইরে লক করতে পারেন, এমনকি রুট দিয়েও।

মনে রাখবেন যে সমস্ত অ্যাপ্লিকেশনগুলি প্যাম সমর্থন করে না (তাদের অনেকগুলি অবশ্য করে)। এনএসএস তবে প্যাম সমর্থন করে না এমন অ্যাপ্লিকেশনগুলির জন্য প্রমাণীকরণ প্রয়োগ করতে ব্যবহার করা যেতে পারে এবং এনএসএস সম্পর্কে আমি যে কয়েকটি সাইট পড়েছি তা এই পদ্ধতির প্রস্তাব দেয়। তবে এর অর্থ হ'ল এনএসএস মডিউলটি এনএসএস প্রমাণীকরণ স্তরটি অ্যাক্সেস করতে পারে এমন কাউকে (সম্ভাব্য) হ্যাশ পাসওয়ার্ড সরবরাহ করবে, যা প্রায়শই আপনি এড়াতে চান এমন কিছু বিষয় (এটি মূলত শ্যাডো ফাইলে অ-রুট রিড অ্যাক্সেস দেওয়ার মতোই same )! সুতরাং আপনি যদি এই পদ্ধতির দিকে যান তবে সর্বদা নিশ্চিত হয়ে নিন যে এনএসএসটি কেবলমাত্র ব্যবহারকারীকে মৌলিক ডেটা সরবরাহ করতে ব্যবহার করা হয় (এর সামগ্রী হিসাবে /etc/passwd) এবং পিএএম প্রমাণীকরণ স্তর হিসাবে ব্যবহৃত হয়।